Форум АНТИЧАТ - sql в ipb 2.1.5

Страница 1 из 2

Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - sql в ipb 2.1.5 (https://forum.antichat.xyz/showthread.php?t=17281)

Go0o$E

07.04.2006 20:49

sql в ipb 2.1.5

Вот проблемка с sql-inj. Может кто пользовался и знает как запрос составить: http://myserver/forum/index.php?showtopic=[anytopic]&pid=1&st=-1[sql] и можно ли вообще?
Эх... надо будет sql поучить =(

Tem	07.04.2006 22:14

Я тестил на локалке , у меня все чисто некокого СГЛ нет.

max_pain89

07.04.2006 22:37

там есть СКУЛЬ, Скуль-ошибка, а не инъекция

Go0o$E

08.04.2006 21:59

Хм... Жаль =( Хотя тут - http://securitydot.net/xpl/703.html написали что sql-inj.
Ну ладно спасибо.

max_pain89

08.04.2006 22:51

ну да инъекция, ты внедряешь -1 вместо ВЕРНОГО значения, что приводит к ошибке, но происходит это лишь из-за неправельного фильтра, кроме отриц. значений ты туда ничего не вставишь

cow	11.04.2006 15:55

Приветствую вас господа!

Есть еще такая штука

Код:

http://[target]/forums/index.php?act=Members&max_results=30&filter=1&sort_order=asc&sort_key=name&st=SQL_INJECTION

Пробовал по разному. Там все обламывает, то что в самом запросе есть ORDER, поэтому UNION не заюзаешь.

Код:

SELECT m.name, m.id, m.posts, m.joined, m.mgroup, m.email,m.title, m.hide_email, m.location, m.aim_name, m.icq_number,

                                   me.photo_location, me.photo_type, me.photo_dimensions

                                    FROM ibf_members m

                                      LEFT JOIN ibf_member_extra me ON me.id=m.id

                                      LEFT JOIN ibf_groups g ON m.mgroup=g.g_id

                                    WHERE m.id > 0 AND m.mgroup='1'  AND g.g_hide_from_list <> 1

                                    ORDER BY m.name asc

                                    LIMIT <sql_inject>,30

Знакомый говорит, что через это ломал, а мне не говорит как =) Вот ломаю голову.. Может кто подскажет как сделать?

Nemesis

12.04.2006 21:08

И где там скуль, может я слепой но ничего не заметил...

cow	13.04.2006 15:41

Где там? А что это тогда если не скуль? =)

Otaku

13.04.2006 17:24

Просто мессага ненормально написана. Надо по ссылке щёлкнуть. Вот

Код:

http://[target]/forums/index.php?act=Members&max_results=30&filter=1&sort_order=asc&sort_key=name&st=SQLINJ

cow	13.04.2006 17:43

аа.... поправил.

Время: 17:04

Страница 1 из 2

Показывать 40 сообщений этой темы на одной странице