|
ПОмогите с sql-inj
скажите пожалуйста что делать если на сайте есть inj но...
http://www.xxx.net/btit/reqdetails.php?id=85'-- тут фильтруются походу слова selec и union. почему-то не получается закодировать их в hex точнее кодироваться то иони кодируются но вот потом не работает ни чего мож я что-то не так делаю? Пробовал и с помощью char все равно не помагает.. http://www.xxx.net/btit/reqdetails.php?id=85%20and%201=0+0x756E696F6E+0x73 656C656374+1-- |
Давай нормальную ссылку.
PS union, select никогда не кодируются в CHAR & hex |
Ок а что тогда делать если я не могу использовать unuin? если я его использую то говорит что haker attempt
|
Пробел:
+ , /**/, %2b Пробуй |
Это не пробел потому что вот так все прекрасно работает
http://www.xxx.net/btit/anndetails.php?id=93%20and%201=0-- но стоит мне написать http://www.xxx.net/btit/anndetails.php?id=93%20and%201=0%20union%20select% 201-- то сразу вижу haker attempt и все |
Если хочешь чтоб тебе помогли давай ссылку, тут нет экстрасенсов...
|
http://www.petrotracker.net/btit/anndetails.php?id=147'
да вы не телепаты но ттам ограничение по ip |
админ сказал что посавил фильтрацию на слова в url как это можно обойти?
|
1)попробуй передавать постом, вдруг там не гет, а через весь массив реквест
2)пробуй подзапросы, возможно только на юнион фильтр |
| Время: 18:46 |