filmhouse.cz - SQL injection
BugTrack
| filmhouse.cz - SQL injection | # |
| Zdravím, tak jeden bug na stránkách filmhouse.cz. Admin byl před 3mi měsíci informován, ale nijak nereagoval, ani chybu neodstranil. Je to verze MySQL 5.0.45-log, takže je tam možnost mrknout se do information_schema ;-)
Jména tabulek, ani nic podobného vám prozrazovat nebudu, schopnější najdou :-) Při troše snahy se vám otevře i účet admina.
a adresa na na SQL injection je: [link]
(odpovědět) | | DragonBehemont | 212.77.163.104/163.242.77.93, unknown | 19.1.2009 8:06 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| tabulka users, stlpce: user_id,user_nick,user_pass. vsehovsudy mi to trvalo 40 sekund. admin je hned prvy user.
(odpovědět) | | bitguard | 67.159.56.* | 19.1.2009 12:12 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| Jsem říkal, že to někteří najdou až moc jednoduše.
(odpovědět) | | DragonBehemont | 212.77.163.104/163.242.77.93, unknown | 19.1.2009 13:57 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| PS.
Ti správci tam jsou dva:
[link]
(odpovědět) | | DragonBehemont | 212.77.163.106/163.242.77.93, unknown | 20.1.2009 8:27 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| Ještě jsem zapomněl na jednoho správce:
[link]
(odpovědět) | | DragonBehemont | 212.77.163.106/163.242.77.93, unknown | 20.1.2009 8:32 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| co takhle mu objednat 1500x 12 ukolu pro asterixe :D by mel radost
----------
Dal bych všechno co vím za polovinu toho co neznám.
(odpovědět) | |
|
|
| re: filmhouse.cz - SQL injection | # |
| Už jsem nad tím taky přemýšlel :-)) Něco, abych mu ukázal, že tam ta chyba prostě opravdu je, že si nevymýšlím.
(odpovědět) | | DragonBehemont | 213.194.252.* | 20.1.2009 16:59 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| Zdá se mi to nebo byla chyba odstraněna a někdo tam napsal "Soom smrdí" ?
(odpovědět) | |
|
|
| re: filmhouse.cz - SQL injection | # |
| Chyba tam je stále, akorát si jeden ze správců změnil heslo na 'SOOM_smrdi' ... nevím, co tím chtěl básník říci.
(odpovědět) | | DragonBehemont | 213.194.252.* | 20.1.2009 17:01 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| co kdyz to treba nekdo drsne vyheckroval a zmenil to heslo sam. To vas ITaky nenapadlo? xD
----------
..:@]> [link] <[@:..
(odpovědět) | DjH |  |  |  319-960-895 | 20.1.2009 20:16 |
|
|
|
| re: filmhouse.cz - SQL injection | # |
| Nenapadlo :-) ... ale všiml jsem si, že odsekli přístup do administrační sekce...
(odpovědět) | | DragonBehemont | 213.194.252.* | 20.1.2009 20:22 |
|
|
|
