Поясните (SQL inj в одном phpbb форуме)

Discussion in 'Уязвимости' started by spencer, 31 Jul 2006.

  1. spencer

    spencer New Member

    Joined:
    24 Jul 2006
    Messages:
    11
    Likes Received:
    4
    Reputations:
    0
    Нашёл SQL уязвимость в одном phpbb форуме
    www.site.de/forum/index.php?s=\'
    При подстановке кавычки выдаёт ошибку синтаксиса SQL.
    Пробовал составлять запросы -выдаёт ту же ошибку. При подстановке любых чисел выводит index.php
    Можно ли из этого что-либо выжать? И вообще какой это тип SQL уязвимости?
     
  2. -dp-

    -dp- Banned

    Joined:
    13 May 2006
    Messages:
    2
    Likes Received:
    3
    Reputations:
    0
    Ты бы форум показал бы для начала, мы бы глянули что за версия и тд...

    А вобще -
    Если ошибка, то значит не фильтруются \\\'
    а при других запросах фильтровались твои запросы!
    Попробуй подставить коды/команды после
    www.site.de/forum/index.php?s=\\\'
     
    1 person likes this.
  3. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    А ошибка была fetch_array() Или чета типа того?
     
  4. spencer

    spencer New Member

    Joined:
    24 Jul 2006
    Messages:
    11
    Likes Received:
    4
    Reputations:
    0
    Вот сайтец
    http://www.skating-hamburg.de/forum/index.php?s=
     
  5. bandera

    bandera Banned

    Joined:
    2 Jun 2006
    Messages:
    58
    Likes Received:
    37
    Reputations:
    11
    Инекция после update... Тебе думаю не чего она не даст...
    Если надо форум этот сломать то тебе сюда http://forum.antichat.ru/thread12610.html.
    Версия форума думаю достаточно старая.
     
    #5 bandera, 1 Aug 2006
    Last edited: 1 Aug 2006
Loading...