ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
10.11.2007, 17:14
|
|
Новичок
Регистрация: 09.11.2007
Сообщений: 24
Провел на форуме:
60954
Репутация:
3
|
|
Подскажите: на сайте сделал так: https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=-1
На странице выпала стесно оштбочка следующего содержания:
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/dist/html/include/gen/forum.php on line 110
Вопрос: это и есть SQL-injection? Если да, то какие действия далее?(+union+select+nul-- ничего не дает, даже это: +union+select+@@version+)
Последний раз редактировалось Derec; 10.11.2007 в 17:16..
|
|
|
10.11.2007, 18:12
|
|
Участник форума
Регистрация: 07.08.2007
Сообщений: 139
Провел на форуме:
2063900
Репутация:
138
|
|
В двух словах не рассказать. Ищи основы проведения инъекций.
Либо можешь просмотреть сразу примеры:
http://forum.antichat.ru/thread21336.html
|
|
|
|
10.11.2007, 18:32
|
|
Members of Antichat - Level 5
Регистрация: 24.10.2007
Сообщений: 256
Провел на форуме:
6905523
Репутация:
1174
|
|
Для начала, неплохо бы обратиться к статьям, их ведь не от нечего делать писали.
http://forum.antichat.ru/thread43966.html
|
|
|
|
12.11.2007, 01:00
|
|
Новичок
Регистрация: 09.11.2007
Сообщений: 24
Провел на форуме:
60954
Репутация:
3
|
|
Ну тогда хотя бы скажите это Sql инъекция или липа?
|
|
|
|
12.11.2007, 01:09
|
|
Leaders of The World
Регистрация: 06.07.2007
Сообщений: 246
Провел на форуме:
2030482
Репутация:
1796
|
|
Ну надо полагать что да... Хотя ссылку бы кинул, глянул может...
__________________
Кто я?..
Последний раз редактировалось I-I()/Ib; 12.11.2007 в 01:12..
Причина: запятые это вещь...
|
|
|
|
12.11.2007, 01:40
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
сначала проверь саму sql-inj
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=1/*
данные выведутся
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=2/*
не выведутся
потом подбери количество столбцов
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+order+by+[number]/*
ну а потом проверь версию и тд
все можно вывести в одном столбце CONCAT_WS(0x3A,VERSION(),USER(),DATABASE())
з.ы. если не пройдут юнионы проверь через условие версию and+(ascii(substring(VERSION(),1,1))=51)
з.з.ы вместо [что-то] надо подставить данные
з.з.з.ы. это не алгоритм а лишь один из вариантов дальнейших действий |
|
|
|
12.11.2007, 01:46
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
да и вобще, это MySQL, а не MSSql который та пытаешься пользовать, даже в сообщении об ошибках это видно
__________________
Карфаген должен быть разрушен...
|
|
|
|
12.11.2007, 02:10
|
|
Новичок
Регистрация: 09.11.2007
Сообщений: 24
Провел на форуме:
60954
Репутация:
3
|
|
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=2/*
halkfild, даже при этом данные выводятся  Блин, да что ж такое!
Дело такое: ссылку дать не могу, поскольку использую для входа свой логин и пароль. Это типа мини-форум, на котором меня круто #@!&, написали от моего лица не совсем приличное! Единственный выход проникнуть в базу, узнать пароли. Сам я MySQL не знаю (только MSSQL  ). halkfild, посоветуй, что нибудь ещё, очень прошу!
|
|
|
|
12.11.2007, 15:10
|
|
Leaders of The World
Регистрация: 06.07.2007
Сообщений: 246
Провел на форуме:
2030482
Репутация:
1796
|
|
Сообщение от Derec
halkfild, даже при этом данные выводятся :( Блин, да что ж такое!
Дело такое: ссылку дать не могу, поскольку использую для входа свой логин и пароль. Это типа мини-форум, на котором меня круто #@!&, написали от моего лица не совсем приличное! Единственный выход проникнуть в базу, узнать пароли. Сам я MySQL не знаю (только MSSQL :rolleyes: ). halkfild, посоветуй, что нибудь ещё, очень прошу!
Понимаешь в чем беда, тут вариантов масса...
Кстати попробуй закрыть кавычкой [реальный индекс]...
Или кинь ссылку тогда в личку чтоле если так боишся выкладывать...
PS это не "единственный выход" еще как вариант набить морду тому кто это сделал :))
__________________
Кто я?..
|
|
|
|
12.11.2007, 17:54
|
|
Участник форума
Регистрация: 07.08.2007
Сообщений: 139
Провел на форуме:
2063900
Репутация:
138
|
|
Да он давал уже ссылку. Вроде там ниче не сделать
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
