NewbieContest

Divers => Hacking => Discussion démarrée par: Shutdownfuri le 06 Décembre 2008 à 17:14:35


Titre: Faille SQL / XSS / ?
Posté par: Shutdownfuri le 06 Décembre 2008 à 17:14:35
Bonjour!

J'aimerai avoir un avis, j'aimerai savoir si il est possible d'y injecté un script.

Code:
var _DO_=null;var _PAGE_=null
function _JGCS(e){if(e.currentStyle) return e.currentStyle;if (window.getComputedStyle) return window.getComputedStyle(e, null);if (document.defaultView.getComputedStyle) return document.defaultView.getComputedStyle(e, null);return new Object()}
function _T0(event){clA4.OnSubmit();return true}
function _T1(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\nLyc%E9e Langevin-Wallon Champigny sur Marne (94).\r\nD%E9velopp%E9 par Jean-Michel NICOLAS, Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T2(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque, Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T3(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque , Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T4(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque , Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T5(event){{}clA4.OnBlur(event)}
function _T6(event){clA4.OnFocus(event);{}}
function _T7(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque , Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _LOD_COM(event){}

</SCRIPT>

<script>function chfocus(){window.focus();if(_PAGE_.A4!=null)try{_PAGE_.A4.focus();}catch(e){}}</SCRIPT>
<script>var clA4=new WDSaisie("nom.prenom","A4","");</script><script>function FinInitJS(){clA4.Init();}</script><script>function FinSubmitAJAX(){clA4.RAZIndication();}</script><LINK REL=stylesheet TYPE=text/css HREF="/MAINTENANCE_WEB/Maintenance.css">
<STYLE TYPE=text/css>.l-0{}.l-1{background-image:url(/MAINTENANCE_WEB/arriere_plan_haut.jpg);background-repeat:repeat;}.MESSAGETITRE-0{font-family:Verdana, Arial, Helvetica, sans-serif;font-size:9pt;font-style:normal;font-variant:normal;font-weight:bold;color:#3300CC;}.l-3{font-family:Verdana, Arial, Helvetica, sans-serif;font-size:7pt;font-style:italic;font-variant:normal;font-weight:normal;color:#999999;text-align:left;text-transform:none;}
#A10,#bzA10{border:solid 1px #006633;border-collapse:collapse;empty-cells:show;border-spacing:0;}
#A4{width:206;height:25;}
#A8{width:206;height:25;}
#fzizA7,#tzizA7,#bzizA7{border:solid 1px #006633;border-collapse:collapse;empty-cells:show;border-spacing:0;}</STYLE></HEAD><BODY topmargin=0 leftmargin=0 bgcolor=#FFFFFF onkeypress="if(((event.keyCode!=null)?event.keyCode:((event.which!=null)?event.which:0))==13){javascript:if(_T0()){_JSL(_PAGE_,'A5','_self','','')};return(event.returnValue!=null)?(event.returnValue=false):false;}" onload="chfocus();FinInitJS();alert('Erreur d\47identification.\nVeuillez recommencer.');;_LOD_COM(event);"><table align=center width=982><tr align=left valign=top><td><div style="position:relative">


N'y aurait - il pas moyen d'un introduire une injection sql, car sur l'une des autre page une faille de type XSS est présente & ce lon moi aussi une faille type sql injection, car quand j'introduis un guillemet dans l'url:

http://www.wwww/svi/?page=mapage"

Voici l'erreur provoquer:
 
Code:
Notice: Undefined variable: nomdefili in x:\websti\web\svi\index.php on line 122

Notice: Undefined variable: f_dir in x:\websti\web\svi\index.php on line 149

Warning: main(PresentationStage".html): failed to open stream: No such file or directory in x:\websti\web\svi\index.php on line 149

Fatal error: main(): Failed opening required 'PresentationStage".html' (include_path='.;C:\PROGRA~1\EASYPH~1\\php\pear\') in x:\websti\web\svi\index.php on line 149

Je rajoute que la faille sql et cette erreur se trouve sur une autre page que cette de "Connection". J'ai essayé d'introduire dans le champ login: 'OR 1=1 et password: 'OR 1=1
Mais aucune erreur n'apparait.....

Une dernière chose de **orthographe !** ma attiré l'œil:
L'url de la page de connection pour la maintenance du site est:

http://www.xxx.com/WD120AWP/WD120Awp.exe/CTX_1320-1-bWfikwWYDF/Accueil/SYNC_176660593

Voila maintenant j'aimerai savoir ce que vous en pensez vous...

Très cordialement,

Titre: Re : Faille SQL / XSS / ?
Posté par: Shakan le 06 Décembre 2008 à 18:21:43
Citation
J'aimerai avoir un avis, j'aimerai savoir si il est possible d'y injecté un script.

Pour faire quoi ?

Titre: Re : Faille SQL / XSS / ?
Posté par: Shutdownfuri le 06 Décembre 2008 à 19:22:12
Bha, pour pouvoir accédé à la partie administration...
Savoir si l'erreur proviens d'une faille...

Titre: Re : Faille SQL / XSS / ?
Posté par: Shakan le 06 Décembre 2008 à 20:46:00
Ok.

Titre: Re : Faille SQL / XSS / ?
Posté par: Shutdownfuri le 06 Décembre 2008 à 20:48:18
Ta réponse a l'air bien brève,et je t'avou que j'ai du mal a la comprendre, j'ai vraiment tout essayé mais sans résultats j'arrive pas...
C'est pas pour faire un deface ou autre mais seulement pour comprendre car sa aurait été pour un deface j'aurai exploité le site via la faille xss...

Titre: Re : Faille SQL / XSS / ?
Posté par: Al3x le 06 Décembre 2008 à 22:37:35
Code:
/* du js */....Lyc%E9e Langevin-Wallon Champigny sur Marne (94)...
Tu veux hacker ton lycée ?  :rolleyes:
C'est illégal et personne ne t'aidera pour ça ici.

Titre: Re : Faille SQL / XSS / ?
Posté par: mogg41 le 06 Décembre 2008 à 22:44:47
Encore un qui pense qu'il est plus facile d'avoir des bonnes notes en hackant son lycée plutôt qu'en travaillant... C'est déplorable!!

Titre: Re : Faille SQL / XSS / ?
Posté par: Shakan le 07 Décembre 2008 à 00:08:07
Citation
Encore un qui pense qu'il est plus facile d'avoir des bonnes notes en hackant son lycée plutôt qu'en travaillant...
... son orthographe.  =D

Titre: Re : Faille SQL / XSS / ?
Posté par: Shutdownfuri le 07 Décembre 2008 à 11:17:50
C'est vraiment pas pour faire un deface ou d'autre connerie mais simplement pour que je puisse le dire à l'administrateur réseau de mon lycée.
Je le répète une faille xss est présent mais, l'exploité pour récupéré le cookies est simple et je sais déjà le faire mais par contre pour ce qui est d'une injection sql je sais vraiment pas comment sa se procède.

Titre: Re : Faille SQL / XSS / ?
Posté par: CommComm le 07 Décembre 2008 à 12:12:25
Eh bien tu dis à l'administrateur qu'il y a un problème et tu t'en tiens là. Sinon le CommCommissaire de PolPolice va venir te tirer les z'oreilles. Comme il a été dit plus haut, ce que tu fais est illégal. Articles 323-1 et suivants du Code pénal.

Titre: Re : Re : Faille SQL / XSS / ?
Posté par: the lsd le 08 Décembre 2008 à 10:16:05
Citation de: CommComm le 07 Décembre 2008 à 12:12:25
Articles 323-1 et suivants du Code pénal.

Ah la la, le fameux 323, on le connait tous celui la, c'est d'ailleurs le seul qu'on connait :)

Bon je locke, le topic ne respecte pas les regles

Enjoy

The lsd


Powered by SMF 1.1.21 | SMF © 2006-2011, Simple Machines