Видео: SQL - инъекция, добыча картона.

goldeff · Mar 29, 2011

Мёртвый said:
vcc там кстате в базе стёрты

были б не стерты, не выложил бы линк

спасибо.

какие цены в cmd5? покупал ктонибудь у них?

goleon · Mar 29, 2011

goldeff
тарифы тут можно посмотреть http://www.cmd5.ru/password.aspx

У меня такая же фигня с паролями, много чего не подходит, а где подходит шелл очень редко получается залить.

ЗЫ как шопы ищите? парсите гугл по доркам или как? может есть альтернатива Sql Poizon?

PokerLife · Mar 30, 2011

как шопы ищите? парсите гугл по доркам или как? может есть альтернатива Sql Poizon?

сканнеров уязвимостей на самом деле не так уж мало.лругой вопрос в их качестве.Пойзон норм прога но бесит ограничение выдаваемых результатов

Passion · Mar 30, 2011

goldeff, попробуй hashchecker.de, так же crackfor.me, сам их использую. Так же вбей хеш в google, может где и вылезет))

PokerLife · Mar 30, 2011

ради эксперимента вбил группу хешей в три сервиса (hashcheker,crackfor и collison.net). Из 10 пассов на первом открыто 5, на втором 3, на третьем 8......

goldeff · Mar 30, 2011

PokerLife said:
сканнеров уязвимостей на самом деле не так уж мало.лругой вопрос в их качестве.Пойзон норм прога но бесит ограничение выдаваемых результатов

Он выдает одно и тоже. Это сколько народу получается одно и тоже ломают.
Есть ли прога типа JSky, в которую можно засунуть текст файл с списком сайтов?

PokerLife · Mar 30, 2011

goldeff said:
Он выдает одно и тоже. Это сколько народу получается одно и тоже ломают.
Есть ли прога типа JSky, в которую можно засунуть текст файл с списком сайтов?

SQL Poison ( sendspace.com/file/u2szu9) .Вкладка sqli crawler, далее import list.

По одинаковым выдачам - многое зависит от запроса и поисковика.Например гугл.ком и гугл.ру выдают совершено разные результаты.

goldeff · Mar 30, 2011

PokerLife, ты не понял или я не нашел в Поисон такой функции. JSky ищет в сайтах ошибки для скл инъекций, задаешь просто линк шоп.ком и он сканит его на наличие линков в нем с ошибкой., но по одному долго и муторно, хорошобы засунуть список и пусть сканит несколько часов, потом забрать результат.

П.С. если имеешь в виду скан через Sqli Crawler в Poison., то там линки вида php?id= только принимает, и эрор выдает часто на те линки которые вскрываются в итоге.

goleon · Mar 30, 2011

PokerLife
В SQL Poison функция паука работает нормально, но меня интересовал другой вопрос если нормальный парсер гугла?

PokerLife · Mar 30, 2011

goleon said:
PokerLife
В SQL Poison функция паука работает нормально, но меня интересовал другой вопрос если нормальный парсер гугла?

Подумываю над заказом какому нибудь фрилансеру подобного софта...Не думаю, что это так уж дорого будет.

corb1n · Mar 30, 2011

Ребят, скиньте на файло JSky без живности

Хочу поизвращаться с рэндомными шопами

PokerLife · Mar 30, 2011

Ура!!!!Наконец то первый ощутимый результат))))) Я крут как варенные яйца)))))

Passion · Mar 30, 2011

PokerLife, Если долго мучатся, все всегда получится))))

helixtwins · Apr 2, 2011

Подскажите пожалуйста. Я начал по-простому, с sql-helper. Эта фигня определила количество колонок в таблице, название базы данных, логин-пароль админа и какие-то куски данных о пользователях. Картона sql-helper не нашел. Тогда я попробовал руками проделать все как в мануале, и на этапе запроса версии мне выдает следующую ошибку:
The used SELECT statements have a different number of columns.
Это как понимать?

И еще тупой вопрос: как искать админку сайта? Я пытался по рекомендациям античата подбирать /admin.php и т.д., но че-то никак. Нашел сканер, который выдал мне IP сайта. И что с ним делать?

Passion · Apr 3, 2011

helixtwins said:
И еще тупой вопрос: как искать админку сайта?

ArxScanSite2 - поможет найти админку, за место хелпера - havij, в теме есть.

helixtwins · Apr 9, 2011

Passion! I need help! Из шопа слита база кред, частично номера карт целые, частично видны последние 4 цифры. остальные то ли зашифрованы, то ли хз, что с ними. Базу тащил сканер.

Вопрос: я правильно понимаю, что руками можно базу целиком вытащить? Или не факт?

Passion · Apr 9, 2011

Попробуй и руками вывести, может что и получится. Пробуй havij - он куда лучше тащит хелпера. Зайди под админом, как вариант, и поковыряйся в шопе.

Passion · Apr 10, 2011

Просканируй порты самой машины, может тебе повезет и там будет дед.

---------- Сообщение добавлено в 11:19 ---------- Предыдущее сообщение размещено в 11:18 ----------

Или еще какие нибудь интересные порты, через которые можно проникнуть.

PokerLife · Apr 10, 2011

helixtwins said:
Passion! I need help! Из шопа слита база кред, частично номера карт целые, частично видны последние 4 цифры. остальные то ли зашифрованы, то ли хз, что с ними. Базу тащил сканер.

Вопрос: я правильно понимаю, что руками можно базу целиком вытащить? Или не факт?

Далеко не факт....В большинстве шопов все таки умышлено затирают данные картона....Но за попытку тебя же к стенке не поставят правильно???Так что удачи))))

helixtwins · Apr 11, 2011

PokerLife said:
Далеко не факт....В большинстве шопов все таки умышлено затирают данные картона....Но за попытку тебя же к стенке не поставят правильно???Так что удачи))))

Спасибо, я нашел таки первую полноценную базу картона) Там такие бины, каких я в шопах никогда не видел)))

Кстати, а sql-injection оставляет следы какте-то? Я намедни ковырялся в шопе одном, он до сих пор ломается на раз-два. Там, правда, ловить особо нечего, но админы же должны как минимум видеть, что кто-то заходил на сайт под отличным от их обычного IP.

Видео: SQL - инъекция, добыча картона.

Professional

Member

RIPPER

VIP member

RIPPER

Professional

RIPPER

Professional

Member

RIPPER

Professional

RIPPER

VIP member

VIP member

VIP member

VIP member

VIP member

VIP member

RIPPER

VIP member

Similar threads