13.12.2009, 14:16
|
|
Reservists Of Antichat - Level 6
Регистрация: 22.01.2007
Сообщений: 616
С нами:
10158086
Репутация:
1359
|
|
Totgeliebt
http://la2.sz.ru/viewpage.php?page_id=13&clan_name=Administration&i d=2
Да?
сайт сам в дауне вроде как, но похоже что просто удален пароль, или конфиг с credentials для БД
|
|
|
13.12.2009, 14:18
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
)) Вот меня ругают еще после такого....
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 6
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 30
Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 59
Никакой sql-инъекции тут нет, просто раскрытие путей:
1. Нет соединения с базой
2. Нет соединения с базой - не может выполнить запрос
3. Нет соединения с базой - не может закрыть соединение с базой
Учите английский и php
PS: Зачем вообще пытаться сломать сайт, где нет соединения с БД и такие косяки с выводом ошибок?
Сообщение от 'YuNi|
тут на
и
указывает
может посоветуете как провести инклуд
смотря откуда берется $file. И то, это не инклуд, при самых сладких условиях - читалка
Последний раз редактировалось Pashkela; 13.12.2009 в 14:24..
|
|
|
|
13.12.2009, 16:47
|
|
Участник форума
Регистрация: 26.07.2008
Сообщений: 267
С нами:
9364549
Репутация:
184
|
|
Ситуация:
mysql5 на винде2003, есть sql-injection, права рута, сайт лежит на d:\ - однако into outfile не работает (думаю нет виндовых прав на запись).
Что известно: каталог установки винды, имя учетки - стандартный administrator. FTP сервер не опознается по имени. Админки нету.
Вопрос: что можно сделать?
|
|
|
|
13.12.2009, 20:23
|
|
Постоянный
Регистрация: 18.09.2006
Сообщений: 867
С нами:
10339586
Репутация:
1396
|
|
ищи диру под запись,админку, ws_ftp.log и т.п.
веб-сервер какой?
|
|
|
|
13.12.2009, 22:53
|
|
Участник форума
Регистрация: 07.08.2008
Сообщений: 281
С нами:
9347610
Репутация:
165
|
|
Какие есть методы заливки шелла, через форму загрузки изображения ?
Последний раз редактировалось SeNaP; 13.12.2009 в 23:00..
|
|
|
|
14.12.2009, 00:29
|
|
Постоянный
Регистрация: 25.01.2009
Сообщений: 368
С нами:
9100556
Репутация:
912
|
|
Сообщение от SeNaP
Какие есть методы заливки шелла, через форму загрузки изображения ?
Смотря какая проверка расширения стоит
|
|
|
|
14.12.2009, 12:41
|
|
Участник форума
Регистрация: 26.07.2008
Сообщений: 267
С нами:
9364549
Репутация:
184
|
|
Есть sql-injection. Судя по всему вида:
select * from table limit 0, $vuln_param
Фильтруется *, ', "union_", "select_"
Т.е. union и select с пробелом, а также комментарий вида /* */ использовать нельзя. Соотвественно обламывается union/**/select/**/...
Что можно сделать?
После лимита ни join ни where не вставить.
Последний раз редактировалось budden; 14.12.2009 в 12:47..
|
|
|
|
14.12.2009, 13:12
|
|
Reservists Of Antichat - Level 6
Регистрация: 22.01.2007
Сообщений: 616
С нами:
10158086
Репутация:
1359
|
|
вместо пробела можно попробовать табуляцию
можно вообще без пробелов вот например рабочий запрос:
select(1)union(select(1));
|
|
|
|
14.12.2009, 13:23
|
|
Участник форума
Регистрация: 26.07.2008
Сообщений: 267
С нами:
9364549
Репутация:
184
|
|
geezer.code
Не знал о таком, спасибо, однако после лимита вышеуказанная конструкция не срабатывает.
select * from table limit 0,2 (union(select 1))
Дает error in syntax
|
|
|
|
14.12.2009, 13:33
|
|
Участник форума
Регистрация: 11.10.2009
Сообщений: 116
С нами:
8728261
Репутация:
211
|
|
Сообщение от budden
geezer.code
Не знал о таком, спасибо, однако после лимита вышеуказанная конструкция не срабатывает.
Дает error in syntax
а скакой версией ты работаеш?
если 5 то зачем тебе лимит?
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для .:[melkiy]:.](/avatars/avatar74910.jpg?1755240){kind=avatar}
Похожие темы
Комбинированный вид
