Sql inj Microsoft OLE DB

Sql inj Microsoft OLE DB

09.05.2006, 18:24

Abra

Постоянный

Регистрация: 17.09.2005

Сообщений: 375

С нами: 10866583

Репутация: 175

Sql inj Microsoft OLE DB

Просьба помочь с sql инъекцией.
Есть сайт http://82.138.45.203/con/catalog.asp - на нем база пользователей. После регистрации и залогинивания пользователи могут изменять свою личную информацию (только просьба не регистрируйтесь там, меня только вход интересует). Первое что пришло на ум, всавить ' в поле логина и пароля - как оказалось не фильтруются. Но на сим мои "великие познания" в SQL закончились.

Пытался искать информацию по Microsoft OLE DB на этом форуме, но че-то ничего из найденых скулей там не катит.
Если кто-нибудь может найти способ получить чужой пароль, или войти под чужим акком (логины зарегистрированных известны - они на той же странице и написаны

) то буду очень благодарен! Подкину пару баксов на wmz + репа.

𝕏 Twitter Reddit Telegram Копировать ссылку

Последний раз редактировалось Abra; 09.05.2006 в 18:32..

10.05.2006, 08:42

Abra

Постоянный

Регистрация: 17.09.2005

Сообщений: 375

С нами: 10866583

Репутация: 175

я в этом и не сомниваюсь) но с моими знаниями sql Это мне ничего не дает. Может кто-нибудь подсказать?

22.05.2006, 19:07

zyl

Познающий

Регистрация: 19.04.2006

Сообщений: 40

С нами: 10558524

Репутация: 47

Цитата:

Первое что пришло на ум, всавить ' в поле логина и пароля - как оказалось не фильтруются.

С чего ты взял, что не фильтруются?
Как раз сервер и фильтрует кавычки. Если бы не фильтровало, то ты запросто мог бы выбрать ник из нижнего списка и сделать следующую запись в поле логина Kolin'#, а в поле пароля любые данные- вот ты бы и получил инфу о нём; или в поле для пароля подставил бы 'or '1'='1 - так ведь это не получится!

Последний раз редактировалось zyl; 22.05.2006 в 19:17..

Создать сделку

Мои сделки

Сделка

ESCROW ADMIN PANEL