необычный injection

Discussion in 'Песочница' started by nicotine, 24 Jan 2011.

  1. nicotine

    nicotine New Member

    Joined:
    28 Dec 2006
    Messages:
    11
    Likes Received:
    2
    Reputations:
    0
    есть инъекция вида SomeStoredProc @var1={sql_inj}, @val2=2
    обычные методы не катят, перепробовал практически все.
    SQL Server по ходу, версию определить не удалось.
    кто что подскажет?
     
    #1 nicotine, 24 Jan 2011
  2. LiRvD082

    LiRvD082 Member

    Joined:
    4 Oct 2009
    Messages:
    44
    Likes Received:
    16
    Reputations:
    5
    Подробнее можно. Ошибки выдает, нет?
     
    #2 LiRvD082, 24 Jan 2011
    1 person likes this.
  3. nicotine

    nicotine New Member

    Joined:
    28 Dec 2006
    Messages:
    11
    Likes Received:
    2
    Reputations:
    0
    выдает. все относятся к неверному синтаксису. из этих ошибок и почерпнул данные о том, что там именно sql server.
     
    #3 nicotine, 24 Jan 2011
  4. LiRvD082

    LiRvD082 Member

    Joined:
    4 Oct 2009
    Messages:
    44
    Likes Received:
    16
    Reputations:
    5
    Дал бы ссылку, может и раскопали бы совместными усилиями. В общем смотреть надо.
     
    #4 LiRvD082, 24 Jan 2011
  5. nicotine

    nicotine New Member

    Joined:
    28 Dec 2006
    Messages:
    11
    Likes Received:
    2
    Reputations:
    0
    вообщем, выяснилось, что запросы можно выполнять, но получается blind injection.
    sp_makewebtask не работает, мб кто подскажет еще какую-нибудь функцию?
    усиленно курю мсдн.

    апд. жертва захачена путем нахождения более удобной дырки, однако вопрос все ж остается открытым чисто ради интереса.
     
    #5 nicotine, 25 Jan 2011
    Last edited: 25 Jan 2011
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.