|
SQL injection - Общение и обсуждение, архив Lineage 2 - Cобытия, информация, вопросы и ответы по Lineage 2 |
19.05.2012, 01:43
|
#1
|
|
|
|
Разведчик
|
Регистрация: 23.01.2011
Сообщений: 0
Популярность: 10
Сказал(а) спасибо: 3
Поблагодарили 0 раз(а) в 0 сообщениях
|
SQL injection
Собственно облазив интернет, начитавшись разных гайдов про иньекцию у меня в голове возникла полная каша...
Как я уже понял все эти проги, что валяются в интернете и про которые на этом форуме есть гайды уже не актуальны и нигде не работают.
Собственно саму тему я создал для того чтобы вы помогли мне навести порядок в моей голове, а именно выстроить алгоритм действий в манипуляции с SQL injiction.
И так начну наверное с ПО, что необходимо для этого дела ну и элементарных знаний:
1) полюбому нужно знать язык программирования php (почитал, что там и к чему. Вроде не сложный, можно с 0 разобраться, но не буду рвать на себе рубаху и орать, что освоил за 1 день. За неделю думаю можно дойти до ур-ня золотой серединки)
2) прога Zend CORE - по сути это серв, для меня там промелькнуло слово Апач, но я так и не понял как этот серв используется в проведении иньекции. Раздуплите плз, для чего и как пользоваться, а то видно, что вещь серьезная и сам я не осилю.
3) нужен редактор php, я выбрал PHP Expert Editor, собственно извлек то, что этой прогой мы переделываем скрипт, который можно подвергнуть иньекции, под скрипт с помощью которого мы достигаем своей цели.
Собственно вот и все, что я наработал за 1 день чтения гайдов и дроча мозга.
Теперь я приведу алгоритм проведения иньекции такой как придумал мой мозг, который неосведомлен в этом вообще
1) мы должны получить УРЛ с уязвимостью к иньекции (вроде как много способов есть: парсер гугла и т.д.) Я выбрал ВебКрузера. Я взял какой-то гнилой сервер Л2, зашел на сайт, сделал копи ссылки на главную страницу и вставил в ВебКрузер, который нашел мне 2 ошибки на сайте. Я прочел еще где-то, что мы должны эти страницы склонные к уязвимости вставить КУДА-ТО (прогу там не описало) и после ссылки поставить вот это " ' " и если выдаст ошибку, то вуаля мы нашли цель. Но так как я не прошариный и не знал, что то за ПО, я вставил ссылку с уязвимостью в БРАУЗЕР и в 1м случаем мне открыло страницу после вставления той рисочки, а во 2м выдало траблу.
Тут то и возникает сам вопрос я все правильно сделал? или же я нубас и расскажите плз как надо было.
2) Собственно, как я понял, после перовго пункта мы нашли, то что искали и нам надо как-то получить скрипт, который нам поможет провести Иньекцию. Тут я поймал ступор ибо кто его знает что там дальше делать. Но у меня есть догадка, что тут вступает в действие тот самый ZEND CORE, который помогает нам получить тот долгожданный скрипт.
Опять же если ошибаюсь укажите ошибки и помогите разораться для чего все же нужен ЗЕНД.
3) После того как мы получили тот скрипт мы идем в редактор пхп и переделываем скрипт под то, что мы хотим (что поможет добиться нам нашей цели). Сдесь конечно без языка программирования нечего делать, но шаг к изучению уже сделан и я уж точно не отступлю. Пока что я не силен в пхп языке, но кое чего уже прочел и есть мысль поколдовать со скриптом при помощи ф-ций gettype settype.
Тут тоже буду благодарен за корректировки.
4) далее мы опять же с помощью Зенд Кора засылаем этот скрипт и вроде как все конец, мы провели иньекцию, но мне не ясно каким образом это поможет слить нам БД
На этом я свои соображения закончил, жду от вас дорогие форумчане корректировок и помощи в данном деле.
|
|
|
19.05.2012, 07:22
|
#2
|
|
|
|
Разведчик
|
Регистрация: 23.04.2012
Сообщений: 17
Популярность: -11
Сказал(а) спасибо: 154
Поблагодарили 11 раз(а) в 9 сообщениях
|
Re: SQL injection
Не в тот раздел, Модеры перенесут или удалят лучше сохрани куда нить свой этот текст=)
|
|
|
19.05.2012, 11:06
|
#3
|
|
|
|
Пехотинец
|
Регистрация: 09.05.2012
Сообщений: 70
Популярность: 3687
Сказал(а) спасибо: 209
Поблагодарили 175 раз(а) в 78 сообщениях
|
Re: SQL injection
|
Цитата: |
|
|
|
|
|
|
|
|
|
Собственно облазив интернет, начитавшись разных гайдов про иньекцию у меня в голове возникла полная каша...
Как я уже понял все эти проги, что валяются в интернете и про которые на этом форуме есть гайды уже не актуальны и нигде не работают.
Собственно саму тему я создал для того чтобы вы помогли мне навести порядок в моей голове, а именно выстроить алгоритм действий в манипуляции с SQL injiction.
И так начну наверное с ПО, что необходимо для этого дела ну и элементарных знаний:
1) полюбому нужно знать язык программирования php (почитал, что там и к чему. Вроде не сложный, можно с 0 разобраться, но не буду рвать на себе рубаху и орать, что освоил за 1 день. За неделю думаю можно дойти до ур-ня золотой серединки)
2) прога Zend CORE - по сути это серв, для меня там промелькнуло слово Апач, но я так и не понял как этот серв используется в проведении иньекции. Раздуплите плз, для чего и как пользоваться, а то видно, что вещь серьезная и сам я не осилю.
3) нужен редактор php, я выбрал PHP Expert Editor, собственно извлек то, что этой прогой мы переделываем скрипт, который можно подвергнуть иньекции, под скрипт с помощью которого мы достигаем своей цели.
Собственно вот и все, что я наработал за 1 день чтения гайдов и дроча мозга.
Теперь я приведу алгоритм проведения иньекции такой как придумал мой мозг, который неосведомлен в этом вообще
1) мы должны получить УРЛ с уязвимостью к иньекции (вроде как много способов есть: парсер гугла и т.д.) Я выбрал ВебКрузера. Я взял какой-то гнилой сервер Л2, зашел на сайт, сделал копи ссылки на главную страницу и вставил в ВебКрузер, который нашел мне 2 ошибки на сайте. Я прочел еще где-то, что мы должны эти страницы склонные к уязвимости вставить КУДА-ТО (прогу там не описало) и после ссылки поставить вот это " ' " и если выдаст ошибку, то вуаля мы нашли цель. Но так как я не прошариный и не знал, что то за ПО, я вставил ссылку с уязвимостью в БРАУЗЕР и в 1м случаем мне открыло страницу после вставления той рисочки, а во 2м выдало траблу.
Тут то и возникает сам вопрос я все правильно сделал? или же я нубас и расскажите плз как надо было.
2) Собственно, как я понял, после перовго пункта мы нашли, то что искали и нам надо как-то получить скрипт, который нам поможет провести Иньекцию. Тут я поймал ступор ибо кто его знает что там дальше делать. Но у меня есть догадка, что тут вступает в действие тот самый ZEND CORE, который помогает нам получить тот долгожданный скрипт.
Опять же если ошибаюсь укажите ошибки и помогите разораться для чего все же нужен ЗЕНД.
3) После того как мы получили тот скрипт мы идем в редактор пхп и переделываем скрипт под то, что мы хотим (что поможет добиться нам нашей цели). Сдесь конечно без языка программирования нечего делать, но шаг к изучению уже сделан и я уж точно не отступлю. Пока что я не силен в пхп языке, но кое чего уже прочел и есть мысль поколдовать со скриптом при помощи ф-ций gettype settype.
Тут тоже буду благодарен за корректировки.
4) далее мы опять же с помощью Зенд Кора засылаем этот скрипт и вроде как все конец, мы провели иньекцию, но мне не ясно каким образом это поможет слить нам БД
На этом я свои соображения закончил, жду от вас дорогие форумчане корректировок и помощи в данном деле.
|
|
|
|
|
|
Теперь беспорядок и в моей голове
Этим способом ты вряд-ли сольешь что-либо, есть сервера с уязвимостями, но фишка в том чтоб найти эти самые дырки. Иньякция давно уже не пашет на большей части серверов, как сказал мне один мой знакомый админ
|
Цитата: |
|
|
|
|
|
|
|
|
да ***** там, а не косяки |
|
|
|
|
|
.
Попробуй изучить движок stress web, и тебе станет все ясно. Многие нубо админы даже не меняют название файла admin.php, а у других доступен файл site.ru/cache... И почти на всех SW доступна папка templates, но это ничего не даст, а может и даст
|
|
|
Пользователь сказал cпасибо:
|
|
19.05.2012, 12:59
|
#4
|
|
|
|
Разведчик
|
Регистрация: 23.01.2011
Сообщений: 0
Популярность: 10
Сказал(а) спасибо: 3
Поблагодарили 0 раз(а) в 0 сообщениях
|
Re: SQL injection
Спасибо за информация, сейчас почитаем.
ПыСы: Спасибку чет незя нажать=(
|
|
|
Ваши права в разделе
|
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
HTML код Выкл.
|
|
|
Похожие темы
|
Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
faild injection dll
|
FABIK |
Общение и обсуждение, архив Point Blank |
1 |
05.11.2011 11:48 |
SQL injection с ЛК
|
KillerTT |
Общение и обсуждение, архив Lineage 2 |
0 |
04.07.2011 00:32 |
Заявление об ответственности / Список мошенников
Часовой пояс GMT +4, время: 19:48.
|
|