Всем Добра! Подскажите пожалуйста аналог WhatWaf , может есть что по новее , или аналоги , я понимаю что руками в основном обходят сейчас , но если не трудно подскажите пожалуйста , или может можно ее как то дополнить обновлениями. Спасибо!
Привет помогите что можно сделать, нахожусь в <script> пропускает <> без " как мне закрыть этот <script> и выполнить XSS Code: <script> var a = "<\/script>asdf..."; </script> а если с пробелом < /script> тогда норм но уже не работает Code: <script> var a = "< /script><script>alert(9)//"; </script>
Судя по всему, ты полностью контролируешь переменную "a". Тогда проще всего будет сделать инжект внутри <script>, ты же уже там. Попробуй payload = Code: a"+alert(100)+"b Чтобы получилось Code: <script> var a = "a"+alert(100)+"b"; </script>
Добрый день. Подскажите пожалуйста, как лучше сделать. Имею доступ к базе данных ( логин/пароль есть). Пытаюсь залить шелл по: https://forum.antichat.com/threads/307894/ Но возникает проблема в phpmyadmin "Ошибка в запросe (1045): Access denied for user..." Пробую залить шелл с картинкой вместе через админку сайта, но при заливке картинки двиг перезаписывает картинку и открыть я ее не могу, маленький квадратик. Хотя код в картинке сохранен.
1) учетка от базы не имеет file_priv 2) "но при заливке картинки двиг перезаписывает картинку и открыть я ее не могу" - попробуйте описать более внятно ))) не совсем понятно что означает "перезаписывает", если дальше пишете что "код в картинке сохранен"... Не достаточно просто иметь в картинке код. Необходимо что бы его интерпретировал движок или библиотека которой обрабатывается картинка. Если этого не происходит, то и код не выполнится. К тому же зачастую, из картинок удаляется всё "лишнее" перед сохранением.