黑色海岸线论坛 - Powered by Discuz! Board

标题: 技术区有奖活动 [打印本页]

作者: starlight 时间: 2005-10-25 11:59 标题: 技术区有奖活动

基于10.22会议精神，为了活跃广大技术区的学习探讨精神，现在先进行有奖技术区活动（试行，先在会议区有各位斑竹参与。）。以下一些零散信息是无意中获得的，是否有价值那就看各位评价了。网站名可以用www.xxx.net代替，具体分斑块用1111、2222此类代替。根据现有的这些信息，你能做出的那些动作，更改或者其他相关动作，或者拓展话题。方案最优异者获得1W黑海币。希望大家能积极参与，相互学习共同探讨才是举办活动的精神所在。 mySQL query error: SELECT t.*, f.topic_mm_id, f.name as forum_name, f.quick_reply, f.id as forum_id, f.read_perms, f.reply_perms, f.parent_id, f.use_html, f.start_perms, f.allow_poll, f.password, f.posts as forum_posts, f.topics as forum_topics, f.upload_perms, f.show_rules, f.rules_text, f.rules_title, c.name as cat_name, c.id as cat_id FROM lnd_topics t, lnd_forums f , lnd_categories c WHERE t.tid=224567 and f.id = t.forum_id and f.category=c.id mySQL error: No Database Selected mySQL error code: Date: Monday 24th of October 2005 10:35:11 PM 1111区 mySQL query error: SELECT * from lnd_groups WHERE g_id=';30'; mySQL error: Lost connection to MySQL server during query mySQL error code: Date: Monday 24th of October 2005 10:49:38 PM 2222区无法显示 XML 页。使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击刷新按钮，或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=15'; 时出错。第 2 行，位置: 2 Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in D:\httpd\l... 3333区无法显示 XML 页。使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击刷新按钮，或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=19'; 时出错。第 2 行，位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 4444区无法显示 XML 页。使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击刷新按钮，或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=13'; 时出错。第 2 行，位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 首页无法显示 XML 页。使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击刷新按钮，或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?act=idx'; 时出错。第 2 行，位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 5555区无法显示 XML 页。使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击刷新按钮，或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=8'; 时出错。第 2 行，位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 6666区无法显示 XML 页。使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击刷新按钮，或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=26'; 时出错。第 2 行，位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http...
作者: 流浪的逍遥 时间: 2005-10-25 12:15 标题: 技术区有奖活动

　　小深出了这个项目，希望有兴趣和有能力的都能积极参与。也算是对10月22日的会议精神作一个初步尝试，也算是一个小小的试验吧！
　　逍遥虽然不懂技术，但，知道这个活动是相当具有挑战性的。有人说过，他写的程序是不可破不可摧毁的，我以为，凡是有人能够创造，也就有人能够破坏，不破不立，这个社会就不能前进。
　　
作者: chinanic 时间: 2005-10-25 18:33 标题: 技术区有奖活动

很不错的提议，可惜我没时间参加了！
作者: ☆一往情深☆ 时间: 2005-10-26 01:52 标题: 技术区有奖活动

这个题目挺好的,不过建意一下,能不能在聊天室啊,这样我们方便交流啊,PHP和SQL我只是最近才学的啊还有那个XML更是难啊,不过我都会一点,我先说说我的看法啊,不见得对啊,还请各位指教,,
111
从上面给出的信息,这是一个PHP网页用的是MYSQL数据库,并且这个安在D盘HTTPD下
还给出来不少字段.包括ID,,还有IP地,是MD5加密,像是用户名,我们可以继续猜别的字段,,选择显示所有字段 select * from master
查找master表中前1-5IDdbid是默认保存系统库名的,找到用户名,拥有超级口令
不过,在下一个信息里,给出了SA用户,好像是空口令,要做就是看能否执行
XP_CMDSHELL这命令,填加一个用户到他的系系统里,并提升权限,我们已有D盘下路径上传木马,用我们的建立的名登陆入他的电脑,控制他的电脑,
这只是我想的,也是结合以往学的,和当前信息的提示说的,不知道对否,这个"111"题能出来这样信息,我看这个网站漏洞不少,最起码一些错误事件没有屏蔽掉,让我们有注入的机会,由其实那个224567更是给我帮助的,上面所朋的信息出自一个网站吗?

还有几个区的题没看明白的,好像没给那个赋值不对，说明我们有可能注入吧，不知道回答对，请大家指教
作者: ☆一往情深☆ 时间: 2005-10-27 23:54 标题: 技术区有奖活动

为什么没有人回答呢,别人不来参加,楼主你也得来看看啊,对不对啊,技术区的人呢,就没有一个对入侵这方面有兴趣吗.还是大家没的看见呢,
作者: starlight 时间: 2005-10-28 00:57 标题: 技术区有奖活动

这些都是一个网站上的出错信息。也是无意中获得的，正好在22号会议上大家也说希望技术区有个活动什么的，所以公布出来当做活动的试行，也是希望大家讨论是什么需要改进之处。
发贴到现在，只有楼上几位回帖，是否大家觉得发个这个帖子层次太低，显不出自己水平而不宵回复呢？如果是那样的话，应当庆祝，起码大家的水平层次都不低了；如果不是那样的话，为什么会议上说希望有活动，现在试行活动了，反而又视若无物了呢？
会议不是用来发牢骚的，是提出问题，并且落实问题的。
还是希望有其他斑竹能回复帖子，说出利用漏洞的方法或者觉得这个帖子水平太低，也可以直接回复说明。
作者: ☆一往情深☆ 时间: 2005-10-28 21:47 标题: 技术区有奖活动

我很感兴趣,但从来没有真正攻击成功一回的,都是有一些问题不明白也就放弃了,还怕自己水平不够,让人给逮住,没有在深入下去了,能不能说说我回复的错误所在,和差什么地方,也可以发站内短信给我也行啊,我在看呢
作者: 流浪的逍遥 时间: 2005-10-30 15:33 标题: 技术区有奖活动

　　唉，真不知道我们技术区的各位大大们在做什么？这个帖子小深发出来了这么久了，当时他来征求我的意见时，我非常支持他发出来，我以为大家会感兴趣的，殊不知...
　　或许我们黑海技术水平已经达到了某一个高度了，或许小深出的这个题目太浅太浅了，不值得大家在这里讨论....
作者: ☆一往情深☆ 时间: 2005-10-30 18:10 标题: 技术区有奖活动

唉~~~~~看来,我的水平,太低了,没人来说说啊,看来,我要在去上网学习了,
作者: 天空飞人 时间: 2005-10-31 16:55 标题: 技术区有奖活动

数据库方面还未入手。。。万分惭愧！
悔过
作者: 天空飞人 时间: 2005-10-31 16:59 标题: 技术区有奖活动

ID加过密了。。。只能看到一些IP信息
应该是猜测帐户和密码返回的一些错误信息
作者: starlight 时间: 2005-10-31 18:11 标题: 技术区有奖活动

☆一往情深☆，黑海币已经汇到，请查收。
谢谢参与。
作者: ☆一往情深☆ 时间: 2005-10-31 22:17 标题: 技术区有奖活动

谢谢呼吸了,不过,有人还能给出更好办法,我把奖我的一万,加上我自己的一万给你,共二万来让大家在来分析此题,

我在来说说以上的题,
第一,PHP注入和ASP注入,大体一样,只是命令不一样,还有,上面已经给出是MYSQL数据库了,可以去网上找漏洞,还有,一个好的网站,是不应该出现这么多的错误信息返回的,我想这应是本地调试时出现的错误,我们也不大可能在网上得到这么多的信息,说明以上为什么会有这样的信息出现,我想我会入侵,也得会防,请拿出一个方案来,或是给出过程才行,要不,片片言语,黑币只能让给更高的人了,这只是我一点看法,有什么好的办法,和流程不望赐教!!!,谢谢!

作者: 流浪的逍遥 时间: 2005-11-1 10:38 标题: 技术区有奖活动

　　小深，去告诉技术区的版主们参与一下啊。难道...
作者: 神农架 时间: 2005-11-1 14:53 标题: 技术区有奖活动

看题了。。
我再加1万黑海币！！
参与者-1000hhb
全部答对者加上上面2万共3万黑海币！
兄弟们那不少了。。。。这都是血汗钱啊。。。。
恭候佳音！！
作者: chinanic 时间: 2005-11-1 15:45 标题: 技术区有奖活动

晕，大姐和呼吸说话不要那样含蓄嘛，本来我们水平就是差，看不懂才不回的咯！晕！
作者: ☆一往情深☆ 时间: 2005-11-1 20:44 标题: 技术区有奖活动

下面引用由神农架在 2005/11/01 02:53pm 发表的内容：
看题了。。
我再加1万黑海币！！
参与者-1000hhb
全部答对者加上上面2万共3万黑海币！
...
呵呵,总版主,你在一万,可就是三万了,是不少了,我想,如果在没人回答,我可要补充了,那时候,可又是我的了吧,希望有人说出结果,或是能给出更好的方案,情深在这期望为盼啊,还有,是不是技术区的版主,也在加一些黑币来完善的这个题目,让大家有个积极性,
建议放在技术版固定,发挥会员的积极性,给出期限,看看谁有这方面的才能,能更好的为大家提供宝贵的实际经验啊,
那些转贴,或是在网站复制过来的,都没有这次题目深刻,因为,这才是一个入侵的整个过程,我们不光学编程还要用编程为我们服务,因为我们懂得入侵,才知道怎么保卫我们网站不被入侵
最好提供一个肉鸡,让我们实验,那样,我们才有真实的数据,才能真正明白其中的道理,也希望会的版主,指点出那里的不足,

作者: 流浪的逍遥 时间: 2005-11-2 10:10 标题: 技术区有奖活动

　　昨天逍遥的帖子被梁子删除了，我同意梁子的意见。
　　这个帖子小深发在这里是有一定道理的。这是一个网站的数据库的错误数据，小深无意间获得，小深开玩笑说：或许他技术不高才有这个机会吧？
　　这个网站曾在一年多以前出现了一个小小的插曲，一个管理人员的ID和IP同时被盗，并被利用，这个管理人员曾经请黑海的朋友查清这个插曲的原因，由于当时的具体情况，黑海的朋友告诉这个管理人员，是因为网站程序漏洞。
　　当时，这个管理人员与那个网站的站长也是朋友，所以，好心的告诉那个站长关于漏洞一事，殊不知，站长要这个管理人员提供黑海朋友的信息，并非常自负的告诉这个管理人员：“我写的程序绝对没有漏洞，虽然你的朋友会黑客技术，即使他是一个黑客，但要入侵或者黑我的网站是绝对不可能的”！
　　逍遥之所以希望大家能够参与小深出的这个题目（或许小深这个题目不是非常完善的信息，请原谅，我不懂），第一，是想证明黑海有人能够消消那个站长的狂妄：告诉他，你能吗？我也能！第二，我希望我们黑海的人无所不能！第三，我希望通过这样的形式可以凝聚黑海技术队伍的团结参与，可以开始全面调动大家的扩展自己知识面的积极性。第四，很多人都说，没有课题让大家讨论吗？这也是一次尝试。
　　基于上述四点，逍遥积极支持大家，当然还有一个私人小秘密，当你们成功之后，我会在此向大家解释的。
　　所以，逍遥在上述三万黑海币的基础上，拿出自己的一万作为对成功者的奖励！
作者: ☆一往情深☆ 时间: 2005-11-2 23:14 标题: 技术区有奖活动

噢,是这样啊,能不能利用这个机会去攻击他一下,不过,我们不删除修改任何数据,入侵成功被他查出来也不付法律责任的,说说这个地址,在给点见意,我想这是一个很好的教材了,不知道各位有没有兴趣,也不知道这个建议可行性如何,
还有,大家提出来,对这方面不熟,可以学,大家在交流建议,学得就更快了,不过,我们要是用别人的程序来干掉他,嘿嘿,那还是算了吧,所以C或C++,TCP/IP技术,路由设置,ASP,PHP和SQL,各种漏洞要学了,其实我也晕啊,我现在学得都头大了,不过,慢慢来,我想我们会有进步的,包括这次活动,是大家学习的一个好机会,
作者: 青蛙 时间: 2005-11-13 10:22 标题: 技术区有奖活动

前段时间有点事,一直没来看这个,今天终于闲下来了,仔细看了下这些出错信息,不出意外的话,利用load_file这个函数加上已暴出来的路径,应该能够有很大机会读出mysql的帐户信息哦,估计管理员不会注意给mysql连接文件设置权限的,呵呵,就算限制了,也可以想办法读其他文件进行下一步利用.
作者: x86 时间: 2005-11-13 17:35 标题: 技术区有奖活动

你是等到4万块了才来的吧,继续说下去哦
作者: 青蛙 时间: 2005-11-13 18:49 标题: 技术区有奖活动

能拿到mysql帐号的话,系统权限已经离你不远了,那就什么解决了,还要继续什么,拿不到数据库帐号密码的话,如果是linux系统的话,看能有权限读/etc/pwd不,或者看能读到其他的网站配置文件不,这就要具体实践才知道读出哪些信息是可以利用的,系统内只要是administrators可读的文件都能读,不过要知道绝对路径.
作者: 黑色叶子 时间: 2005-11-13 22:53 标题: 技术区有奖活动

谁可以我出5万
作者: 皮蛋瘦肉 时间: 2005-11-16 20:37 标题: 技术区有奖活动

嘿嘿
我也想看看
可是我在学习中没有时间呀
等我有时间了
我一定要好好的看看这些题目

作者: ☆一往情深☆ 时间: 2005-11-17 19:57 标题: 技术区有奖活动

叶子,那个地址是多少是说说吗?
作者: starlight 时间: 2005-11-17 22:11 标题: 技术区有奖活动

今天的

作者: 青蛙 时间: 2005-11-18 14:08 标题: 技术区有奖活动

UNION SELECT 1,1,1,1,1,load_file (';d:\httpd\lands\sources\drivers\mysql.php';)
作者: x86 时间: 2005-11-18 19:41 标题: 技术区有奖活动

偶也来发个图，不过什么都不懂，嘿嘿...
作者: 绿茶之星 时间: 2005-11-21 10:15 标题: 技术区有奖活动

实在是看不懂帮不上什么忙。。。
作者: 天空飞人 时间: 2005-12-12 18:44 标题: 技术区有奖活动

26楼问题我能回答上的：该网站论坛的页面是放在d:\httpd\lands\sources\drivers文件夹下的名称为mysql.php 猜测对方用的NT系统。对方IP：61.155.11.83 服务器运行在10060端口分别在65行68行103行出现错误 65行可能由于数据库用户密码错误造成的 68行访问数据库出错 103行读取数据库操作失败错误信息：在删除数据表lnd_address中的running_time <113223500或者ip_address=‘218.106.82.171’时出错，可能是该IP于数据库中不存在对方在删除数据库内容时没有对应内容，显示错误信息。
作者: ☆一往情深☆ 时间: 2005-12-15 21:08 标题: 技术区有奖活动

这么说,这个出错信息是正常还是不正常呢,他的错误屏蔽的很好的,我们注入没有的

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2