antichat quest

Zaz · 06.02.2014, 23:30

Всем доброго времени суток.

Знаю что страшный баян. Но не знаю чего еще придумать и прошу помощи.
Прохожу квест на http://quest.rebz.net/intro.html окончательно завис на 19 задании.

-19-
Quest: Узнать login/password.
Action: Получить данные при помощи "SQL Injection" (использовать шаблон).
ONTOP: здесь.
Warez: —
Alert(!): В данном случае используется MicrosoftSQL!

Читал вот это http://www.securitylab.ru/analytics/216211.php

Получил название таблицы. Но название полей в ней получить не могу, как не извращался уже.

Как пишет один из участников форума: На 19-м под "шаблоном" подразумевается отсутствие таких вещей, как: спецсимволы (/*-'"()), команды типа not in, like, is etc. Там всё очень логично и довольно просто.

Пните в нужное русло, понимаю что повис на одном и нужно сменить путь мышления. Только вот что я упускаю?

З.Ы. Прямую ссылку на 19 лвл умышленно не даю, чтобы некие индивиды школьного возраста не буйствовали

Rebz · 07.02.2014, 10:31

А зачем тему на рдоте создавать-то? На ачате есть специальная ветка для этого.
в уровне там тупой хардкод, из-за хостинга пришлось ковычки экранировать, поэтому в запросе экранируй их тоже.

Zaz · 07.02.2014, 23:52

Да на ачате у меня какой-то косяк с авторизацией, по этому здесь и создал.

Поздравляем! Вы прошли Квест!

Спасибо за подсказку, это было классно!

06.02.2014, 23:30	#1
Zaz Регистрация: 06.02.2014 Сообщений: 2 Репутация: 0	antichat quest Всем доброго времени суток. Знаю что страшный баян. Но не знаю чего еще придумать и прошу помощи. Прохожу квест на http://quest.rebz.net/intro.html окончательно завис на 19 задании. -19- Quest: Узнать login/password. Action: Получить данные при помощи "SQL Injection" (использовать шаблон). ONTOP: здесь. Warez: — Alert(!): В данном случае используется MicrosoftSQL! Читал вот это http://www.securitylab.ru/analytics/216211.php Получил название таблицы. Но название полей в ней получить не могу, как не извращался уже. Как пишет один из участников форума: На 19-м под "шаблоном" подразумевается отсутствие таких вещей, как: спецсимволы (/*-'"()), команды типа not in, like, is etc. Там всё очень логично и довольно просто. Пните в нужное русло, понимаю что повис на одном и нужно сменить путь мышления. Только вот что я упускаю? З.Ы. Прямую ссылку на 19 лвл умышленно не даю, чтобы некие индивиды школьного возраста не буйствовали

07.02.2014, 10:31	#2
Rebz Регистрация: 06.07.2010 Сообщений: 28 Репутация: 14	А зачем тему на рдоте создавать-то? На ачате есть специальная ветка для этого. в уровне там тупой хардкод, из-за хостинга пришлось ковычки экранировать, поэтому в запросе экранируй их тоже. __________________ Аудит безопасности сайтов Вы можете не изменяться. Выживание — дело добровольное. (c) Уильям Эдвардс Деминг

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

07.02.2014, 23:52	#3
Zaz Регистрация: 06.02.2014 Сообщений: 2 Репутация: 0	Да на ачате у меня какой-то косяк с авторизацией, по этому здесь и создал. Поздравляем! Вы прошли Квест! Спасибо за подсказку, это было классно!