Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Поймите, что когда вы заливаете картинку, она не будет работать сама, ну не будет, понимаете. Нужно ее проинклюдить где-то. Ну или перезаписать .htaccess.
     
    _________________________
    2 people like this.
  2. Dagger

    Dagger New Member

    Joined:
    7 Oct 2010
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0


    Спасибо огромное-) :) Где прочитать как заинклудить картинку или перезаписать htaccess?
     
    #15982 Dagger, 29 Jan 2011
    Last edited: 29 Jan 2011
  3. haito

    haito Banned

    Joined:
    27 May 2010
    Messages:
    23
    Likes Received:
    1
    Reputations:
    1
    странные ошибки

    Можем ли мы получить "table_name" от этой ошибки?
    http://www.icedtime.com/search?gender=[men,women,unisex]&price=[0,1000000]&categories=[7700']
    SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' and 1=2)' at line 1
     
  4. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    475
    Likes Received:
    190
    Reputations:
    221
    а в чём проблема? раскручиваешь как обычную скулю, только скобку закрыв перед запросом
     
  5. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Для инклюда нужен бажный скрипт на сайти, надо найти уязвимость типа LFI. О них много рассказано на форуме, примеры есть в теме РНР-инъекции.
    Хтаксесс можно перезаписать/записать путем заливки файла с таким именем и добавления чего-то вроде
    AddType application/x-httpd-php .gif
     
    _________________________
  6. Dagger

    Dagger New Member

    Joined:
    7 Oct 2010
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0

    ок. Помог. Хорошо помог-) Это именно то,что я хотел услышать. Респект
     
    #15986 Dagger, 30 Jan 2011
    Last edited: 30 Jan 2011
  7. assinjeans

    assinjeans New Member

    Joined:
    30 Jan 2011
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    при кавычке выдает
    Warning: getimagesize(discograf/51\'/say_face_01.jpg): failed to open stream: No such file or directory in /home/vitasco3/public_html/adm/disco/class_disko.php on line 335
    пытаюсь подставить логическую операцию выдает тоже самое.
    уязвимость ли это и можно ли ее раскрутить?
     
  8. M.W.N.N.

    M.W.N.N. Member

    Joined:
    5 Jan 2009
    Messages:
    173
    Likes Received:
    78
    Reputations:
    6
    Вы бы сперва хоть ознокомились с php, sql а потом что то делали. толку от того что вы суете везде ковычки. перед вами ошибка в которой все описанно. нету там иньекции. единственно что вот xss
    Code:
    http://www.vitas.com.ru/diskograf.php?id=12%22%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E%3C%22
     
  9. KREGI

    KREGI Banned

    Joined:
    9 Feb 2009
    Messages:
    42
    Likes Received:
    3
    Reputations:
    1
    что дает эта ошибка, кроме раскрытия путей?
    Fatal error: Uncaught exception 'E_NOTICE' with message 'Undefined variable: text_block' in [path]:62 Stack trace: #0 [path](62): PHP_Exceptionizer_Catcher->handler(8, 'Undefined varia...', '[path]', 62, Array) #1 /[path](4): require_once('[path]') #2 {main} thrown in [path] on line 62
     
    #15989 KREGI, 1 Feb 2011
    Last edited: 1 Feb 2011
  10. bassoto

    bassoto New Member

    Joined:
    26 Feb 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Нашол 90 уязвимостей

    Уязвимости для sql injecion, нужно скачать весь сайт с базой и скриптами.Подскажите как или за отдельную плату можете это сделать?
    Сайт lbss.lv
     
  11. novi4ek92

    novi4ek92 New Member

    Joined:
    4 Dec 2010
    Messages:
    23
    Likes Received:
    0
    Reputations:
    -5
    www.blabla.com/posting.php?mode=post&f='&sid=1d83ba1228e6ef2a1f3e4ea8afc88e88
    показывает:
    Warning: strtr() [function.strtr]: The second argument is not an array in /home/mastery/blabla.com/includes/session.php on line 2184

    Fatal error: template->_tpl_load_file(): File /message_body.html does not exist or is empty in /home/mastery/blabla.com/includes/functions_template.php on line 63
    пошарил античат,гугл,хакер ру,начал перебирать +unon+select+1,2,3
    www.blabla.com/posting.php?mode=post&f='&sid=-1d83ba1228e6ef2a1f3e4ea8afc88e88+unon+select+1,2,3 ,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,2 2,23,24,25,26,27,28,29,30
    дошел до 30 безрезультатно.показывает все тоже сообшениею.обьясните плиз может что то не так делаю???и как надо делать
     
  12. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Это не ошибка БД, тут нет инъекции.
     
  13. novi4ek92

    novi4ek92 New Member

    Joined:
    4 Dec 2010
    Messages:
    23
    Likes Received:
    0
    Reputations:
    -5
    а инклуд здесь можно сделать?
     
  14. CheatCodeX

    CheatCodeX New Member

    Joined:
    12 Jan 2011
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    http://3389.ru/servers?sort=199 ПОмогите пожалуйста тут просто ошибка?или тут есть сукль.
     
  15. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Да скуль там походу, только пробелы что-то режет.
     
    _________________________
  16. Dare

    Dare Elder - Старейшина

    Joined:
    26 Apr 2010
    Messages:
    53
    Likes Received:
    24
    Reputations:
    17
    Тут НЕТ sql инъекции!
     
  17. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    475
    Likes Received:
    190
    Reputations:
    221
    инъекция там в order by но все не алфовитно-цифровые символы обрезаются
     
  18. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Есть идеи по обходу?
     
    _________________________
  19. Samael91

    Samael91 New Member

    Joined:
    2 Dec 2010
    Messages:
    38
    Likes Received:
    0
    Reputations:
    0
    Подскажите пожалуйста это PHP-inj?
    http://smsa.net.ru/tv/index.php?id=1h
     
  20. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    нет.
     
Thread Status:
Not open for further replies.