sql-injection без вывода ошибок -help.
 

Приветствую.
Вот немогу понять:
при запросе http://site.com/page/207-7.html
выводит страницу http://site.com/page/200.html
А если попробовать http://site.com/page/207+order+by+1/*
на странице появляется "Ошибка.Записи не существует"
Повсей видимости фильтрует +%20%2B так тож непроходит %2520.
http://site.com/page/207/**/order/**/by/**/1/*
Так выводит страницу http://site.com/page/207
http://site.com/page/207/**/order/**/by/**/1000/*
Таже страница.
Или это вообще не sql-injection.
Как определить что это за база?что это не mssql это точьно.
Подскажите что нить для продолжения инъекции.

ты вместо файла вписываеш инъекцию Оо
вот еслиб .html?id=1 и тту псиать то да , а так не... это не инъекция.

Может мод реврайт читает сторого

так надо.
page/207/**/order/**/by/**/1/*.html

если не получаеться ебош так.

page/999999999999/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12/*.html

можно попробывать лог выражения типо

and 1=1/*
and 1=2/*

можно поэксперемитировать с ковычкой но если ты все правильно отписал она там не нужена.

скуля на статичных страницах? мдя... - это что-то новое... (для мну) а как выяснить всё таки статика это или нет? Пробовать подставлять?

Ты не прав. Есть иньекции и такого вида как привел топик стартер ;)

[cash] Вобщем я попробовал что ты сказал все тотже вовод страници "Ошибка.Записи не существует".
page/999999999999/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12..............,50/*.html
если так
http://site.com/page*/207.html "Ошибка.Пользователь не существует".

1west кинул-бы линк, гораздо проще было-бы

jokester
Я понимаю что гораздо проще былобы.но линка не будет.

Судя по всему, не на статичных, а там заюзан mod rewrite. Правда, я еще не видел, чтобы это можно было проэксплуатировать.

.html можно убрать страница будет таже что и с .html .Как я понел нельзя проэксплуатировать эту типа уязвимость.