/thread46016.html - сюда сначала и написал. Не знаю почему, но потом не нашел своего поста.

Может из-за того, что пост большой.

По уязвимости:

Сервер точно не выдает никаких ошибок. Вывод ошибок SQL сервера заблокирован.

page=/rus/search.php'/**/and/**/1=1/**/''='

page=/rus/search.php'/**/and/**/0=1/**/''='

page=/rus/search.php'%0aand%0a1=1%0a''='

page=/rus/search.php'%0aand%0a0=1%0a''='

Разве что нашел связанную с этим XSS, - на странице выводится в форме поиска скрытое поле, где вставлен value - текст запроса. Никаких признаков жизни от MySQL сервера.

Все варинанты не дейсвуют. Я уже прогонял уязвимость и SQLMAP и хавиджем, добавлял суффиксы и префиксы какие смог придумать. Ничего не находят. Акунетикс ее хоть и нашел, но вот его модуль Blind SQL injector не находит.

Однозначно это только слепая инжекшн.

И я однозначно не понимаю что творится с запросом и как он выглядит хотя-бы приблизительно.