Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
sql-injection без вывода ошибок -help. |
14.08.2008, 15:40
|
|
Познающий
Регистрация: 08.02.2007
Сообщений: 30
Провел на форуме:
140272
Репутация:
3
|
|
sql-injection без вывода ошибок -help.
Приветствую.
Вот немогу понять:
при запросе http://site.com/page/207-7.html
выводит страницу http://site.com/page/200.html
А если попробовать http://site.com/page/207+order+by+1/*
на странице появляется "Ошибка.Записи не существует"
Повсей видимости фильтрует +%20%2B так тож непроходит %2520.
http://site.com/page/207/**/order/**/by/**/1/*
Так выводит страницу http://site.com/page/207
http://site.com/page/207/**/order/**/by/**/1000/*
Таже страница.
Или это вообще не sql-injection.
Как определить что это за база?что это не mssql это точьно.
Подскажите что нить для продолжения инъекции.
|
|
|
14.08.2008, 16:05
|
|
Участник форума
Регистрация: 09.08.2008
Сообщений: 139
Провел на форуме:
560332
Репутация:
15
|
|
ты вместо файла вписываеш инъекцию Оо
вот еслиб .html?id=1 и тту псиать то да , а так не... это не инъекция.
|
|
|
|
14.08.2008, 16:17
|
|
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520
Репутация:
2996
|
|
Может мод реврайт читает сторого
так надо.
page/207/**/order/**/by/**/1/*.html
если не получаеться ебош так.
page/999999999999/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12/*.html
можно попробывать лог выражения типо
and 1=1/*
and 1=2/*
можно поэксперемитировать с ковычкой но если ты все правильно отписал она там не нужена.
|
|
|
|
14.08.2008, 16:19
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
скуля на статичных страницах? мдя... - это что-то новое... (для мну) а как выяснить всё таки статика это или нет? Пробовать подставлять?
Последний раз редактировалось -=lebed=-; 14.08.2008 в 16:42..
|
|
|
|
14.08.2008, 16:39
|
|
Участник форума
Регистрация: 12.01.2007
Сообщений: 262
Провел на форуме:
4608122
Репутация:
874
|
|
Сообщение от Glazz
ты вместо файла вписываеш инъекцию Оо
вот еслиб .html?id=1 и тту псиать то да , а так не... это не инъекция.
Ты не прав. Есть иньекции и такого вида как привел топик стартер 
|
|
|
|
16.08.2008, 14:41
|
|
Познающий
Регистрация: 08.02.2007
Сообщений: 30
Провел на форуме:
140272
Репутация:
3
|
|
[cash] Вобщем я попробовал что ты сказал все тотже вовод страници "Ошибка.Записи не существует".
page/999999999999/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12..............,50/*.html
если так
http://site.com/page*/207.html "Ошибка.Пользователь не существует".
|
|
|
|
16.08.2008, 14:48
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
1west кинул-бы линк, гораздо проще было-бы
|
|
|
|
16.08.2008, 14:59
|
|
Познающий
Регистрация: 08.02.2007
Сообщений: 30
Провел на форуме:
140272
Репутация:
3
|
|
jokester
Я понимаю что гораздо проще былобы.но линка не будет.
|
|
|
|
16.08.2008, 15:07
|
|
Участник форума
Регистрация: 25.11.2006
Сообщений: 291
Провел на форуме:
1537850
Репутация:
536
|
|
скуля на статичных страницах? мдя... - это что-то новое... (для мну) а как выяснить всё таки статика это или нет? Пробовать подставлять?
Судя по всему, не на статичных, а там заюзан mod rewrite. Правда, я еще не видел, чтобы это можно было проэксплуатировать.
Последний раз редактировалось А®ТеS; 16.08.2008 в 15:14..
|
|
|
|
16.08.2008, 15:45
|
|
Познающий
Регистрация: 08.02.2007
Сообщений: 30
Провел на форуме:
140272
Репутация:
3
|
|
.html можно убрать страница будет таже что и с .html .Как я понел нельзя проэксплуатировать эту типа уязвимость.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
