HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу Заливка шела при file_priv=N
   
Ответ
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 12.01.2008, 11:59
guest3297
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
С нами: 10459106

Репутация: 2996


По умолчанию
Как 1 из вариантов можно расcмотреть поднятие привелегий в системе

Цитата:
http://milw0rm.com/exploits/311
или брут пароля на mysql если он досупен из web или же есть phpmyadmin, так же хочу заметить в некоторых неграмотно настроенных серверах, юзер может иметь права на read/write на таблицу mysql.user и при это не иметь file_priv, в данном случае мы можем изменить параметр используя update или insert иньекцию или любой редактор для базы данных.
 
Ответить с цитированием

  #12  
Старый 13.01.2008, 06:35
Scipio
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
С нами: 10274726

Репутация: 1917


По умолчанию
Цитата:
так же хочу заметить в некоторых неграмотно настроенных серверах, юзер может иметь права на read/write на таблицу mysql.user и при это не иметь file_priv, в данном случае мы можем изменить параметр используя update или insert иньекцию или любой редактор для базы данных.
Так для этого вроде нужны Grant_priv, которые гораздо большая редкость чем file_priv (я не имею ввиду пользователя root)

Т.е. можно конечно и без Grant_priv, но для этого надо сервер перезагружать
__________________
Карфаген должен быть разрушен...
Последний раз редактировалось Scipio; 13.01.2008 в 06:41..
 
Ответить с цитированием

  #13  
Старый 15.01.2008, 01:37
2promo
Новичок
Регистрация: 29.10.2007
Сообщений: 5
С нами: 9754410

Репутация: 0
По умолчанию
2[ cash ]
Цитата:
можем изменить параметр используя update или insert иньекцию или любой редактор для базы данных.
если инъекция в запросе SELECT и база mysql каким образом ты изменишь параметры? даже если ты можешь читать mysql.*
 
Ответить с цитированием

  #14  
Старый 15.01.2008, 02:04
guest3297
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
С нами: 10459106

Репутация: 2996


По умолчанию
Цитата:
можем изменить параметр используя update или insert иньекцию, или любой редактор для базы данных.
читай внимательнее и не тупи.
Цитата:
если инъекция в запросе SELECT
для адаренных

Цитата:
можем изменить параметр используя update иньекцию или insert иньекцию, или любой редактор для базы данных.
Последний раз редактировалось [ cash ]; 15.01.2008 в 02:22..
 
Ответить с цитированием
Ответ
Страница 2 из 2 < 1 2



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
video заливка шела через phpmyadmin heks Болталка 8 05.01.2008 20:37
Заливка шела на phpBB без бд zzipper Уязвимости CMS / форумов 6 04.02.2006 08:03
химия своими руками silveran Болталка 43 11.01.2006 22:05



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.