УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
sql miranda db

Опции темы

Поиск в этой теме

Опции просмотра

16.02.2017, 16:53

brown

Guest

Сообщений: n/a

Провел на форуме:
43449

Репутация: 1

Нашел скулю но хз как ее раскрутить.При добавлении в site.ru/id=6694'union select

изменяется эта строка

NewOrder->GetMasterOrder('6694 UNION...')

ERROR!

Exception code: 1064

Exception message:

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 4

Thrown by: 'DbMysql.class.php' on line: 177

Stack trace: #0DbMysql.class.php(62): DbMysql->throwMysqlException()

DbControl.class.php(104): DbMysql->query('SELECT c.*, om....')

DbControl.class.php(283): DbControl->initiate()

DbControl->fetchOneRow('SELECT c.*, om....')

NewOrder->GetMasterOrder('6694 UNION...')

16.02.2017, 17:39

st55

Guest

Сообщений: n/a

Провел на форуме:
52834

Репутация: 47

Так не разобраться. Но предположу что возможен error-based вектор.

16.02.2017, 18:18

brown

Guest

Сообщений: n/a

Провел на форуме:
43449

Репутация: 1

Цитата:

Сообщение от st55

st55 said:
↑
Так не разобраться. Но предположу что возможен error-based вектор.

Пробывал и еррорбасед и мапом гонял,нифига(

16.02.2017, 20:21

brown

Guest

Сообщений: n/a

Провел на форуме:
43449

Репутация: 1

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''' and 1=1 U' at line 6

он добавляет сам запрос в ошибку

17.02.2017, 01:27

artkar

Guest

Сообщений: n/a

Провел на форуме:
131082

Репутация: 6

Могу предположить с вероятностью 0,76 что инъекция сплотабельная и это тот случай когда нужен ручной подход к инжекции

17.02.2017, 11:30

erwerr2321

Guest

Сообщений: n/a

Провел на форуме:
759330

Репутация: 147

Цитата:

Сообщение от brown

brown said:
↑
он добавляет сам запрос в ошибку

Кто он?

17.02.2017, 18:56

leksadin

Guest

Сообщений: n/a

Провел на форуме:
28741

Репутация: 12

Цитата:

Сообщение от brown

brown said:
↑
Нашел скулю но хз как ее раскрутить.При добавлении в site.ru/id=6694'union select
изменяется эта строка
NewOrder->GetMasterOrder('6694 UNION...')
ERROR!
Exception code: 1064
Exception message:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 4
Thrown by: 'DbMysql.class.php' on line: 177
Stack trace: #0DbMysql.class.php(62): DbMysql->throwMysqlException()
DbControl.class.php(104): DbMysql->query('SELECT c.*, om....')
DbControl.class.php(283): DbControl->initiate()
DbControl->fetchOneRow('SELECT c.*, om....')
NewOrder->GetMasterOrder('6694 UNION...')

можешь кинуть ссылку в личку - посмотрим