hack tj
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
hack tj - 2006-02-18 16:14:35
|
|
|
XsairON
Сообщений: 8
Оценки: 0
Присоединился: 2005-05-14 13:41:05
|
я тут одной долгой бессонной ночью серфил инет и нарвалсяна один примечательный сайт…www.*****.tj я стал его просматривать и нашёл очень частый баг: при введении впараметре id -''[sm=ment.gif] он выдает следующее: Can''t execute query SELECT a.id ,a.header ,a.brief ,a.archive ,a.showfull ,a.picture ,a.full ,a.data ,ac.category_id FROM articles a ,articles_categories ac WHERE a.id = ac.article_id AND ac.category_id = 9\'' AND a.archive = 0 ORDER by a.data DESC MySQL Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\'' AND a.archive = 0 ORDER by a.data DESC'' at line 15
This Sсгiрt cannot continue, terminating. я вышел на админа, но не могу взломать пароль…
помогите или подскажите , сто делать дальше[sm=13.gif]
|
|
|
hack tj - 2006-02-18 16:29:14
|
|
|
Python
Сообщений: 4964
Оценки: 0
Присоединился: 2005-12-14 08:32:13
|
Хм… взломать пароль? Про это что-то было в FAQ.
|
|
|
hack tj - 2006-02-18 16:39:10
|
|
|
XsairON
Сообщений: 8
Оценки: 0
Присоединился: 2005-05-14 13:41:05
|
ну так что, мне кто-нить , что-нить дельное подскажет????[sm=8.gif]
|
|
|
hack tj - 2006-02-18 17:10:23
|
|
|
adwokat
Сообщений: 252
Оценки: 0
Присоединился: 2005-11-12 14:19:05
|
[p]quote:
—————-<BR>Цитата: Дата:18.02.2006 16:14:35, Автор: XsairON :: <BR>я вышел на админа, но не могу взломать пароль…<BR>помогите или подскажите , сто делать дальше[sm=go139.gif] —————-
Что значит взломать? Хеш админского пароля чтоли поломать не можешь? Или что? И еще что значит "вышел на админа"?
|
|
|
hack tj - 2006-02-18 19:35:57
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
Раз кавычка экранировалась слешем, то включена magic_quotes_gpc. Попробуй прописать в урле в id так: url:…….id=9 AND a.archive = 0 ORDER by a.data DESC/* должно выполниться без ошибок. Затем нуно пробовать два запроса через union. Ч то либо точкно сказать сложно. Здесь тока на ощупь. Было бы лучше, если бы сайт был на готовом движке. Попробуй это узнать. Тогда можно покапаться на секурити сайтах и откопать сплоит. На диск ты себе результаты запроса по крайне мере слить не сможешь. Из-за magic_quotes_gpc
|
|
|
hack tj - 2006-02-19 12:38:13
|
|
|
XsairON
Сообщений: 8
Оценки: 0
Присоединился: 2005-05-14 13:41:05
|
#chaos_coder# я ввел но ничего кроме: [sm=8.gif]Can't execute query SELECT рагеnt_id, name FROM categories WHERE id = 9 AND a.archive = 0 ORDER by a.data DESC/* MySQL Error: Unknown table 'a' in where clause
This Sсгiрt cannot continue, terminating.
|
|
|
hack tj - 2006-02-19 16:52:53
|
|
|
XsairON
Сообщений: 8
Оценки: 0
Присоединился: 2005-05-14 13:41:05
|
кстати , если в строке для ввода адреса Ввести <h1>HACKED BY XsairON</h1> , то это отображается на странице…[sm=10.gif][sm=1.gif][sm=9.gif]
|
|
|
hack tj - 2006-02-19 19:39:19
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
Там псевдонимы вместо реальных названий таблиц, ты точно в тот запрос вставлял? Замена реальных имен псевдонимами - делается, чтобы запрос был короче делается в начале запроса. Например select a.name from table as a where a.id=1 Теги работают, тогда пробуй phpinfo(), <?php phpinfo()?>, echo('Hello') и т.п.
|
|
|
|
|