23.02.2012, 14:29
|
|
Постоянный
Регистрация: 01.12.2011
Сообщений: 560
С нами:
7604246
Репутация:
267
|
|
qaz,первый еще смотрю. Во втором предполагаю, что нет доступа к information_schema.
Expantano,
Если есть на уд. сервере обработчик.
|
|
|
23.02.2012, 21:39
|
|
Познавший АНТИЧАТ
Регистрация: 12.07.2010
Сообщений: 1,546
С нами:
8334326
Репутация:
75
|
|
такой вопрос, если в запросе при sql inj фильтруется ,,select,, как бить?
|
|
|
|
23.02.2012, 21:43
|
|
Постоянный
Регистрация: 01.12.2011
Сообщений: 560
С нами:
7604246
Репутация:
267
|
|
Сообщение от qaz
такой вопрос, если в запросе при sql inj фильтруется ,,select,, как бить?
Пробуй обойти. /*!select*/, /*!SELeCT*/.
|
|
|
|
23.02.2012, 22:19
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
а разве можно изменить данные в табле через иньекцию? тогда что мешает изменить хэш админа который не брутится на нужный нам? залей шелл..из шелла подрубись к БД----> профит
|
|
|
|
23.02.2012, 22:23
|
|
Познающий
Регистрация: 06.01.2009
Сообщений: 69
С нами:
9128075
Репутация:
3
|
|
Сообщение от Gorev
а разве можно изменить данные в табле через иньекцию? тогда что мешает изменить хэш админа который не брутится на нужный нам? залей шелл..из шелла подрубись к БД----> профит
в MySql так нельзя. В некоторых БД, например Ms Sql можно
|
|
|
|
23.02.2012, 22:23
|
|
Участник форума
Регистрация: 01.12.2011
Сообщений: 120
С нами:
7604246
Репутация:
55
|
|
Через select нельзя обновить инфу в таблице, можно либо через сам update либо через insert в связке с on dublicate key update.
|
|
|
|
23.02.2012, 22:24
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
Сообщение от vaddd
в MySql так нельзя. В некоторых БД, например Ms Sql можно
ну вообщето мой вопрос был реторическим..я прекрасно знаю чо можно в мелкософтной БД..но здесь речь о мускулебнужны спец условия для апдейта в мускуле
|
|
|
|
24.02.2012, 00:28
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 830
С нами:
7502006
Репутация:
90
|
|
qaz
По поводу
"""
http://www.mciti.ru/box.php?id=8+limit+0,0+union+select+1,table_name,3 ,4,5,6,7,8,9,10,11+from+information_schema.tables--+
чего ошибку выдаёт вместо вывода?"""
SELECT command denied to user 'gb_mciti'@'10.0.2.4' for table 'tables'
Доступ запрещен, фильтрации там нет.
|
|
|
|
24.02.2012, 16:24
|
|
Новичок
Регистрация: 05.02.2012
Сообщений: 0
С нами:
7509206
Репутация:
0
|
|
Извиняюсь вопрос может быть покажется глупым: просканил сайт сканер выдал ошибку:
Возможно подключение к базе данных с помощью учетной записи "blablabla" собственно где эта база и как подключится к ней? Кто ответит пожизненый респект ресурс очень серьёзный))
|
|
|
|
24.02.2012, 16:29
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
С нами:
10992741
Репутация:
0
|
|
Сообщение от Kapon
Извиняюсь вопрос может быть покажется глупым: просканил сайт сканер выдал ошибку:
Возможно подключение к базе данных с помощью учетной записи "blablabla"
собственно где эта база и как подключится к ней? Кто ответит пожизненый респект ресурс очень серьёзный))
Если там база данных MySQL то TCP порт 3306 (дефолт). Если нет, то включи любой сканнер портов и посмотри где и что. Можешь использовать онлайн версию nmap.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
