Pokaż wyniki 1 do 3 z 3

Temat: Podatność mysql??

  1. #1
    Zarejestrowany
    Mar 2008
    Postów
    7

    Domyślnie Podatność mysql??

    Witam - mam pytanie czy można wyciągnąć hasła z passwd za pomocą tego skrypciku:

    Kod:
    <?php
    $ch = curl_init("file:///etc/passwd");
    $file=curl_exec($ch);
    echo $file
    ?>
    jest serwerek (php+mysql) i zwykły system newsów w którym poprzez pole textera dodaje sie komentarz na stronkę, system ten działa pod mysql-em - jak dodaje newsa z w/w kodem nic się nie wyświetla - a wiem że serwer jest podatny ta w/w dziure - problem w tym ze mysql nie przepuszcza skryptu czy można jakoś ominąć to ?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał R3mal Zobacz post
    jest serwerek (php+mysql) i zwykły system newsów w którym poprzez pole textera dodaje sie komentarz na stronkę, system ten działa pod mysql-em - jak dodaje newsa z w/w kodem nic się nie wyświetla - a wiem że serwer jest podatny ta w/w dziure
    Ze jak?!? Poza tym /etc/passwd zawiera tylko liste userow, nie ma hasel - hasla sa w /etc/shadow a do niego nie masz prawa odczytu.

    P.S.
    Jesli juz to mialaby byc jakas podatnosc to na pewno nie w mysql ale w aplikacji napisanej w PHP ktora pisal czlowiek nie majacy pojecia o tym co robi... Nawet jesli wstawisz kod funkcji w PHP do tekstu to i tak nie wykona sie po stronie serwera dopuki kod nie wykonuje eval() na danych pobranych z bazy (co byloby samobojstwem - przynajmniej w PHP)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    May 2007
    Skąd
    Kraków
    Postów
    371

    Domyślnie

    curlem pliki?!? oryginalnie -,-

    no wiesz.. mozliwe, ze nie jest na mysal-u tlyko na bazie "plikowej"
    no i taki geniusz ma plik "baza.txt"
    i dodawanie do bazy:
    Kod:
    fopen("baza.txt", "a");
    a potem odczyt:
    Kod:
    include"baza.txt"
    niby wszystko ok... zacyznamy sie pukac dopiero, gdy nie mamy połowy plików na serwerze ;>
    Ostatnio edytowane przez Teeed : 03-16-2008 - 21:28

Podobne wątki

  1. Rozpoczynamy od MySQL
    By sapheal in forum Google hacks
    Odpowiedzi: 10
    Autor: 11-04-2018, 13:56
  2. mysql password
    By ble34 in forum Odzyskiwanie haseł
    Odpowiedzi: 4
    Autor: 09-19-2007, 18:57
  3. Zapytanie mysql
    By andrew8666 in forum Newbie - dla początkujących!
    Odpowiedzi: 6
    Autor: 09-17-2007, 14:22
  4. problem mysql
    By 31337 in forum Bazy danych
    Odpowiedzi: 9
    Autor: 05-21-2007, 15:20
  5. mysql ?????
    By ble34 in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 6
    Autor: 04-23-2007, 23:27

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj