Jump to content
CYobY

stefanprocopiu.vaslui.rdsnet.ro

By CYobY, in Cosul de gunoi

Recommended Posts

totti93 Newbie

totti93

Posted
Posted (edited)

Trebuie lucrat cu capul si obtii:


http://stefanprocopiu.vaslui.rdsnet.ro/deface.php

Metoda (Sa nu fie secreta):

Metoda:

SQL Injection

Aflam path-ul catre MySQL

=>\xampp\mysql\

Fiind instalat XAMPP inseamna ca sistemul de operare este Windows (Asta se vede si din bannerul serverului Apache/2.2.3 (Win32))... XAMPP isi tine fisierele www in "\xampp\htdocs".

Deci cu un simplu LOAD_FILE() putem citi fisierele. Dar care e drive-ul? Incercam cu C: (care va fi chiar drive-ul corect)

Avem fisierul "articol.php" ("c:\xampp\htdocs\articol.php"). Aplicam functia LOAD_FILE() (Hex, deoarece este filtrat apostroful):

Putem obeserva ca returneaza urmatorul cod (segment de cod):


include ("continut_articol.php");

Sa citim continutul acestui fisier:

Ca rezultat vom obtine:


$msql = @mysql_connect("localhost" , "XXXXXXXXXX", "XXXXXXXXX")
  or die("Nu s-a realizat conectarea la baza de date...");
$baza = @mysql_select_db("lsp")
  or die("Nu exista baza de date...") ;

Luam userul si parola de aici si accesam PhpMyAdmin:

Cu o simpla interogare SQL vom scrie in fisiere:

SELECT '<?php ?>' INTO DUMPFILE 'C:\\XAMPP\\HTDOCS\\OUT.PHP'

Edited by totti93
Pentru dezvaluirea metodei...
Link to comment
Share on other sites
CYobY Newbie

CYobY

Posted
  • Author
Posted

Sa citim continutul acestui fisier:

Grupul Scolar Industrial Stefan Procopiu Vaslui

Ca rezultat vom obtine:

Code:

$msql = @mysql_connect("localhost" , "XXXXXXXXXX", "XXXXXXXXX")

or die("Nu s-a realizat conectarea la baza de date...");

$baza = @mysql_select_db("lsp")

or die("Nu exista baza de date...") ;

mie nu imi arata rezultatul care iti arata tie

Link to comment
Share on other sites
Weedy92 Newbie

Weedy92

Posted
Posted
Sa citim continutul acestui fisier:

Grupul Scolar Industrial Stefan Procopiu Vaslui

Ca rezultat vom obtine:

Code:

$msql = @mysql_connect("localhost" , "XXXXXXXXXX", "XXXXXXXXX")

or die("Nu s-a realizat conectarea la baza de date...");

$baza = @mysql_select_db("lsp")

or die("Nu exista baza de date...") ;

mie nu imi arata rezultatul care iti arata tie

Esti Bolovan , Mura in gura nu iti da nimeni

Link to comment
Share on other sites
totti93 Newbie

totti93

Posted
Posted

@CYobY Eu ti-am explicat teoretic ce se intampla, pentru ca stiu ca vrei sa dai deface la site, gen "Hacked by CYobY". Adica eu fac atacul, si tu doar sa-ti pui amprenta pe ea?

In plus, nu va inteleg... Care e rostul unui deface? Mai bine iau root, sau macar shell, si imi rulez acolo scripturile, decat sa-mi folosesc procesorul. Un deface la Cancan mai mege, pentru ca merita...

Link to comment
Share on other sites
Park Newbie

Park

Posted
Posted

Bai sa-mi bag pula. Site-ul asta e facut doar ca sa fie si sa mai aduca aminte elevilor "silitori" de la Procopiu despre evenimentele scolare si extrascolare. Nu stiu de ce va frecati pulile unii altora cu SQL injection si ii prezentati unui pusti de clasa a 9-a cum sa obtina acces la site.

Maine stiu toti elevii ca Cyoby a spart site-ul liceului si e mare hacker.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...