PDA

Просмотр полной версии : sql miranda db

brown
16.02.2017, 16:53
Нашел скулю но хз как ее раскрутить.При добавлении в site.ru/id=6694'union select

изменяется эта строка

NewOrder->GetMasterOrder('6694 UNION...')

ERROR!

Exception code: 1064

Exception message:

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 4

Thrown by: 'DbMysql.class.php' on line: 177

Stack trace: #0DbMysql.class.php(62): DbMysql->throwMysqlException()

DbControl.class.php(104): DbMysql->query('SELECT c.*, om....')

DbControl.class.php(283): DbControl->initiate()

DbControl->fetchOneRow('SELECT c.*, om....')

NewOrder->GetMasterOrder('6694 UNION...')
st55
16.02.2017, 17:39
Так не разобраться. Но предположу что возможен error-based вектор.
brown
16.02.2017, 18:18
st55 said:
↑ (https://antichat.live/posts/4049836/)
Так не разобраться. Но предположу что возможен error-based вектор.


Пробывал и еррорбасед и мапом гонял,нифига(
brown
16.02.2017, 20:21
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''' and 1=1 U' at line 6

он добавляет сам запрос в ошибку
artkar
17.02.2017, 01:27
Могу предположить с вероятностью 0,76 что инъекция сплотабельная и это тот случай когда нужен ручной подход к инжекции
erwerr2321
17.02.2017, 11:30
brown said:
↑ (https://antichat.live/posts/4049905/)
он добавляет сам запрос в ошибку


Кто он?
leksadin
17.02.2017, 18:56
brown said:
↑ (https://antichat.live/posts/4049819/)
Нашел скулю но хз как ее раскрутить.При добавлении в site.ru/id=6694'union select
изменяется эта строка
NewOrder->GetMasterOrder('6694 UNION...')
ERROR!
Exception code: 1064
Exception message:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 4
Thrown by: 'DbMysql.class.php' on line: 177
Stack trace: #0DbMysql.class.php(62): DbMysql->throwMysqlException()
DbControl.class.php(104): DbMysql->query('SELECT c.*, om....')
DbControl.class.php(283): DbControl->initiate()
DbControl->fetchOneRow('SELECT c.*, om....')
NewOrder->GetMasterOrder('6694 UNION...')


можешь кинуть ссылку в личку - посмотрим
brown
17.02.2017, 22:46
ms13 said:
↑ (https://antichat.live/posts/4050092/)
Кто он?


Думаю WAF )
brown
26.02.2017, 08:39
как мапу указать на эту строку DbControl.class.php(104): DbMysql->query?