ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
13.11.2011, 14:35
|
|
Guest
Сообщений: n/a
Провел на форуме:
97332
Репутация:
38
|
|
Добрый день.
Наткнулся на странную защиту. Там фильтруются ключевые слова и тэги. Причем крайне коряво, но удачно фильтруется слово SELECT
Можно как-то запрос
Код:
Code:
+union+select+1,2,3,4,5,6+--+
реализовать без select? Или же как-то закодировать его от фильтра?
Спасибо. |
|
|
|
13.11.2011, 14:43
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
+union+/*!select*/+1,2,3,4,5,6+--+
+union+%0Aselect+1,2,3,4,5,6+--+
поробуй так
__________________
В сырых могилах Второй Мировой
Солдатам снятся цветные сны.
Их кости порой видны под первой травой,
Когда сойдет снег в начале весны.
Славяне тоже сражались в отрядах СС
За чистоту арийской крови.
Теперь они дремлют за чертою небес,
Но снова встанут на бой, лишь позови.
|
|
|
13.11.2011, 14:50
|
|
Guest
Сообщений: n/a
Провел на форуме:
97332
Репутация:
38
|
|
увы, отфильтровало оба варианта...
Судя по всему там поиск по строке на совпадения.
Был, вроде, какой-то способ закодировать в хекс или base64, но я его не знаю, и не смог найти в гугле
p.s. А может можно вставить 1 символ чаром?
тоесть union+sel(char(101))ct+ ?
Это возможно? Как правильно?
|
|
|
|
13.11.2011, 14:52
|
|
Новичок
Регистрация: 03.05.2009
Сообщений: 7
Провел на форуме:
102906
Репутация:
-14
|
|
+UnIoN+SeLeCt+1,2,3,4,5+--+
вместо + можно поставить %09 если ещё фильтруется "+"
|
|
|
|
13.11.2011, 14:52
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
Вот как делают профессионалы:
Сообщение от None
?id=(1)and(1=0)union/*c*/select(1),2,3,4,5,6--
|
|
|
|
13.11.2011, 14:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
97332
Репутация:
38
|
|
Народ, вы не поняли...
В запросе просто ПОИСКОМ ищутся ключевые слова.
Поэтому везде, где есть select - срабатывает фильтр...
p.s. сканируется адресная строка, и только!
Если это обойти - дольше уже не вазникнет проблемм.
|
|
|
|
13.11.2011, 15:01
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Сообщение от Osstudio
Osstudio said:
Вот как делают профессионалы:
Osstudio, как всегда, отжигает
ТС, если идет тупо поиск подстроки - не обойдешь никак.
Фильтр может быть корявым, попробуй через POST отправить, но я сомневаюсь, что это сработает...
|
|
|
|
13.11.2011, 15:02
|
|
Новичок
Регистрация: 03.05.2009
Сообщений: 7
Провел на форуме:
102906
Репутация:
-14
|
|
+union+char(0x73,0x65,0x6c,0x65,0x63,0x74)+1,2,3,4 ,5+--+
|
|
|
|
13.11.2011, 15:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
Блин, Глебан, давай линк в студию, мы не ванги тут между прочим, ты ещё много-го не понимаешь, и по этому можешь ошибаться, ГОНИ ЛИНК!
Пробуй "WITHOUT UNION"
Сообщение от mailbrush
mailbrush said:
Osstudio, как всегда, отжигает
Ну а как же |
|
|
|
13.11.2011, 15:09
|
|
Guest
Сообщений: n/a
Провел на форуме:
97332
Репутация:
38
|
|
Сообщение от Osstudio
Osstudio said:
Блин, Глебан, давай линк в студию
Да, пап
http://lugbasket.org.ua/php/game.php?id=12
aydin-ka, твой вариант - вообще не отработал как запрос.
mailbrush, пост фильтруется, кукие - не используется.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
