Сообщение от
DrakonSerg
замучился уже с этим сайтом. Сижу уже за ним часов 12 (
Нашел наконец то ошибку, которую можно вызвать через GET запрос
hxxp://site.com/gallery.php?file=1'
получаем на странице, кроме прочего контента (img всякие там):
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/site/www/public_html/gallery.php on line 35
NetDevilZ SQL Scaner сказал, что это (Blind Injection), как я понял "слепая скуль". Но как же она слепая, если выдает ошибку?
SQLI Helper 2.7 не смог ничего вытащить, показал лишь сервер и версию PHP
Pangolin.Pro тоже не помог. Говорит Cannot detecte keyword! Где мне достать этот keyword я понятия не имею.
Помогите, кто чем может. В какую сторону копать? Где почитать? Что мне вообще делать. База с сайта нужна, как никогда (кста установлен на Apache/2.0.52 (CentOS) PHP/5.1.6, то есть кроме как sql я наверное по другому к нему никак(( )
ЗЫ есть полная структура сайта, полученая intelli tamper, есть phpinfo файл, есть пару полей, что POST методом выдают ошибку.
Хочеться взять и ...
Если ошибка есть, то может быть и слепая (О чудо, я открыл глаза на мир скулей? ).
Ты бы лучше выложил ссылку.
Сообщение от
LokbatanLi
hxxp://site.com/gallery.php?file=(select*from(select+name_const(ve rsion(),1),name_const(version(),1))a)
Ты вообще адекватный человек?
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/site/www/public_html/gallery.php on line 35
Если ошибка PHP, ошибки Sql синтаксиса нету, причём здесь твой вывод через ошибку?
Сообщение от
pinch
hxxp://site.com/gallery.php?file=1+and+(select+1+from+(select+coun t(0),concat((select+version()),floor(rand(0)*2))+f rom+information_schema.tables+group+by+2)a)
лучше ссылку в студию если конечно сайт не в .ru зоне
Аналогично.
// Будь тут Grey, он бы вам таких клизм вставил, что вы бы больше сюда незаходили
2pinch, ну раз непомешан, чего советовать тогда?