| Zdravím, našel jsem tento příklad:
[link]
Před několika dny jsem informoval správce a chybu pořád neodstranil... jedná o SQL injection, nebo se pletu?? Protože když jsem zkoušel 1=1 -> funguje a 1=0 -> nefunguje.
(odpovědět) | | Dragy | 194.138.39.* | 28.7.2008 12:16 |
|
|
|
|
| tak se teda jedná o SQL injection, bo jsem získal přístup do databáze
(odpovědět) | | Dragy | 194.138.39.* | 29.7.2008 8:26 |
|
|
|
| je tam povoleny information_schema ???
(odpovědět) | | jerrys | 85.195.123.* | 29.7.2008 15:54 |
|
|
|
|
| hod sem pls nejaky podrobnejsi info k cemuz jsi se dopidil.. treba information schema nebo tak neco ;-)
(odpovědět) | | jerrys | 85.195.123.* | 29.7.2008 16:37 |
|
|
|
| jedná se o MySQL 4.1; information_schema je zakázaný. Jinak je možnost se přes SQL injection dostat do databáze členů klubu,... na základě tohoto je možno se dostat do admin účtu. Administrátoři stránek již byli informováni, ale k problému se nevyjádřili. Nyní zkouším najít způsob pro PHP injection.
(odpovědět) | | Dragy | 194.138.39.* | 30.7.2008 9:15 |
|
|
|
| Paradox je ten, že je to můj první úspěšný útok ... i když jsem nic nepoškodil, ani nic neměnil, ale získal jsem přístup. Sice v tomto případě webmaster cestu doslova naservíroval na zlatém podnose.. ale i tak potěší úspěch. ;-)
(odpovědět) | | Dragy | 194.138.39.* | 30.7.2008 9:23 |
|
|
|
| jo jo... kdyz ja poprvy nasel XSS, taky sem se malem udelal...
----------
..:@]> [link] <[@:..
(odpovědět) | DjH |  |  |  319-960-895 | 30.7.2008 9:52 |
|
|
|
| :-) ...akorát si nejsem jist, jestli se to dá považovat za úspěch. Protože webmaster mi doslova poskytl návod, jak proniknout do databáze. Jako SQL inj. najdu... ale poprvé, co jsem ho i využil naplno :-)
(odpovědět) | | Dragy | 194.138.39.* | 30.7.2008 10:31 |
|
|
|
| ne ze bych o tom neco vedel, ale neni information_schema az od MySQL5 ? :)
(odpovědět) | | _( | )_ | 90.176.138.* | 30.7.2008 10:53 |
|
|
|
| chich... tak možná proto :-D Ale když jsem zkoušel information_schema, tak jsem ještě nevěděl verzi MySQL ;-) A navíc mi to hlásilo "Access denied" ...
(odpovědět) | | Dragy | 194.138.39.* | 30.7.2008 11:06 |
|
|
|
