нашел скрипт на одном сайте типа site.com/check.php если просто перейти по нему то выводит это: требует логина..если запрос сделать site.com/check.php?login=admin выводит: могут ли быть какие варианты?пробовал типа login=admin&pass и.т.п безрезультатно
Хелп. Есть расрученная скуль. File_priv="N" Двиг: джумла 1.5.15. Есть пароль админа, но, судя по информации из таблиц о плагинах - стоит JSecure и редиректит всегда на главную. Как можно посмотреть его секретный ключ? Все таблицы облазил - не нашел. Читал, что можно глянуть в XML файле конфига JSecure, но никак не могу это сделать через "LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test FIELDS TERMINATED BY '\n'". Скажите, какие условия нужны для чтения файлов таким способом и как это реализуется?
Code: http://www.gorobzor.ru/articles/sportzhizn/mir-v-ozhidanii-evro-2016-vo-francii-09-02-2016' Вывод ошибки в title , возможно ли раскрутить? Пробовал sqlmap, без результата
При вводе site.com/administrator/ редиректит на главную. Судя по всему JSecure плагин, который меняет адрес админки на site.com/administraor/?secret_key Вот этот самый секрет кей мне и нужен. Может, конечно, и htaccess жить мешает.. БД - MySql 5.1.66-log. В базе есть инфа о времени последнего входа админа - прочитать бы через скуль логи апача в это время - было бы шикарно, выявился бы линк админки, но запросам типа "LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test FIELDS TERMINATED BY '\n'" выдает [WARNING] execution of custom SQL queries is only available when stacked queries are supported - уязвимый скрипт не позволяет такое выполнять. Сервер не шаред - на айпишнике один сайт - phpmyadmin отсутствует. Все плагины уже проверил на паблик уязвимости - бесполезно Ну очень нужен шелл...
если именно этот плагин попробуй поискать jos_plugins и там System - jSecure Authentication там должен быть key=твое секретное слово
Смотрел - нету. 131 0 System - jsecure 0 <blank>system 0 jsecure 7 1 0 0000-00-00 00:00:00 Вот строка. Key параметра нет. published - 1 - значит плагин активен.
Сайт вобще весь дырявый. Мне лично было проще раскрутить Code: http://www.gorobzor.ru/vibor2012/validEmail.php?Email='
Есть сайт, заходя в админку не подгружает картинки и js, из-за того что коряво настроен код админки или что то намутили админы. Тоесть пытается подгрузить данные по пути admin.site.com, которого же не существует ( существует, но при переходе на него перебрасывает на основной на главную). При изменении исходного когда с http://admin.site.com/media... на обычный http://site.com/media... все грузит и показывает как надо. Нужно сделать как то это автоматически, без ручного исправления кода каждый раз, какие есть варианты? с hosts не получается ничего.
Просто неработает, непонятно. мб потому как при заходе на ип адрес сайт не открывает. А что за плагин такой?
Заливаю шел через картинку пропускает но сохраняет под имени file. точка в конец как обоити ? + пишет Невозможно получить длину и ширину изображения
Неподскажите, можно ли через phpmyadmin коннектиться к произвольному серверу, как в админере? без дополнительных настроек в /setup/ ?
Вывел логин и пароль через xpath syntax error,ищу админку,нашёл токо phpmyadmin. Ввожу данные и не подходят(пароль не хэш был,а незашифрованный!) . Значит есть другая админка или проблема в другом? Ошибка 1045 выводил . не удалось подключиться к mysql... Apache/2.2.22 (@Release@) Yii Framework/1.1.15
Хелп, не получается раскрутить( http://www.byggecentrum.dk/kurser/k...t/produkter/sortering/kursusdato'/?no_cache=1
есть урл такого вида site.com:8082,site.com:8088...что означяет даные порты....если я взломая 1 попаду на обШии сервак? как Это работает?
Легко и просто: PHP: http://www.byggecentrum.dk/kurser/kursuskategorier/handling/list/produkter/sortering/%60name%60,extractvalue(0x0a,concat(0x0a,(select+version())))--+g/?no_cache=1 Только там с точками пробелы, но учитывая, что стоит на TYPO3, мне кажется структуру БД найти не будет проблемой. Это может быть CPanel, ISPManager и т.д. Скорее всего хостинг, так что перспективы иметь доступ ко всему малы. Может повезет, и ядро ОС старое, тогда есть шансы на полный контроль. Но я бы посоветовал начинать с основ, типа PHP. PhpMyAdmin - утилита для подключения к базе данных. Пароль к нему подойдет, только если ты взял его из `mysql`.`user`. Если пароль взят из другой таблицы, то определенно есть другая админка. Поищи еще. Если есть стандартная форма авторизации, попробуй через нее, возможно ссылка на админку появится сама. И да, Yii является фреймворком, а не CMS. Советую, тоже, основы.
не понимаю обясните! можн ли как обойти, режет from и остальное. в корне есть phpinfo Code: http://www.securmed.it/it/catalogo.php?cat=-3+union+select+1,version(),3+sec_categoria+--+ и еще вопрос что с этим делать, хех No se puede ejecutar el query, error: XPATH syntax error: ':root:*4F23645A18ABD4FACEB00C9BC'
