ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
24.03.2019, 23:13
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от Xsite
↑
скуля в юнион
мускул(MariaDB fork)
проблема с кодировкой password (blob)
вид:|
Linkinsgirl69@yahoo.com
| G/\x12\\?ЦУ?дЬЧП?XP_ | 2 |
попробывал выводить с --binary-fields=password , c --hex , вид не меняется .
Есть ли способы вытащить пароль в нормальном виде?
C чего взял что blob?
|
|
|
24.03.2019, 23:16
|
|
Новичок
Регистрация: 21.01.2010
Сообщений: 0
Провел на форуме:
4776
Репутация:
0
|
|
|
|
|
|
24.03.2019, 23:21
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
хм... случайно не так --common-column. Даже не знаю что можно сделать, если только в аски вытаскивать,дальше декодировать...
|
|
|
|
24.03.2019, 23:25
|
|
Новичок
Регистрация: 21.01.2010
Сообщений: 0
Провел на форуме:
4776
Репутация:
0
|
|
Сообщение от BabaDook
↑
хм... случайно не так --common-column. Даже не знаю что можно сделать, если только в аски вытаскивать,дальше декодировать...
не понял причем тут комон-колум , но ладно ) хз что с этим делать , первый раз такое вижу
|
|
|
|
24.03.2019, 23:35
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от Xsite
↑
не понял причем тут комон-колум , но ладно ) хз что с этим делать , первый раз такое вижу
когда я я брутил колонки так --common-column У меня подобная фигня была..
|
|
|
|
25.03.2019, 03:18
|
|
Новичок
Регистрация: 21.01.2010
Сообщений: 0
Провел на форуме:
4776
Репутация:
0
|
|
Сообщение от BabaDook
↑
когда я я брутил колонки так --common-column У меня подобная фигня была..
Нет колонки и вся прочая инфа збс выводится . судя по всему это никак не победить )
|
|
|
|
25.03.2019, 03:23
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от Xsite
↑
Нет колонки и вся прочая инфа збс выводится . судя по всему это никак не победить )
В лс кинь,может придумаемм что-то
|
|
|
|
05.04.2019, 22:43
|
|
Познающий
Регистрация: 17.04.2011
Сообщений: 63
Провел на форуме:
24943
Репутация:
8
|
|
Помогите крутануть
[ 21:12:05] [ INFO] Host parameter 'Host' appears to be 'MySQL OR time-based blind (ELT - comment)' injectable
[ 21:36:03] [ INFO] heuristic (XSS) test shows that GET parameter 'call' might be vulnerable to cross-site scripting (XSS) attacks
.SpoilerTarget" type="button">Spoiler: site
http://wiki.timezero.ru/lib/exe/ajax.php?call=1 |
|
|
|
10.04.2019, 15:44
|
|
Новичок
Регистрация: 12.05.2010
Сообщений: 10
Провел на форуме:
37183
Репутация:
0
|
|
доброго времени суток.
знаем, что в параметре blind-inj: при AND 1=1 - выводит Access Denied, при AND 1=0 - обычная страница. sqlmap не видит её, лишь что ему access denied выдают. как ему намекнуть что это верный возврат?
WAF: KONA Security Solutions (Akamai Technologies)
--
ответ: --code=403
--
что не помогло в случае с данной WAF
|
|
|
|
27.04.2019, 14:13
|
|
Новичок
Регистрация: 27.04.2019
Сообщений: 6
Провел на форуме:
1589
Репутация:
0
|
|
Помогите разобраться, постоянно прости токен при запуске, конкретно по этой ссылке, при этом через Sqli Dumper. база сливается спокойно, но криво.
https://paste.pics/5EOE3
Как с этим бороться?
GET parameter 'carttoken' appears to hold anti-CSRF token. Do you want sqlmap to automatically update it in further requests?
и чтобы не выбрал по итогу:
.SpoilerTarget" type="button">Spoiler: КОД
[13:42:18] [INFO] testing connection to the target URL
[13:42:25] [INFO] heuristics detected web page charset 'ISO-8859-2'
[13:42:25] [INFO] testing if the target URL content is stable
[13:42:32] [WARNING] target URL content is not stable (i.e. content differs). sqlmap will base the page comparison on a sequence matcher. If no dynamic nor injectable parameters are detected, or in case of junk results, refer to user's manual paragraph 'Page comparison'
how do you want to proceed? [(C)ontinue/(s)tring/(r)egex/(q)uit] с
[13:42:43] [INFO] ignoring GET parameter 'carttoken'
[13:42:43] [CRITICAL] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent'
[*] ending @ 13:42:43 /2019-04-27/
'action' is not recognized as an internal or external command,
operable program or batch file.
'ItemID' is not recognized as an internal or external command,
operable program or batch file.
'category' is not recognized as an internal or external command,
operable program or batch file.
'viewby' is not recognized as an internal or external command,
operable program or batch file.
'sortorder' is not recognized as an internal or external command,
operable program or batch file.
исход всегда один и тот же.
Просто я понять не могу, везде про csrf и anti-csrf пишут и показывают, речь идет о входа куда либо (usernameassword)
А это обычная страница с описанием товара. токен она отсылает, а где взять anti-csrf - ума не приложу. |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
