ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Ребята, подскажи по поводу использования UPDATE в инъекциях.

Значит есть инъекция

UNION+SELECT+1,test_data,3+FROM+test_table+--+

пробую изменить значение test_data допустим на 12345 вот таким запросом

UNION+UPDATE+test_table+SET+test_data='12345'+WHER E+test_data2='lol'+--+

в результате выбивает ошибку вида

пробовал заменять значение на HEX кодировку, то есть вместо ='12345' тулил =0x3132333435. Результат - опять таки ошибка.

Подскажите, может быть я не так использую UPDATE, и всё дело в неправильном синтаксисе? Заранее благодарен.

Если запрсос select, значит SELECT, нельзя insert, update, и т.п., можно только выборку из бд делать.

А если у нас основной запрос вроде INSERT+INTO+test_table+(test_data)+VALUES+(lol), то UNION INSERT или UNION UPDATE прокатит?

Нет. Вы вообще вкурсе что делает union?

мдяс, думаю на лето надо закрыть данный раздел..так как 99% вопросы по скулям..причем стандартные вопросы, ответы на которые можно спокойно найти на форуме потратив 30 секунд

Этот сайт позволяет file_priv, но мы можем заполнить оболочку?

http://www.dce.hcmut.edu.vn/vi/tintuc/index.php?id=400%20and%201=0%20UNION%20SELECT%201, file_priv,3,4,5,6,7,8,9%20from%20mysql.user+--+

как получив шелл на фтп, можно заменить все шаблоны в БАЗЕ данных на вредноносный код(дефейс)?

У твоего пользователя нету file_priv:

Получаем юзера - DCE. Смотрим дальше:

Результат:

как использовать " PUT " уязвимость, в FTP ?..... (удаленный сервер)