• XSS.stack #1 – первый литературный журнал от юзеров форума

SQLI

Отслеживать
kali

kali

(L3) cache
Пользователь
Регистрация
07.10.2018
Сообщения
236
Реакции
61
Здравствуйте ув.участники форума
имеется вопрос,допустим получив SQLI к сайту,после чего проверив домен по алексе имеем хорошие показатели,из чего встает как слить трафф к сеебе?
какие методы существует?
Всем спасибо за помошь)
 
По теме, вам желательно получить прямой доступ к сайту. Залить шелл можно как через админку, так и при благоприятном стечении обстоятельств,прав,зависимостей и ваших знаний- через саму суклю. Есть много и других способов получения прямого доступа.

2 ТС, для общего понимания принципов.

Сорри за ссылку на форум гомосеков, просто там заметку видел помню, а самому описывать общие принципы долго =)

Теперь не по теме, дальше можно не читать: после долгого отсутствия, недавно зашел на ачат. Господи, в какую дыру он скатился, этот некогда адекватный форум, составляющий здравую конкуренцию многим топам теперешним. Действительно, форум возглавляет администрация, но рулят пользователи. Я нажал на "новые сообщения", меня хватило на полторы страницы и 2 посещенных темы. горынсплюсами продал форум? Или он тоже, как и его "детище", пробил днище? Я думал самое первое дно было достигнуто после первого банального слива форума, но егорка его пробил ниже сам. К слову, о той уязвимости знали многие, просто никто не хотел заморачиваться, чтоб не портить себе площадку для общения (т.к. пришлось бы искать новую). Но парни заморочались, и создали рдот, за что я лично им безмерно благодарен.
Сорри за флуд не по теме, просто для меня это было шоком.
 
Desoxyn сказал(а):
По теме, вам желательно получить прямой доступ к сайту. Залить шелл можно как через админку, так и при благоприятном стечении обстоятельств,прав,зависимостей и ваших знаний- через саму суклю. Есть много и других способов получения прямого доступа.

2 ТС, для общего понимания принципов.

Сорри за ссылку на форум гомосеков, просто там заметку видел помню, а самому описывать общие принципы долго =)

Теперь не по теме, дальше можно не читать: после долгого отсутствия, недавно зашел на ачат. Господи, в какую дыру он скатился, этот некогда адекватный форум, составляющий здравую конкуренцию многим топам теперешним. Действительно, форум возглавляет администрация, но рулят пользователи. Я нажал на "новые сообщения", меня хватило на полторы страницы и 2 посещенных темы. горынсплюсами продал форум? Или он тоже, как и его "детище", пробил днище? Я думал самое первое дно было достигнуто после первого банального слива форума, но егорка его пробил ниже сам. К слову, о той уязвимости знали многие, просто никто не хотел заморачиваться, чтоб не портить себе площадку для общения (т.к. пришлось бы искать новую). Но парни заморочались, и создали рдот, за что я лично им безмерно благодарен.
Сорри за флуд не по теме, просто для меня это было шоком.
спасибо за ссылку,понятие как это работает есть,хотеось понять как деиствоать в не стандартных случаях?
допустим сайт очень интеpесен,ноправ на запись нет,админки нет,про него можно забыть?
 
kali
Вы задали вопрос 4ре месяца назад и только теперь зашли за ответом? =) За это время можно было изучить сабж,или как минимум хотя бы посетить форум еще разок.
Если есть понятие, как это работает, значит таких вопросов возникать не должно. В сухом остатке - понятия нет.
"Прав на запись нет", это в вашем понимании через иньекцию? Смиритесь, в 99% нынешних конфигураций file_priv - N так же как и load_file в оффе по дефолту. Не в ту сторону копаете (понимание же есть ;) )
"Админки нет" сейчас не 9n-200n год, сайты не редактируются аплоадом свежих правок в html на фтп =) Вы просто ее не нашли.

DirBuster вам в помощь + словари SecLists (хотя и стандартные от дирба вполне вам подойдут) а так же копайте в сторону сабдоменов, например sublist3r (миллион продвинутых аналогов, но вам же под окна?) или портов NMap, админка и там может висеть.
 
Последнее редактирование:
В первую очередь,выражаю тебе респект так сказать за помощ,и да давай уже на ты,я понимаю культура и т.д и т.п,но то что ты помогаешь,пишешь граматно, это и есть культура и уважение как по мне,пишу это что бы остальные,к кому обрашусь на "ты" не думали что он не культурный хам)

Понятие есть от части,конечно если бы было понятие то,и вопросоов не было)
да путь, поиска админки и заливки шелла используют часто,и описания самого процесса много где есть.
а вот методики добавления кода на сайт через скуллю нигде не видел.Исходя из моего вопроса,мне надо добавить ифреймна на главную страницу сайта,то есть юзер от которого работает склсерве должен иметь права на запись,какие условия еще надо соблюдать?
 
Тебе не надо соблюдать никаких условий, т.к. ты собираешься гланды через жопу удалять. Ищи админку, или другие векторы атаки\способы залить шелл (не ограничиваясь одними скулями, векторов куча). Без доступа к серваку или без возможности редактирования страниц\скриптов сайта у тебя ничего не выйдет.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх