Форум АНТИЧАТ - ПОмогите с sql-inj

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
ПОмогите с sql-inj

Опции темы

Поиск в этой теме

Опции просмотра

ПОмогите с sql-inj

25.11.2007, 13:00

truelamer

Участник форума

Регистрация: 06.11.2007

Сообщений: 143

Провел на форуме:
350782

Репутация: 81

ПОмогите с sql-inj

скажите пожалуйста что делать если на сайте есть inj но...
http://www.xxx.net/btit/reqdetails.php?id=85'--
тут фильтруются походу слова selec и union. почему-то не получается закодировать их в hex точнее кодироваться то иони кодируются но вот потом не работает ни чего мож я что-то не так делаю? Пробовал и с помощью char все равно не помагает..

http://www.xxx.net/btit/reqdetails.php?id=85%20and%201=0+0x756E696F6E+0x73 656C656374+1--

25.11.2007, 13:02

.Slip

Leaders of Antichat - Level 4

Регистрация: 16.01.2006

Сообщений: 1,966

Провел на форуме:
21768337

Репутация: 3486

Давай нормальную ссылку.

PS union, select никогда не кодируются в CHAR & hex

__________________
..

25.11.2007, 13:08

truelamer

Участник форума

Регистрация: 06.11.2007

Сообщений: 143

Провел на форуме:
350782

Репутация: 81

Ок а что тогда делать если я не могу использовать unuin? если я его использую то говорит что haker attempt

25.11.2007, 13:10

.Slip

Leaders of Antichat - Level 4

Регистрация: 16.01.2006

Сообщений: 1,966

Провел на форуме:
21768337

Репутация: 3486

Пробел:
+ , /**/, %2b
Пробуй

__________________
..

25.11.2007, 13:17

truelamer

Участник форума

Регистрация: 06.11.2007

Сообщений: 143

Провел на форуме:
350782

Репутация: 81

Это не пробел потому что вот так все прекрасно работает
http://www.xxx.net/btit/anndetails.php?id=93%20and%201=0--
но стоит мне написать
http://www.xxx.net/btit/anndetails.php?id=93%20and%201=0%20union%20select% 201--
то сразу вижу haker attempt и все

25.11.2007, 13:34

aka PSIH

Постоянный

Регистрация: 07.02.2006

Сообщений: 630

Провел на форуме:
12985021

Репутация: 676

Если хочешь чтоб тебе помогли давай ссылку, тут нет экстрасенсов...

25.11.2007, 13:41

truelamer

Участник форума

Регистрация: 06.11.2007

Сообщений: 143

Провел на форуме:
350782

Репутация: 81

http://www.petrotracker.net/btit/anndetails.php?id=147'
да вы не телепаты но ттам ограничение по ip

25.11.2007, 14:48

truelamer

Участник форума

Регистрация: 06.11.2007

Сообщений: 143

Провел на форуме:
350782

Репутация: 81

админ сказал что посавил фильтрацию на слова в url как это можно обойти?

25.11.2007, 14:51

blackybr

♠ ♦ ♣ ♥

Регистрация: 18.05.2006

Сообщений: 1,828

Провел на форуме:
8042357

Репутация: 3742

Отправить сообщение для blackybr с помощью ICQ

Отправить сообщение для blackybr с помощью AIM

Отправить сообщение для blackybr с помощью Yahoo

1)попробуй передавать постом, вдруг там не гет, а через весь массив реквест
2)пробуй подзапросы, возможно только на юнион фильтр

__________________

Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Обнаружение Sql инъекций в Oracle, часть вторая	k00p3r	Чужие Статьи	0	13.06.2005 11:26
Sql инъекция и Oracle, часть первая	k00p3r	Чужие Статьи	0	13.06.2005 11:23
SQL Injection в Oracle	k00p3r	Чужие Статьи	0	12.06.2005 12:41

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход