ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
13.08.2011, 18:26
|
|
Guest
Сообщений: n/a
Провел на форуме:
21918
Репутация:
6
|
|
GroM88,
PermitRootLogin
Разрешить пользователю root вход через протокол SSH. Возможные значения: "yes", "without-password", "forced-commands-only", "no". Если директива установлена в "without-password" вход для пользователя root по паролю, будет запрещен. Значение "forced-commands-only" разрешает регистрацию пользователя root по открытому ключу, но только если установлен параметр command ( может пригодиться для удалённого создания резервных копий, даже если вход пользователя root по протоколу SSH, в обычном режиме запрещен ). Остальные способы аутентификации для пользователя root будут запрещены.
Значение по умолчанию "no", удаленный вход в систему пользователем root, полностью запрещён.
|
|
|
|
13.08.2011, 20:07
|
|
Участник форума
Регистрация: 29.11.2007
Сообщений: 116
Провел на форуме:
283596
Репутация:
88
|
|
Что-то туплю, натолкните на верный путь.
Есть уязвимый скрипт перловый, уязвимость в виде возможности удаленных команд оси.
Пробовал залить шел (wso) через wget заливается, но если пробовать зайти при вводе пароля обновляется страница и выводит снова ввод пароля т.е. дальше не идет.
Что не так?
Собственно цель добраться до базы. Может кто посоветует в какую сторону рулить?
|
|
|
13.08.2011, 20:09
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Сообщение от AKYLA
AKYLA said:
Что-то туплю, натолкните на верный путь.
Есть уязвимый скрипт перловый, уязвимость в виде возможности удаленных команд оси.
Пробовал залить шел (wso) через wget заливается, но если пробовать зайти при вводе пароля обновляется страница и выводит снова ввод пароля т.е. дальше не идет.
Что не так?
Собственно цель добраться до базы. Может кто посоветует в какую сторону рулить?
залей шелл, который сессии не юзает. Или убери авторизацию в WSO
|
|
|
|
14.08.2011, 13:09
|
|
Guest
Сообщений: n/a
Провел на форуме:
3807
Репутация:
0
|
|
Столкнулся с проблемой - не могу закомментировать скулю, чтобы ошибку не выдавало.
Параметр ?id=f'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND page_type != 'main' AND date1_formatted
|
|
|
|
14.08.2011, 14:50
|
|
Познающий
Регистрация: 20.04.2006
Сообщений: 67
Провел на форуме:
170762
Репутация:
-1
|
|
можно ли обойти фильтрацию сделаную на php функции mysqli_real_escape_string
то есть все спец символы проходят но перед ними ставиться слеш \
|
|
|
|
14.08.2011, 15:01
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от ysmat
ysmat said:
можно ли обойти фильтрацию сделаную на php функции mysqli_real_escape_string
то есть все спец символы проходят но перед ними ставиться слеш \
Нет. Есть некоторые условия при которых можно обойти эту функцию, но это случается очень редко.
|
|
|
|
14.08.2011, 15:36
|
|
Познающий
Регистрация: 20.04.2006
Сообщений: 67
Провел на форуме:
170762
Репутация:
-1
|
|
хорошо тогда почему не вызывают ошибку
запросы где ковычка указана в не явном виде
например
SELECT * FROM pref_users where name='hvkjhv char(39) iuy'
SELECT * FROM pref_users where name='hvkjhv 0x27 iuy'
в зти запросы функция mysqli_real_escape_string
ничего не добавила но они не работают
|
|
|
|
14.08.2011, 15:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от ysmat
ysmat said:
хорошо тогда почему не вызывают ошибку
запросы где ковычка указана в не явном виде
например
SELECT * FROM pref_users where name='hvkjhv char(39) iuy'
SELECT * FROM pref_users where name='hvkjhv 0x27 iuy'
в зти запросы функция mysqli_real_escape_string
ничего не добавила но они не работают
char и hex это не явный вид, а так как данные попадают в кавычки mysql воспринимает их как простую строку по этому ошибки и нет, и т.к. таких данных в колонке name нет возвращается false
|
|
|
|
14.08.2011, 19:19
|
|
Guest
Сообщений: n/a
Провел на форуме:
124363
Репутация:
11
|
|
Код:
Code:
http://www.unistream.ru/press/detail.php?ID=18667
помогите кто нить раскрутить!
4 ветка,но фильтруется пробел,кавычка,коментарии! |
|
|
|
14.08.2011, 19:22
|
|
Guest
Сообщений: n/a
Провел на форуме:
42754
Репутация:
0
|
|
Сообщение от Faaax
Faaax said:
Код:
Code:
http://www.unistream.ru/press/detail.php?ID=18667
помогите кто нить раскрутить!
4 ветка,но фильтруется пробел,кавычка,коментарии! Мне пишет
Сообщение от None
Forbidden
Access denied.
Не могу посмотреть.
|
|
|
|
|
|
|
|
Здесь присутствуют: 4 (пользователей: 0 , гостей: 4)
|
|
|
|
Похожие темы
Линейный вид
