返回列表 发帖

技术区有奖活动

基于10.22会议精神,为了活跃广大技术区的学习探讨精神,现在先进行有奖技术区活动(试行,先在会议区有各位斑竹参与。)。 以下一些零散信息是无意中获得的,是否有价值那就看各位评价了。网站名可以用www.xxx.net代替,具体分斑块用1111、2222此类代替。根据现有的这些信息,你能做出的那些动作,更改或者其他相关动作,或者拓展话题。方案最优异者获得1W黑海币。希望大家能积极参与,相互学习共同探讨才是举办活动的精神所在。 mySQL query error: SELECT t.*, f.topic_mm_id, f.name as forum_name, f.quick_reply, f.id as forum_id, f.read_perms, f.reply_perms, f.parent_id, f.use_html, f.start_perms, f.allow_poll, f.password, f.posts as forum_posts, f.topics as forum_topics, f.upload_perms, f.show_rules, f.rules_text, f.rules_title, c.name as cat_name, c.id as cat_id FROM lnd_topics t, lnd_forums f , lnd_categories c WHERE t.tid=224567 and f.id = t.forum_id and f.category=c.id mySQL error: No Database Selected mySQL error code: Date: Monday 24th of October 2005 10:35:11 PM 1111区 mySQL query error: SELECT * from lnd_groups WHERE g_id=';30'; mySQL error: Lost connection to MySQL server during query mySQL error code: Date: Monday 24th of October 2005 10:49:38 PM 2222区 无法显示 XML 页。 使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击 刷新按钮,或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=15'; 时出错。第 2 行,位置: 2 Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in D:\httpd\l... 3333区 无法显示 XML 页。 使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击 刷新按钮,或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=19'; 时出错。第 2 行,位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 4444区 无法显示 XML 页。 使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击 刷新按钮,或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=13'; 时出错。第 2 行,位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 首页 无法显示 XML 页。 使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击 刷新按钮,或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?act=idx'; 时出错。第 2 行,位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 5555区 无法显示 XML 页。 使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击 刷新按钮,或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=8'; 时出错。第 2 行,位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http... 6666区 无法显示 XML 页。 使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击 刷新按钮,或以后重试。 -------------------------------------------------------------------------------- XML 文档只能有一个顶层元素。处理资源 ';http://xxxx.net/land/index.php?showforum=26'; 时出错。第 2 行,位置: 2 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\http...
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

技术区有奖活动

这么说,这个出错信息是正常还是不正常呢,他的错误屏蔽的很好的,我们注入没有的

TOP

技术区有奖活动

26楼问题我能回答上的: 该网站论坛的页面是放在d:\httpd\lands\sources\drivers文件夹下的名称为mysql.php 猜测对方用的NT系统。 对方IP:61.155.11.83 服务器运行在10060端口 分别在65行68行103行出现错误 65行可能由于数据库用户密码错误造成的 68行访问数据库出错 103行读取数据库操作失败 错误信息: 在删除数据表lnd_address中的running_time <113223500或者ip_address=‘218.106.82.171’时出错,可能是该IP于数据库中不存在 对方在删除数据库内容时没有对应内容,显示错误信息。

TOP

技术区有奖活动

实在是看不懂 帮不上什么忙。。。

TOP

技术区有奖活动


偶也来发个图,不过什么都不懂,嘿嘿...
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

TOP

技术区有奖活动

UNION SELECT 1,1,1,1,1,load_file (';d:\httpd\lands\sources\drivers\mysql.php';)

TOP

技术区有奖活动

今天的
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

TOP

技术区有奖活动

叶子,那个地址是多少是说说吗?

TOP

技术区有奖活动

嘿嘿
我也想看看
可是我在学习中没有时间呀
等我有时间了
我一定要好好的看看这些题目

TOP

技术区有奖活动

谁可以我出5万

TOP

技术区有奖活动

能拿到mysql帐号的话,系统权限已经离你不远了,那就什么解决了,还要继续什么,拿不到数据库帐号密码的话,如果是linux系统的话,看能有权限读/etc/pwd不,或者看能读到其他的网站配置文件不,这就要具体实践才知道读出哪些信息是可以利用的,系统内只要是administrators可读的文件都能读,不过要知道绝对路径.

TOP

技术区有奖活动

你是等到4万块了才来的吧,继续说下去哦

TOP

技术区有奖活动

前段时间有点事,一直没来看这个,今天终于闲下来了,仔细看了下这些出错信息,不出意外的话,利用load_file这个函数加上已暴出来的路径,应该能够有很大机会读出mysql的帐户信息哦,估计管理员不会注意给mysql连接文件设置权限的,呵呵,就算限制了,也可以想办法读其他文件进行下一步利用.

TOP

技术区有奖活动

噢,是这样啊,能不能利用这个机会去攻击他一下,不过,我们不删除修改任何数据,入侵成功被他查出来也不付法律责任的,说说这个地址,在给点见意,我想这是一个很好的教材了,不知道各位有没有兴趣,也不知道这个建议可行性如何,
还有,大家提出来,对这方面不熟,可以学,大家在交流建议,学得就更快了,不过,我们要是用别人的程序来干掉他,嘿嘿,那还是算了吧,所以C或C++,TCP/IP技术,路由设置,ASP,PHP和SQL,各种漏洞要学了,其实我也晕啊,我现在学得都头大了,不过,慢慢来,我想我们会有进步的,包括这次活动,是大家学习的一个好机会,

TOP

技术区有奖活动


  昨天逍遥的帖子被梁子删除了,我同意梁子的意见。
  这个帖子小深发在这里是有一定道理的。这是一个网站的数据库的错误数据,小深无意间获得,小深开玩笑说:或许他技术不高才有这个机会吧?
  这个网站曾在一年多以前出现了一个小小的插曲,一个管理人员的ID和IP同时被盗,并被利用,这个管理人员曾经请黑海的朋友查清这个插曲的原因,由于当时的具体情况,黑海的朋友告诉这个管理人员,是因为网站程序漏洞。
  当时,这个管理人员与那个网站的站长也是朋友,所以,好心的告诉那个站长关于漏洞一事,殊不知,站长要这个管理人员提供黑海朋友的信息,并非常自负的告诉这个管理人员:“我写的程序绝对没有漏洞,虽然你的朋友会黑客技术,即使他是一个黑客,但要入侵或者黑我的网站是绝对不可能的”!
  逍遥之所以希望大家能够参与小深出的这个题目(或许小深这个题目不是非常完善的信息,请原谅,我不懂),第一,是想证明黑海有人能够消消那个站长的狂妄:告诉他,你能吗?我也能!第二,我希望我们黑海的人无所不能!第三,我希望通过这样的形式可以凝聚黑海技术队伍的团结参与,可以开始全面调动大家的扩展自己知识面的积极性。第四,很多人都说,没有课题让大家讨论吗?这也是一次尝试。
  基于上述四点,逍遥积极支持大家,当然还有一个私人小秘密,当你们成功之后,我会在此向大家解释的。
  所以,逍遥在上述三万黑海币的基础上,拿出自己的一万作为对成功者的奖励!

TOP

返回列表 回复 发帖