| Vice jak 80% testovanych PHPRS je prostrelitelnych jednoduchym zpusobem.
napriklad web: www.tomasdub.cz ...
url: /search.php?rstext=all-phpRS-all&rstema
=0
chyba nastane kdyz na konec si data cokoliv ... klidne inject code ...
staci pouzit nastroj HAVIJ Free ... zadat adresu na sledovani : [link]
a nechat prohledat ... a obsahy DB mate za chvili vkapse vcetne tabulky rs_user, kde je samozrejme jmeno a heslo ...
admin:8736a180b46286e3ca7fa588994fa70b (je to jen 6 malych pismen a cislo) :D
a kdo zna PHPrs vi ... tak staci pouzit /admin.html a jste tam ...
PHPrs webu je na internetu mraky a mraky ma tuto chybu ... :) tak preju hezkou zabavu po vecerech :)
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| omlouvam se pokud tu o tom uz nekdo psal ... kdyztak to smaznete :)
zatim se slabostma webu zacinam :)
samozrejme do zhruba 30% webu jde pres admin nahrat soubor s koncovkou .phtml .... takze s nejakym hezkym Shellem (c99, storm) se daj najit pekne veci ....
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| havij free(?)
~_~
(odpovědět) | | jermenkoo | 195.91.109.* | 23.9.2012 2:35 |
|
|
|
|
| re: phprs - velka chybovost | # |
| to uz se objevilo pred nejakym casem na security-portalu takze nic noveho [link] phprs je jinak zabugovane od hora dolu.
(odpovědět) | | niels | 193.200.150.* | 23.9.2012 12:36 |
|
|
|
| re: phprs - velka chybovost | # |
| aha, tak to jo .... a tak to nevadi, nebo jo?
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| používánim havije se dopouštíš hned dvou zločinů
používáš windows (teda jestli to nerozjíždíš přes wine xD)
a používáš havij ---> fuuuuuu
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| phr: bohuzel jsem v tomhle amater a jeste to neumim ... na notebooku mam linux :)
a co teda mam jineho pouzit? nebo me naucis snad neco lepsiho ? :)
Rad bych se to naucil, ale je na to malo casu ... a musim se venovat sve praci :(
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| heh, takže úvod do SQLi?
Mno...o něco líp vypadá pythoní script sqlmap který toho umí také o hodně víc než havij, dalším plusem (nebo možná mínusem:-) je textové rozhraní na které se já osobně dívam mnohem radši. I když ani sqlmap neni to pravé ořechové :/...zkus se kouknout po článku SQLi full paper kterej vyšel na security-portal.cz. SQLi jde totiž provést i ručně...a to mi přijde záživnější než pár kliků v haviji:-)...ale tohle je věc názoru..přiznám se že sqlmap používám...snad už jenom proto že nemám čas se učit všechny db systémy:-)...a ještě na závěr: sqlmap je součástí BackTracku, pokud neznáš, koukni se po tom, je tam spousta užitečných věcí:-)
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| phr: jj, ja mam rad konzolove veci :) mam i icq i email :) a sqlmap je fakt peknej :) prechazim na nej ... aspon postoupim o krucek dal :) uz jsem ho stihnul projet a otestovat :)
dekuji :) a copak dal mi prozradis :)
BlackTrack znam, ale neumim moc z toho pouzivat :) to vis ... n00b :)
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| to Mischa
jsem take samouk,takze jsem se to naucil nasledovne..na ntb jsem mel spustenej backtrack a na pc youtube..takze kazdej konkretni nastroj v BT co se chcesa naucit,tak najdi na youtube navod...jednouche a prakticke
----------
Vetsina serveru se da vyrootit, staci poslat spravnej zivotopis na spravnou adresu ;)
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| to Mischa
cim vic se toho naucis,tim vic ti to do sebe zacne zapadat a zacnes chapat principy..takze ten pocatecni chaos odpadne :-))
----------
Vetsina serveru se da vyrootit, staci poslat spravnej zivotopis na spravnou adresu ;)
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| bramborak: promiň, ale nemůžu si to odpustit: přijde mi, že:
1) ti to do sebe asi moc nezapadlo
2) principy si nepochopil
3) a chaos v tom máš pořádnej
a učit se "hackovat" z YT? To myslíš vážně?
Ale pokud ti to tak vyhovuje a myslíš si že ses něco naučil, fajn. To je na každém zvlášť.
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| bavim se o sqlmap v bt5,jestli mas lespi navod jak mu to vysvetlit,tak mu porad,ale jak te znam tak mu reknes az si to najde v google..tim uz ses znamej,tak neprid a zalez kdyz se dva dospeli bavjej
----------
Vetsina serveru se da vyrootit, staci poslat spravnej zivotopis na spravnou adresu ;)
(odpovědět) | |
|
|
| re: phprs - velka chybovost | # |
| jinak i kdyz se tomu smejes,tak diky YOutube kde vetsinou u videa byva i odkaz na fora ktere se danou problematikou zabyva+diskuze k tomu...tak diky tomu jsem se naucil na localu zjistit napr hesla os fcb az po mejly ci konverzace skype atd. to bylo prvni co jsem se naucil,klidne se tomu muzes smat,ale pro me je dulezite ze jsem zaprve par veci pochopil a za druhe jsem dostal co jsem chtel...to ze to nekomu poradim misto toho abych rekl klasickou vetu kterou pouzivas ty a vetsina radoby hackeru jako ty,..najdi si to v google...tak pocitam ze moje rada ma vetsi informacni hodnotu po zacatecnika nez ta tvoje...takze se klidne smej,ale smejes se jen sve jesitnosti...a davas zacatecnikum jen signal ze kdyz si zacinal ty,tak si nebyl jen lama ale i idiot.mozna ses neco naucil a uz lama nejses,ale to druhe u tebe pretrvava..
----------
Vetsina serveru se da vyrootit, staci poslat spravnej zivotopis na spravnou adresu ;)
(odpovědět) | |
|
|
