Реальный путь к серверу %s

парни помогите а?извените что не в том разделе просто там и так много тем(ругаться будут).
Возможно получение реального пути к веб-серверу с помощью запроса:
www.blabla.com/posting.php?mode=post&f='&sid=1d83ba1228e6ef2a1f3e4ea8afc88e88
показывает:
Warning: strtr() [function.strtr]: The second argument is not an array in /home/mastery/blabla.com/includes/session.php on line 2184

Fatal error: template->_tpl_load_file(): File /message_body.html does not exist or is empty in /home/mastery/blabla.com/includes/functions_template.php on line 63
пошарил античат,гугл,хакер ру,начал перебирать +unon+select+1,2,3
www.blabla.com/posting.php?mode=post&f='&sid=-1d83ba1228e6ef2a1f3e4ea8afc88e88+unon+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30
дошел до 30 безрезультатно.показывает все тоже сообшениею.обьясните плиз может что то не так делаю???и как надо делать
P.S отправлять в гугл не надо.

 

это не mysql inj поля перебирать нет смысла

 

а что это?php ошибка какая то?а что делать имеет смысл?

 

Во-первых
Во-вторых если туго понимаешь, есть спец. проги для раскрутки sql injectoin.
Например SQLdumper, SQLhelper и т.д.

 

Это не скуль, бро.
А полный путь ты итак получил.

 

может я чего то не понял но во всех 4х случаях я не увидел даже схожего с моим случаем.

 

*** кинь ссылку на уязвимую страницу.

 

а через это можно базу пользователь выташить?или сервер ломануть?

 

мне походу уже смысла нет че либо искать чтоб с этого сайта базу выдернуть?уже выдернули видимо(((

 

короче вот смотри, есть ссылка

Code:

http://www.freescience.info/books.php?id=1

вставляешь ' после значения параметра:

Code:

http://www.freescience.info/books.php?id=1'

видишь:

Code:

Errore nell'esecuzione dell query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 2

Все значит здесь параметр id уязвим, далее его раскручиваешь вручную ну или прогой.
ps могу посоветовать Havij для раскрутки

 

так у него ж посложней параметр, я на такие сайты всегда забивал, и шел дальше

 

с чего ты взял что у него скуля?

 

при добавлении кавычки в параметр вылезает ж ошибка, я не говорил что скуля, мож там пхп инклуд канает, /../../etc/passwd чо там помню

 

точ точ такая же скуля...
да и вообще для этого спец. раздел есть
хорош флудить=)

 

ну помоги ему раскрутить тогда, если стандарные способы не канают значит обробатывается какими то фильтрами к примеру пробелы плюсики за место пробелов, если хави или хелпер находят путь как раскрутить скулю то и в ручную не вопрос, помогите типу, если просит, видно ж что научиться хочет.

солидарен

 

спасиб...плизз помогите раскрутить???

ps хави и халпер это сканеры?

 

че шифроваться полную ссылку кинь сюда

 

вылезает, но вроде это не mysql ошибка, а скорее инклуд

 

перенести тему в соответствующий раздел, хай там и разбираются, скорей всего я думаю он нашел LFI если скуля не крутиться, так что тему про пхп инклуды, все

 

не охота флудить если и там тему создовать,а как переносить я не в курсе.да и тут народу больше может все таки кто нить подскажет