Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Инъекция через поиск
 
Подскажите плизз..
есть на одном сайте поиск..
без ввода значения поиска запрос идет такой:
<font color=GREEN> http://***/?news_section=205+238+226+238+241+242+232+32+241+ 224+233+242+224&string=</font>
с вводом запроса соответственно
<font color=GREEN> http://***/?news_section=205+238+226+238+241+242+232+32+241+ 224+233+242+224&string=zapros</font>
или
<font color=GREEN> http://***/?news_section=205+238+226+238+241+242+232+32+241+ 224+233+242+224&string=%E7%E0%EF%F0%EE%F1</font>
если писать по русски (с символами типа слэша и вопроса происходит тоже самое)

всего на сайте новостей 5
ссылка на пятую новость:
<font color=GREEN> http://zewcomp/?news_section=76%20105%20110%20101%2065%20103 %20101%2073%2073</font>
на другие ссылок нет

сайт самописный. все никак не могу допереть, как идет запрос и какую можно применить инъекцию
 
что-то он больно на manlixовский скрипт похож
 
Цитата
wattf пишет:
что-то он больно на manlixовский скрипт похож
да чемто похож
 
не подскажете, как поиметь?
 
Если не php-инклюдингом.

1. Скачай сие творение на сайте manlix.ru и убедись, что это как раз то!
2. Смотри, какие файлики есть. Например, во многих скриптах есть файл inc/admins.inc.dat, в котором логин/хэш пароля, другая инфа хранится. Он доступен для чтения. Что дальше делать ты знаешь.
 
А еше можно исходный код проанализировать. Мне кажется, что в 90 случаях из 100 ты что-нибудь да найдешь!  
 
спасибо огромное :)
Страницы: 1
Читают тему