Старый 13.02.2018, 11:07   #3611
man474019
 
Регистрация: 18.02.2015
Сообщений: 49
Репутация: 0
По умолчанию

Hi
can you help how to bypass _ (underline) symbol waf filter in sql injection ?
thanks !
man474019 вне форума   Ответить с цитированием
Старый 14.02.2018, 06:05   #3612
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Есть ли возможность получить доступ к cpanel, если есть на домене шелл, но пользователь не рут?
mikhailtpm вне форума   Ответить с цитированием
Старый 21.03.2018, 01:32   #3613
Клювожор
 
Регистрация: 06.08.2017
Сообщений: 4
Репутация: 0
По умолчанию

Цитата:
Сообщение от mikhailtpm Посмотреть сообщение
Есть ли возможность получить доступ к cpanel, если есть на домене шелл, но пользователь не рут?
Зарутать сервер.
Клювожор вне форума   Ответить с цитированием
Старый 13.05.2018, 04:07   #3614
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Кто знает, есть ли в бд магенто адрес админки? Стандартная админка изменена. Из доступа только SQLI
mikhailtpm вне форума   Ответить с цитированием
Старый 02.06.2018, 00:21   #3615
Tim
 
Аватар для Tim
 
Регистрация: 24.03.2011
Сообщений: 59
Репутация: 3
По умолчанию

Нельзя, но можно залить шел через скулю.
Tim вне форума   Ответить с цитированием
Старый 03.06.2018, 15:48   #3616
mikhailtpm
 
Аватар для mikhailtpm
 
Регистрация: 01.07.2015
Сообщений: 67
Репутация: 0
По умолчанию

Tim, даже если у юзера только права usage и нет file_priv? Как?
mikhailtpm вне форума   Ответить с цитированием
Старый 28.07.2018, 18:49   #3617
Cactus
 
Регистрация: 28.07.2018
Сообщений: 1
Репутация: 0
По умолчанию

Перед запросом сайт выкусывает из параметров префикс таблицы . В результате запрос идет не к prefix_table , а просто к table , которая отсутствует
Трюки с unhex и char() не работают . Получение имени таблицы подзапросом из information_schema тоже нет . Ибо , как я понимаю , результат всего этого понимается как строки , а не как имя таблицы .
Возможно ли как-то :
а) Договориться с mysql что строка это имя таблицы ?
б) Обращаться к таблице по индексу или как-нибудь еще ?
Cactus вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot