Приветствую всех! Какую отличную работу проделала администрация по совершенствованию портала, если тут кто был в 2015-ом 
Конечно желаю вам дальнейшего процветания семимильными шагами, в чём я абсолютно не имею никаких сомнений!
На форуме нет ни одной статьи посвящённой тестированию на проникновение SA:MP сервера, да я понимаю, что если ковырять сам сервер, то принцип там будет тот же, нужно искать уязвимые сервисы, которые прослушиваются на открытых портах. Но если пойти другим методом? Найти уязвимости в самом моде?
IP адрес сервера: 176.32.37.251:7777
Сервер использует базу данных MySQL.
Первое, что мне показалось странным, это команда : /donat
С помощью которой игрок может проверить поступление денег, который он задонатил, то есть, сумма автоматически не появляется на балансе, а только после того, как игрок пропишет эту команду. Значит можно сделать вывод, что идёт обращение к БД, запросом проверяется наличие поступивших средств, верно?
А соответственно можно же как то составить запрос иным способом, чтобы "заставить поверить", что средства поступили, хотя они и не поступали?
Вот сама система пополнения счёта (UnitPay):
К сожалению я не знаю язык запросов SQL и поэтому прошу помощи разобраться, как правильно нужно составить запрос к БД?
Ниже скриншоты строк ввода, в которых, как мне кажется, можно провести SQLi.
Смена пароля, вот тут точно можно провести SQLi, но стоит лимит на 20 символов, ограничений на кавычки и тд нет.
Другие формы ввода, в которых возможно реально провести инъекцию:
Надеюсь хоть кто-то мне поможет разобраться, а не будет меня пинать, что даже такие элементарные вещи не знаю
Желаю всем приятного дня, администрации успехов в развитии и светлых мыслей всем!
Конечно желаю вам дальнейшего процветания семимильными шагами, в чём я абсолютно не имею никаких сомнений!
На форуме нет ни одной статьи посвящённой тестированию на проникновение SA:MP сервера, да я понимаю, что если ковырять сам сервер, то принцип там будет тот же, нужно искать уязвимые сервисы, которые прослушиваются на открытых портах. Но если пойти другим методом? Найти уязвимости в самом моде?
IP адрес сервера: 176.32.37.251:7777
Сервер использует базу данных MySQL.
Первое, что мне показалось странным, это команда : /donat
С помощью которой игрок может проверить поступление денег, который он задонатил, то есть, сумма автоматически не появляется на балансе, а только после того, как игрок пропишет эту команду. Значит можно сделать вывод, что идёт обращение к БД, запросом проверяется наличие поступивших средств, верно?
А соответственно можно же как то составить запрос иным способом, чтобы "заставить поверить", что средства поступили, хотя они и не поступали?
Вот сама система пополнения счёта (UnitPay):
Ссылка скрыта от гостей
К сожалению я не знаю язык запросов SQL и поэтому прошу помощи разобраться, как правильно нужно составить запрос к БД?
Ниже скриншоты строк ввода, в которых, как мне кажется, можно провести SQLi.
Смена пароля, вот тут точно можно провести SQLi, но стоит лимит на 20 символов, ограничений на кавычки и тд нет.
Другие формы ввода, в которых возможно реально провести инъекцию:
Надеюсь хоть кто-то мне поможет разобраться, а не будет меня пинать, что даже такие элементарные вещи не знаю
Желаю всем приятного дня, администрации успехов в развитии и светлых мыслей всем!
