ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
17.01.2013, 17:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
11910
Репутация:
0
|
|
Не первый раз пишу это сообщение и сразу обращусь к модерам. Если трёте посты/темы - можно хотя бы причину озвучивать?
Прошу теоретической помощи, никого не трогаю, правил не нарушаю-посты/темы затираются. Если что не так делаю-скиньте, пожалуйста, в личку косяк - больше не буду так делать. Может по незнанию что ворочу.
Ладно. К делу.
Есть раскрученная sql-ка, есть дамп. Но мне интересно можно ли изменять данные в таблице? С помощью sqlmap не получилось. Думаю, что из-за прав пользователя БД - стоит USAGE. Теоретически можно изменить данные в таблице, если скуля под пользователем с такими правами?
|
|
|
|
17.01.2013, 19:00
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
Провел на форуме:
346497
Репутация:
303
|
|
Сообщение от warhamer2012
warhamer2012 said:
Не первый раз пишу это сообщение и сразу обращусь к модерам. Если трёте посты/темы - можно хотя бы причину озвучивать?
Прошу теоретической помощи, никого не трогаю, правил не нарушаю-посты/темы затираются. Если что не так делаю-скиньте, пожалуйста, в личку косяк - больше не буду так делать. Может по незнанию что ворочу.
Ладно. К делу.
Есть раскрученная sql-ка, есть дамп. Но мне интересно можно ли изменять данные в таблице? С помощью sqlmap не получилось. Думаю, что из-за прав пользователя БД - стоит USAGE. Теоретически можно изменить данные в таблице, если скуля под пользователем с такими правами?
Взять и погуглить на тему: sql inj для начинающих. И в первую очередь обратить внимание на азы. Изменять данные можно только тогда, когда инъекция находится в UPDATE,INSERT запросах или-же сложносочлененных, когда результат первого, к примеру, попадает во второй и второй именно UPDATE(INSERT). В базовом к примеру UNION sql inj согласно стандарту SQL возможно только SELECT
|
|
|
18.01.2013, 10:46
|
|
Guest
Сообщений: n/a
Провел на форуме:
11910
Репутация:
0
|
|
Сообщение от Cennarios
Cennarios said:
Взять и погуглить на тему: sql inj для начинающих. И в первую очередь обратить внимание на азы.
Изменять
данные можно только тогда, когда инъекция находится в UPDATE,INSERT запросах или-же сложносочлененных, когда результат первого, к примеру, попадает во второй и второй именно UPDATE(INSERT). В базовом к примеру UNION sql inj согласно стандарту SQL возможно только SELECT
Уважаемый Cennarios, в любом случае спасибо за ответ. Но!
1. Форум на то и форум, что можно поделиться опытом или получить ответ от более понимающего в вопросе человека.
2. Я не считаю свой вопрос из разряда идиотских. Я искал ответ на этот вопрос и не раз. Для верности после твоего ответа еще раз погуглил. "Для начинающих"-это "вставили кавычку-видим ошибку...делаем дамп...ПРОФИТ". Эти вопросы мне хорошо известны. А вот вопрос в топике совсем не тривиален для меня-и так просто нагуглить его не получается. Качать и читать учебник по SQL нужно, но очень долго, а ответ мне нужен сейчас. Все мы как-то получали опыт.
3. В моем случае, как я понял, инъекция в SELECT. Sqlmap не хочет выполнять произвольный запрос-вот я и спросил в чем может быть причина.
sqlmap Payload:
Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
Payload: param=1 AND (SELECT 7714 FROM(SELECT COUNT(*),CONCAT(0x3a6a78693a,(SELECT (CASE WHEN (7714=7714) THEN 1 ELSE 0 END)),0x3a6870663a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
В любом случае, спасибо за ответ. Пойду курить мануалы. Может все-таки найду ответ.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
