Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Sql injection (https://forum.antichat.xyz/showthread.php?t=440123)

Octavian 20.04.2016 02:49
(" INSERT INTO log SET ip = '100.244.096', username = '\' ")

Что можно сделать?

МОГУ ВВОДИТЬ ТОЛЬКО В username

КАВЫЧКА ФИЛЬТРУЕТСЯ

СМОГУ СКИНУТЬ В ЛС )

nopony 20.04.2016 05:21
Цитата:
Сообщение от Octavian
Octavian said:

(" INSERT INTO log SET ip = '100.244.096', username = '\' ")
Что можно сделать?
МОГУ ВВОДИТЬ ТОЛЬКО В username
КАВЫЧКА ФИЛЬТРУЕТСЯ
СМОГУ СКИНУТЬ В ЛС )
Смею предположить что сделать ничего не получится. Разве что можно попробовать передать параметр "X-Forwarded-For:1.1.1.1qwerty" в запросе, и если запрос примет вид "INSERT INTO log SET ip = '1.1.1.1qwerty', username = '\'", то ip вычисляется криво и под контролем оказываются 2 поля, а значит можно крутить как фрагментированную sqli

Octavian 20.04.2016 14:26
Проста у меня между параметрами IP и USERNAME есть и MESAGE которыи всегда пустои

(" INSERT INTO log SET ip = '\',mesage = '', username = '\' ") СМОГУ ЗАПЕХНУТЬ В IP \ ДАЛЬШЕ КАК?

faza02 20.04.2016 15:02
нужно чтобы параметры шли подряд. ищите параметр, который попадает в message

<Cyber-punk> 21.04.2016 01:25
Если это веб, то попробуй отправить заголовок X-Forwarded-For, или аналогичный ему, вдруг айпишник клиента каким-то неведомым образом оттуда тоже забирается.


Время: 15:54