Hackerboard Wiki HaboBlog
Hackerboard bei Facebook Hackerboard bei Google+ Hackerboard bei Twitter

[HaBo]

 
(In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene.

PHPKIT-Mysql Injection ...

Diskussion: PHPKIT-Mysql Injection ... im Forum (In)security allgemein, in der Kategorie Security Area; Anzeige hi, habe mit ner MySQL injection beim phpkit 1.6.03 ein problem :) erstmal ein original auszug aus dem exploit(nennt ...

Antwort
Alt 04.09.05, 00:10   #1 (permalink)
 
Registriert seit: 04.09.05
fadz Leistung: Facit NTK
Likes: 0
Standard PHPKIT-Mysql Injection ...

Anzeige

hi, habe mit ner MySQL injection beim phpkit 1.6.03 ein problem :)
erstmal ein original auszug aus dem exploit(nennt man das so ?):

Zitat:
SQL INJECTION
http://www.target.com/phpkit/include...print.php&id=1'

CODE:
<?php
if (isset($_REQUEST['id'])) $id=$_REQUEST['id'];
$gbookinfo=$DB->fetch_array($DB->query("SELECT * FROM ".$db_tab['gbook']."
WHERE gbook_id='".$id."' LIMIT 1"));
eval ("\$site_body.= \"".getTemplate("guestbook/print")."\";");
?>
(atm läuft das alles bei mir aufm lokalen test server) und ich habe dann mal eine tabelle erstellt mit dem namen "test" die beinhaltet nur eine spalte (integer(12) werte) ....so, nun versuche ich diesen aufruf:
Zitat:
http://localhost/phpkit/include.php?...print.php&id=1 insert into test values (2)
und als ergebniss wird mir angezeigt:
Zitat:
<?php
if (isset($_REQUEST['id'])) $id=$_REQUEST['id'];
$gbookinfo=$DB->fetch_array($DB->query("SELECT * FROM ".$db_tab['gbook']."
WHERE gbook_id='".$id."' LIMIT 1"));
eval ("\$site_body.= \"".getTemplate("guestbook/print")."\";");
?>
mache ich etwas falsch ? oder verstehe ich das gebiet einfach noch nicht ? :) wäre nett wenn mir einer helefn könnte, thx
fadz ist offline   Mit Zitat antworten
Alt 04.09.05, 13:45   #2 (permalink)
 
Registriert seit: 13.11.04
The Dude Leistung: Facit NTK
Likes: 0
Standard

oeh, bist du sicher, dass dein webserver richtig fuer php konfiguriert ist? sieht so aus als wuerde das skript nicht vom php interpreter ausgefuehrt, sondern einfach an den browser geschickt.
The Dude ist offline   Mit Zitat antworten
   
HaBOT
 
- Anzeige -

Werbung ist gerade online    
Alt 04.09.05, 16:00   #3 (permalink)
Themenstarter
 
Registriert seit: 04.09.05
fadz Leistung: Facit NTK
Likes: 0
Standard

hmm, nee glaube net, weil ich kann es auch bei nem eigenen webspace bei funpic machen, kommt irgendwie das gleiche raus ....

vl. noch ne andere möglichkeit ?
fadz ist offline   Mit Zitat antworten
Antwort
   
- Anzeige -

Werbung ist gerade online    

[HaBo] » Security Area » (In)security allgemein » PHPKIT-Mysql Injection ...
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
PHP/MySql sql injection verhindern Dawen Code Kitchen 6 05.08.09 19:40
MySQL-Injection und weiter? kuzdu (In)security allgemein 2 26.07.07 17:38
MySQL injection Globestern (In)security allgemein 1 21.02.06 12:30
mySQL injection _fux_ (In)security allgemein 5 12.10.05 17:05
MySQL-Injection Elderan (In)security allgemein 1 05.10.04 19:55


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61