Массовые SQL инъекции шопов

Дмитрий911., если хочешь только шопы., то это лучше по движкам искать.
Берешь сканер по поиску уязвимостей на сайте., и сканишь шопы., нашел одну уязвимость., к примеру: http://www.********.co.uk/shop/default.asp?section_id=24
Дальше ищем в гугле по этому движку: inurl:"default.asp?section_id=".., или inurl:"section_id="
Гугл будет выдавать только шопы этого движка.

Сканеров на уязвимость много в гугле.. один из: WebCruiser.

П.С. Если у кого есть интересные сканеры., давайте делиться :)
 
Актионикс, на ачате линки на него были, не хилая игрушка. С офф ресурса ключик от неё 2к стоит.
 
Please note, if you want to make a deal with this user, that it is blocked.
goldeff, спасбо за ответ по движку, буду так пробовать. Хотелось бы вот, что еще узнать. Каким образом сделать так, что бы свеже вбитые сс приходили на почту, ну или, что нибудь в этом роде. Видел на одной площадке(Не на нашей), что можно установить кейлогер. Но если я не ошибаюсь это чушь. Где можно про это почитать? Дайте совет пжлста.
 
подскажите плиз, раз о базах речь зашла, что может быть такое, ломаю базы шопов, 100% знаю что должен быть картон, но в таблицах их нет, и так уже порядка 5 шопов
 
Если ты о ситуации, когда в бд есть таблица про сс, а самих сс в базе нет, то я понял так. Когда-то сс в бд хранились, потом шоп поломали, владельцы шопа перешли на процессинг через редирект, а про сс из базы не убрали по каким-то причинам.
 
100% знаю что должен быть картон
Click to expand...
Ты экстрасенс или шо? Если в шопе есть колонки под картон это не значит, что он там должен быть.

Сейчас мало шопов, на самом деле, которые хранят картон у себя. И уж паблик багами вы их не поломаете точно.
 
на ночь поставил скан Jsky, сканил 2 шопа на sql
1 нечего
во втором шопе
9 sql
и везде в ссылках hacker@hacker.org
--------

Analyzing [Shopper][other]=88888&data[Shopper][name]=88888&data[Shopper]=hacker@hacker.org&data[Shopper][phone]=075588888888&data[Shopper][kittens]=88888
Host IP: 67.---.00.00
Web Server: Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.7l PHP/5.2.12
Powered-by: PHP/5.2.12
Keyword Found: hard
Injection type is Integer
Keyword corrected: “(My
Can't find db server type! But maybe there be some chances! [-o<
Trying another method using keyword for finding columns count
Findig columns count for MySQL failed! It seems that DB server is not MySQL
Selected Column Count is 9
Retying to find string column
Retying to find string column
Retying to find string column
Retying to find string column
Retying to find string column
Retying to find string column
Cannot find string column!
Testing for MySQL error based injection method
I got bored of waiting more than 60 seconds! (request timed out)
Bypassing illegal union failed! Turning off this feature
I got bored of waiting more than 60 seconds! (request timed out)
MySQL error based injection method cant be used!
Trying blind method
Finding current data base
It seems that target is not vulnerable. it's a false positive, Injection Failed!
MsSQL time based injection method can't be used
MySQL time based injection method can't be used
--------------
тоже не плохой средний шоп и там
Analyzing advanced_search_result.php?keywords=1&page=17&sort=%40%40r1dOI
Host IP: 74.00.000.000
Web Server: Apache
Powered-by: PHP/5.2.17
Keyword Found: 1064
I guess injection type is Integer?! If injection failed, retry with a manual keyword.
DB Server: MySQL
Findig columns count for MySQL failed!
Testing for MySQL error based injection method
MySQL error based injection method cant be used!
MySQL time based injection method can't be used
It seems that input parameter is not effective! Check the following:
Are you sure input parameter really exist?!
Are you sure the input value '%40%40r1dOI' is valid?
Are you sure the 'GET' method is correct?
 
картон

Vasders said:
Ты экстрасенс или шо? Если в шопе есть колонки под картон это не значит, что он там должен быть.

Сейчас мало шопов, на самом деле, которые хранят картон у себя. И уж паблик багами вы их не поломаете точно.
Click to expand...

тогда какой смысл ломать базу,раз сс там нет цель то одна, найти картон, мож есть вареанты где еще остались сс
 
dmitrii said:
тогда какой смысл ломать базу,раз сс там нет цель то одна, найти картон, мож есть вареанты где еще остались сс
Click to expand...
Картон есть в шопах., но не во всех. По мимо картона, можно мэйл:пасс снять, шелл залить, сливать траф или под дорвеи., много вариантов.
 
  • Like
Reactions: RUN
dmitrii said:
тогда какой смысл ломать базу,раз сс там нет цель то одна, найти картон, мож есть вареанты где еще остались сс
Click to expand...

Найти картон - это идеал....Ломка сайтов приносит и другой изюм.
 
Найти картон - это идеал....Ломка сайтов приносит и другой изюм.
Click to expand...
я бы несказал, на трафе можно больше денег поденять да и мороки меньше.
теперь вопрос.
кто нить несусом пользуется ?
вообще актуальная софтина имеет смысл замарачиваться ?
.
 
KenGuru said:
я бы несказал, на трафе можно больше денег поденять да и мороки меньше.
теперь вопрос.
кто нить несусом пользуется ?
вообще актуальная софтина имеет смысл замарачиваться ?
.
Click to expand...

Мое ИМХО - имеет. Хорошая штучка
 
RUN said:
Мое ИМХО - имеет. Хорошая штучка
Click to expand...

что за прога несус?

может при помощи дорков можно определить на каком сайте есть бд картона типа, cardinfo.php?card=
cart.php?action=
cart.php?cart_id=
cart.php?id=
cart_additem.php?id=
cart_validate.php?id=
cartadd.php?id=
cat.php?iCat=
 
dmitrii said:
что за прога несус?
Click to expand...

hттp://ru.wikipedia.org/wiki/Nessus

---------- Сообщение добавлено в 04:49 PM ---------- Предыдущее сообщение размещено в 04:47 PM ----------
dmitrii said:
может при помощи дорков можно определить на каком сайте есть бд картона типа, cardinfo.php?card=
cart.php?action=
cart.php?cart_id=
cart.php?id=
cart_additem.php?id=
cart_validate.php?id=
cartadd.php?id=
cat.php?iCat=
Click to expand...

При помощи этих доков ты не базы картона ищешь а сайты где потенциално он может быть. Нужно все таки правильно называть вещи.
 
может кто подскажет как шоп с картами нарыть?
 
dmitrii said:
может кто подскажет как шоп с картами нарыть?
Click to expand...

Ну тогда уж спрашивай где взять ключ от квартиры где деньги лежат....Рой выдачу того же пойзона. Работай одним словом
 
один фиг, все дорки которые есть публичные уже перерыты на 100500 раз, надо свои думать
 
Erick said:
один фиг, все дорки которые есть публичные уже перерыты на 100500 раз, надо свои думать
Click to expand...

Согласен отчасти, но все таки бывают исключения. Вот как пример самый обычный дорк
hттp://s1.ipicture.ru/uploads/20120305/V8BLtGTR.jpg
 
You must log in or register to reply here.

Similar threads

Friend
Обзор хакерства в кардинге
Replies
0
Views
232
Friend
Friend
S
SQLi | БАЗЫ | PENTESTING | СОФТ
Replies
0
Views
181
Student
S
Man
Чекер всего
Replies
0
Views
182
Man
Man
Professor
Лекция - Работа с базами данных в Python
Replies
1
Views
414
marketolog)
marketolog)
Dilling
Чекер всего и вся
Replies
2
Views
389
marketolog)
marketolog)
Back
Top