День добрый!
Обьясните мне пожалуйста что я делаю не так...
Нашел inj через POST

пробую сатереть таблицу которая там сто пудово есть
Вот что пишет

You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'union+drop+table+SS_zones+#' order by zone_name' at line 1 SQL query : select zoneID, zone_name, zone_code, countryID from SS_zones where countryID='2'+union+drop+table+SS_zones+#' order by zone_name

использовал и # и /* что не получается закоментировать

И если не трудно дайте ссылки почитать где и как методом пост инжектить и инфу выводить а то что то вода одна ничего не работает

Вообще-то через union только выборку данных можно делать, т.е. union select...
Чтобы удалить таблицу, можно попробовать выполнить запросы через точку с запятой, но скорее всего это не сработает.

Эм...А разве можно узнать, входит ли часть логина в пароль,если он зашифрован?).За ответ на первый вопрос благодарю, терь мона и похимичить)

смотря чем. если необратымыми алго, то только после расшифровки.

ЗЫ сам подумай, разве можно узнать, есть ли нужный пасс в словаре, если пасс зашифрован?

Извини, я почему-то слово словарь вообще пропустил))))))))))))). А какие алгоритмы обратимые есть ?).Такие алгоритмы наверн расшифровываются сразу )

http://quest.antichat.net/code.php

base64=)

Народ, Помогите. Ну могу я прочитать ../../../etc/passwd..
И что дальше.. недоганяю

__________________

• Ukrainian Security Community – Блог спеціалістів з безпеки веб-додатків
• Security Audit

MoDL

Dimi4
Да ничего, по большому счёту ,можешь попробовать залогиниться на сервер с акком вида логин-логин,можешь поискать файлы с паролями.Если это инклуд, а не читалка файлов,можешь залить шелл