01.04.2016, 14:32
|
|
Познающий
Регистрация: 23.12.2008
Сообщений: 81
С нами:
9148120
Репутация:
97
|
|
Сюда нет доступа (
Какие еще есть варианты, готов заплатить за помощь!
|
|
|
01.04.2016, 14:54
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 830
С нами:
7502006
Репутация:
90
|
|
Сообщение от I love this game
I love this game said:
↑
Сюда нет доступа (
Какие еще есть варианты, готов заплатить за помощь! сорцы сайта можно читать? читай его
|
|
|
|
01.04.2016, 14:57
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 830
С нами:
7502006
Репутация:
90
|
|
Сообщение от I love this game
I love this game said:
↑
Сюда нет доступа (
Какие еще есть варианты, готов заплатить за помощь! хватит хэкать, в соседнем топике суицид сиськи постит))
|
|
|
|
02.04.2016, 12:50
|
|
Новичок
Регистрация: 20.02.2016
Сообщений: 3
С нами:
5383766
Репутация:
0
|
|
Подскажите люди добрые.
Нашел heartbleed на одном сервере.
Восстановил RSA PRIVATE KEY с помощью утилиты heartleech.
На этом сертификате крутятся все поддомены сайта. Но они находятся на разных серваках.
Как можно перехватить весь чужой траффик https и расшифровывать с помощью приватного ключа. Доступ к сервакам не имею.
И вообще что можно сделать если у тебя имется приватный ключ?
|
|
|
|
03.04.2016, 03:04
|
|
Новичок
Регистрация: 12.07.2015
Сообщений: 17
С нами:
5704886
Репутация:
0
|
|
|
|
|
|
03.04.2016, 18:53
|
|
Новичок
Регистрация: 12.07.2015
Сообщений: 17
С нами:
5704886
Репутация:
0
|
|
|
|
|
|
06.04.2016, 23:30
|
|
Участник форума
Регистрация: 08.01.2016
Сообщений: 118
С нами:
5445686
Репутация:
14
|
|
|
|
|
|
11.04.2016, 03:48
|
|
Новичок
Регистрация: 06.12.2013
Сообщений: 10
С нами:
6544406
Репутация:
0
|
|
Комрады,подскажите, что можно выжать из ситуации:
запрос: www.site.com/search?searchword=lala"+AND+9815%3D8835
Ответ: No valid database connection You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2)' at line 11 SQL=SELECT a.client, a.client_id, a.id, a.type_id, a.user_id, a.title, rc.catid, "*" AS text, a.ctime AS created, "2" AS browsernav, IF( s.name != "", CONCAT("Type: ", t.name, " | " , " Section: ", s.name, " | " , " Category: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ), CONCAT("Type: ", t.name, " | " , " Section: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ) ) AS section FROM jos_js_res_record AS a LEFT JOIN jos_js_res_types AS t ON t.id = a.type_id LEFT JOIN jos_js_res_record_category AS rc ON rc.record_id = a.id LEFT JOIN jos_js_res_category AS c ON c.id = rc.catid LEFT JOIN jos_js_res_category AS s ON s.id = c.section_id LEFT JOIN jos_js_res_record_values AS rv ON rv.record_id = a.id LEFT JOIN jos_js_res_fields AS f ON f.id = rv.field_id WHERE ((a.title like "%lala"%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) AND ((a.title like "%9815=8835%" OR (rv.field_value like "%9815=8835%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) GROUP BY a.id LIMIT 0, 50
Сразу задам второй вопрос: в параметре search ограничение 20 символов. Проверка происходит на стороне сервера. Есть пусти обхода?
SQLmap не видит, что параметр уязвим. |
|
|
|
11.04.2016, 04:11
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
С нами:
9721141
Репутация:
1013
|
|
Сообщение от semik
↑
Комрады,подскажите, что можно выжать из ситуации:
запрос:
www.site.com/search?searchword=lala
"+AND+9815%3D8835
Ответ: No valid database connection You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2)' at line 11 SQL=SELECT a.client, a.client_id, a.id, a.type_id, a.user_id, a.title, rc.catid, "*" AS text, a.ctime AS created, "2" AS browsernav, IF( s.name != "", CONCAT("Type: ", t.name, " | " , " Section: ", s.name, " | " , " Category: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ), CONCAT("Type: ", t.name, " | " , " Section: ", GROUP_CONCAT( DISTINCT c.name SEPARATOR ", ") ) ) AS section FROM jos_js_res_record AS a LEFT JOIN jos_js_res_types AS t ON t.id = a.type_id LEFT JOIN jos_js_res_record_category AS rc ON rc.record_id = a.id LEFT JOIN jos_js_res_category AS c ON c.id = rc.catid LEFT JOIN jos_js_res_category AS s ON s.id = c.section_id LEFT JOIN jos_js_res_record_values AS rv ON rv.record_id = a.id LEFT JOIN jos_js_res_fields AS f ON f.id = rv.field_id WHERE ((a.title like "%lala"%" OR (rv.field_value like "%lala"%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) AND ((a.title like "%9815=8835%" OR (rv.field_value like "%9815=8835%" AND f.searchable = 1)) AND a.type_id IN (2) AND f.published AND a.published = 1 AND c.published = 1) GROUP BY a.id LIMIT 0, 50
Сразу задам второй вопрос: в параметре search ограничение 20 символов. Проверка происходит на стороне сервера. Есть пусти обхода?
SQLmap не видит, что параметр уязвим.
в 20 символов вектора не подобрать для вывода
|
|
|
|
11.04.2016, 09:50
|
|
Новичок
Регистрация: 06.12.2013
Сообщений: 10
С нами:
6544406
Репутация:
0
|
|
Сообщение от yarbabin
↑
в 20 символов вектора не подобрать для вывода
Спасибо, раскрутил через другой дырявый скрипт.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
