06.04.2010, 19:25
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
вот это
%27%3A%27%
замени на
char(58)
|
|
|
06.04.2010, 20:23
|
|
Участник форума
Регистрация: 06.01.2010
Сообщений: 136
С нами:
8603287
Репутация:
87
|
|
Сообщение от Pashkela
вот это
%27%3A%27%
замени на
char(58)
у меня проде есле делаю так +as+nvarchar то меня перекидует на
dotDefender Blocked Your Request
Please contact the site administrator, and provide the following Reference ID:
DCF2-8C56-108D-7E2D
|
|
|
|
06.04.2010, 20:38
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
стоит WAF http://www.applicure.com/
пробуй как-то обойти, по-моему децл не та тема, тем более нет ссылки. Подход в случае защиты к каждой скуле индивидуальный
|
|
|
|
18.08.2010, 04:45
|
|
Участник форума
Регистрация: 06.01.2010
Сообщений: 136
С нами:
8603287
Репутация:
87
|
|
В cлучаях если фильтруются оператор select и т.п, то узнать system_user(),db_name(), можно так
?id=user
?id=db_name()
|
|
|
|
06.12.2010, 00:23
|
|
Постоянный
Регистрация: 17.12.2008
Сообщений: 353
С нами:
9157119
Репутация:
74
|
|
Короче вот опять мои любимые музейщики http://www.r*c*xpo.com/*xhibition_ov*rvi*w.php?id=157' (заменим * на e).
Там пых походу. Пробывал подставить конструкции из первого поста, но всегда выводится такое красивое число на белом фоне, как 1.
Есть советы какие, м.б. кто сталкивался?
|
|
|
|
07.01.2011, 20:44
|
|
Познающий
Регистрация: 21.02.2010
Сообщений: 35
С нами:
8536502
Репутация:
1
|
|
Сообщение от guest3297
UPDATE!
Уневальсальный дампер для mssql через иньекцию.
http://slil.ru/24655320
http://www.rapidshare.ru/350872
Видео тут.
Собсвенно продолжение статьи и то о чем все просили.
http://hack-shop.org.ru/mssql.php
Перезалейте плиз
|
|
|
|
15.11.2011, 15:14
|
|
Познающий
Регистрация: 05.05.2009
Сообщений: 44
С нами:
8956891
Репутация:
1
|
|
Надеюсь, я пишу в ту ветку. Мне нужна помощь.
У меня возникли проблемы с кодировкой. Сразу скажу, что я только начинающий.
При попытке вывести содержание столбца получаю абракадабру. Каким образом можно вывести информацию в другой кодировке? Перепробовал разные варианты, предложенные в тех или иных ветках античата (unhex(hex()), AES_DECRYPT(AES_ENCRYPT(),), collate, cast( as nvarchar) и т.п.) Ничего не помогает. В этой строке запрятан почтовый адрес на русском языке.
Вот, собственно, сам запрос:
...id=-1'+OR+1=(SELECT+TOP+1+cast(strAddress+as+nvarchar) +FROM+tbfVP)+--
Используется MS SQL.
Буду очень признателен.
|
|
|
|
25.11.2011, 13:44
|
|
Новичок
Регистрация: 14.11.2011
Сообщений: 4
С нами:
7628726
Репутация:
0
|
|
Попробуй раскрутить через union. Мне помогает
|
|
|
|
26.06.2012, 18:45
|
|
Участник форума
Регистрация: 10.03.2005
Сообщений: 234
С нами:
11141693
Репутация:
56
|
|
А есть еще какой то способ объединения данных вместо cast? Что то такой способ у меня не хочет работать.
|
|
|
|
26.06.2012, 18:48
|
|
Новичок
Регистрация: 12.08.2009
Сообщений: 1
С нами:
8814194
Репутация:
0
|
|
cast() - это привидение к определенному типу данных, а не объединение! Используйте concat()
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Feldmarschall]](/avatars/avatar109813.jpg?2049623){kind=avatar}
![Аватар для [Feldmarschall]](/avatars/avatar109813.jpg?2304309){kind=avatar}
Похожие темы
Линейный вид
