ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Можно ли обойти фильтрацию спецсимволов в mssql.
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Можно ли обойти фильтрацию спецсимволов в mssql.
  #1  
Старый 17.12.2006, 20:30
Аватар для vmn
vmn
Познающий
Регистрация: 16.10.2006
Сообщений: 82
Провел на форуме:
248469

Репутация: 33
По умолчанию Можно ли обойти фильтрацию спецсимволов в mssql.
Есть несколько инъекций в mssql, где фильтруются символы "," и ";" Инъекции в целочисленном значении, результаты запроса id=10 и запроса id=0xA одинаковы. Можно ли как-нибудь с помощью 0x... или другими способами обойти фильтрацию?
Последний раз редактировалось vmn; 17.12.2006 в 21:57..
 
Ответить с цитированием

  #2  
Старый 18.12.2006, 17:32
Аватар для SQLHACK
SQLHACK
Голос разума
Регистрация: 27.09.2006
Сообщений: 529
Провел на форуме:
1607210

Репутация: 1617


Отправить сообщение для SQLHACK с помощью ICQ
По умолчанию
Просто не используй их и всё , не всегда же Select нужен.
 
Ответить с цитированием

  #3  
Старый 22.12.2006, 00:39
Аватар для LAMAREZ
LAMAREZ
Новичок
Регистрация: 16.01.2006
Сообщений: 24
Провел на форуме:
87233

Репутация: 63
По умолчанию
http://xtoolz.ru/files/char.php
 
Ответить с цитированием

  #4  
Старый 22.12.2006, 01:01
Аватар для Goudini
Goudini
Участник форума
Регистрация: 07.06.2006
Сообщений: 146
Провел на форуме:
1652093

Репутация: 490
Отправить сообщение для Goudini с помощью ICQ
По умолчанию
PHP код:
<title>Encoding to char by Goudini 2006</title> 
<style> 
body {background-color:#333333;font-family:Verdana, sans-serif; font-size:12px; color:#C0C0C0;} 
</style> 
  <form action="<?=$_SERVER["SCRIPT_NAME"]?>" method="post"> 
  <b>String</b> : <input type=text name="input" value="<?=htmlspecialchars(@$input)?>"> 
  <input type=submit value="to chr"> 
  </form> 
<? 
error_reporting(0); 
$input=stripslashes($_POST["input"]); 
if ($input!=""){ 
  echo "<b>PHP:</b> <tt>"
  for ($i=0;$i<strlen($input);$i++) { 
        if ((strlen($input) - $i) == 1) echo "chr(".ord($input[$i]).")</tt>"
        else echo "chr(".ord($input[$i]).")."
  } 
  echo "<br>\n<b>MySQL:</b> <tt>char("
  for ($i=0;$i<strlen($input);$i++) { 
          if ((strlen($input) - $i) == 1) echo ord($input[$i]); 
        else echo ord($input[$i]).","
  } echo ")</tt>"
} else echo "<b>Goudini</b> (c) 2006"
?>
чё-то типо того)
 
Ответить с цитированием

  #5  
Старый 22.12.2006, 01:48
Аватар для Denny
Denny
Новичок
Регистрация: 12.10.2006
Сообщений: 6
Провел на форуме:
20287

Репутация: 0
По умолчанию
Возможно замени ; и ' на соответствующий hex
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Блокировка анонимных прокси на форуме, как можно обойти? merunq Форумы 6 14.02.2007 10:14
Основы Phreaking'а silveran Телефония и связь 0 13.07.2005 13:33
SQL инъекция в сервере MySQL k00p3r Чужие Статьи 0 12.06.2005 12:41
Можно ли вычислить на форуме ip адрес по сообщению? feelthis Форумы 4 25.03.2005 14:05
Можно ли оптимизировать username:md5? PEPSICOLA Болталка 2 29.11.2004 18:10



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ