Миллион вопросов

[gajam]

Здаров все, кому не лень, кому интересно поговорить и ответить на вопросы нового в этой сфере человком? Буду рад общению, у меня миллиарды вопросов, и хз как найти ответы.

 

[Russian_Coder]

Конкретезируй что ты именно хочешь узнать

 

[gajam]

В данный момент с sql, много вопросов.
Потом много вопросов во всем, и во вся ) честно много.

пока столкнулся с sql, мне просто нужна база, для работы. была. Но, получилось так , что заинтересовался всей хак темой. Это правда дико интересно.

я читал про sql иньекции, и мне показалось, что они совсем не актуальны чтоли?

Много что интересного и у вас, и в книгах. Но бля, вся и все сразу нихуя не понять. Например как нужны были мне базы, какой то профессионал сказал, что нужно ебашить sql иньекции. Но прочитав это, я понял что это нихуя ничего не дает. А мне нужны базы , адреса с этиого веб сайта. Конкретно с него. И как дальше действовать?

по - моему sql устарели , или как то так? я правда еще не понимаю

 

[Noizefan]

Для начала - не пиши много сообщений с разницей в 3 минуты, пиши одно с промежутком в день.
Ничего в этой сфере в общих чертах кардинально не устаревает, максимум - фундаментально видоизменяется.
В третьих - нет такого вопроса или ответа на него, после которого ты скажешь "ааа, все понял, больше вопросов нет" - это тебе не в шахматы учиться играть, хотя и понимание принципов этой игры не повредит.
В четвертых - тяга к знаниям это хорошо, однако, "самое сложное в работе - что никто не говорит, что именно нужно делать". И никто не будет тратить собственное время за просто так (да и на перспективу, не ясно же что ты за перец) чтоб разжевать тебе все по полочкам. Хочешь учиться - гугли, пробуй, а чтоб никому не мешать (и возможно даже быть полезным) - открой блог в оффтопике и рассказывай, что понял, что изучил, а что осталось не ясным. В процессе дискуссии найдутся те, кто поправят, дополнят, подскажут. Т.е. предложи что-то взамен. Знающий - освежит знания, прочитав твой лог, новичок - присоединится к гуглениям.
В пятых - поменьше мата. бля да нихуя - а сути ноль. тебе тут хата чтоль? здесь сидят спецы, и ты своим апом занимаешь место в сообщениях за день, чтоб я просто посмотрел чему тебя на пикабу научили.
Ну и на последок - правильно сформулированный вопрос уже содержит половину, а то и весь ответ.

 

[lisa99]

Для начала - не пиши много сообщений с разницей в 3 минуты, пиши одно с промежутком в день.
Ничего в этой сфере в общих чертах кардинально не устаревает, максимум - фундаментально видоизменяется.
В третьих - нет такого вопроса или ответа на него, после которого ты скажешь "ааа, все понял, больше вопросов нет" - это тебе не в шахматы учиться играть, хотя и понимание принципов этой игры не повредит.
В четвертых - тяга к знаниям это хорошо, однако, "самое сложное в работе - что никто не говорит, что именно нужно делать". И никто не будет тратить собственное время за просто так (да и на перспективу, не ясно же что ты за перец) чтоб разжевать тебе все по полочкам. Хочешь учиться - гугли, пробуй, а чтоб никому не мешать (и возможно даже быть полезным) - открой блог в оффтопике и рассказывай, что понял, что изучил, а что осталось не ясным. В процессе дискуссии найдутся те, кто поправят, дополнят, подскажут. Т.е. предложи что-то взамен. Знающий - освежит знания, прочитав твой лог, новичок - присоединится к гуглениям.
В пятых - поменьше мата. бля да нихуя - а сути ноль. тебе тут хата чтоль? здесь сидят спецы, и ты своим апом занимаешь место в сообщениях за день, чтоб я просто посмотрел чему тебя на пикабу научили.
Ну и на последок - правильно сформулированный вопрос уже содержит половину, а то и весь ответ.

сколько букв...

 

[tabac]

я читал про sql иньекции, и мне показалось, что они совсем не актуальны чтоли?

актуальны

Много что интересного и у вас, и в книгах. Но бля, вся и все сразу нихуя не понять. Например как нужны были мне базы, какой то профессионал сказал, что нужно ебашить sql иньекции. Но прочитав это, я понял что это нихуя ничего не дает. А мне нужны базы , адреса с этиого веб сайта. Конкретно с него. И как дальше действовать?

задавай технические вопросы, что не ясно, ответим, поможем
вопросы, которые ты задал, они даже не вопросы )

Здаров все, кому не лень, кому интересно поговорить и ответить на вопросы нового в этой сфере человком? Буду рад общению, у меня миллиарды вопросов, и хз как найти ответы.

тебе никто персонально для тебя не будет проводить лекции
задавай вопросы, с какими проблемами сталкиваешься, будем помогать

набивай опыт и практику
ищи скули и пытайся раскрутить ручками, в процессе будут вопросы и тогда уже они будут наконец-то техническими ))

 

[gajam]

спасиб ) но они редкость стали. одна попалась, покоя не дает мне до сих пор.
один сканер показывает это sql injection, другой xss. Сейчас снова посмотрю

а там где присутствует java script , sql injection бесполезны?

я прям с названием выложу, не ругайте если что.
Вот такой результат как то показал , что с этим делать, не знаю. Sqlmap пробовал, он говорит не иньекшн.

Certainty                    

:






                        URL                    

:

https://www.fetischpartner.com/index.php/community/geschenke.html?uid_y=1%20procedure%20analyse(extractvalue(rand(),concat(0x3a,CONCAT(CHAR(95),CHAR(33),CHAR(64),CHAR(52),CHAR(100),CHAR(105),CHAR(108),CHAR(101),CHAR(109),CHAR(109),CHAR(97)))),1)--%201                   


                            Parameter Name                        

:

                            uid_y                        


                            Parameter Type                        

:

                            GET                        


                            Attack Pattern                        

:

                            1+procedure+analyse(extractvalue(rand()%2cconcat(0x3a%2cCONCAT(CHAR(95)%2cCHAR(33)%2cCHAR(64)%2cCHAR(52)%2cCHAR(100)%2cCHAR(105)%2cCHAR(108)%2cCHAR(101)%2cCHAR(109)%2cCHAR(109)%2cCHAR(97))))%2c1)--+1

отчет сканера может можно и нужно?

это из сканера HLC Appscan

я пока мало совсем понимаю в sql иньекциях. Но вот попалась. И стало интересно. Что это вообще. И можно ли что то с этим сделать полезное.

 

[HostBost]

не трать время добродушных форумчан и не засоряй форум. Для начала хотя бы основы изучи hxxps://portswigger.net, hxxps://book.hacktricks.xyz/ и почитай раздел /forums/2/

 

[gajam]

спасибо

 

[buyacc]

я прям с названием выложу, не ругайте если что.

https://www.fetischpartner.com/index.php/community/geschenke.html?uid_y=1 procedure analyse(extractvalue(rand(),concat(0x3a,CONCAT(CHAR(95),CHAR(33),CHAR(64),CHAR(52),CHAR(100),CHAR(105),CHAR(108),CHAR(101),CHAR(109),CHAR(109),CHAR(97)))),1)-- 1

Там как миниум фильтруются скобки. <> () Попробуи тамперы в скулмэп charurlencode, chardoubleurlencode, between, greatest. Итд

 

[lisa99]

не трать время добродушных форумчан и не засоряй форум. Для начала хотя бы основы изучи hxxps://portswigger.net, hxxps://book.hacktricks.xyz/ и почитай раздел /forums/2/