Ошибка синтаксиса - это ошибка синтаксиса, проверяйте запрос. В коде два или более запросов подряд с разным числом колонок. Вы подбираете к первому запросу нужное количество, но оно не подходит к следующим. Крутите другие векторы, к примеру уже упомянутый error-based.
Привет. Нашел сайт может не я один наверное)) у него есть sql уязвимость через который доступна логин пасс админа. Но под админом не могу залить шелл подскажите как быть. вот оно http://www.planetsmag.com/index.php?issueid=63 .
чем можно просканировать сайты на sql инъекции ? знаю что можно проверять эти уязвимости и получать данные через havij, а как сайты проверять на наличие уязвимостей ? есть ли програмки ? havij не может сканировать домены на наличие дырок sql ?
Различного уровня сканеров полно в интернете. Белов делал небольшую подборку на хабре: http://habrahabr.ru/post/125317/
Нужна помощь. Нашёл sql, пытаюсь залить шелл, проверяю file_priv и выскакивает ошибка. Не могу разобраться, что делаю не так. Code: id=-31+union+select+1,2,3,4,file_priv,6,7,8,9,10,11,12,13+from+mysql.user-- Ошибка такая: Code: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'LIMIT 1' at line 1
Wcfs, ты перевести текст неможешь? у тебя синактичесткая ошибка при запросе, скорее всего ковычки фильтруются
Привет! Делаю запрос На что выдает Y Unknown column 'id' in 'where clause' Далее пытаюсь залить шелл На что выдает You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select '',2 from mysql.user in' at line 1 Как правильно составить запрос, чтобы не выскакивала ошибка?
Подскажите, где в паблике найти уязвимости/эксплоиты старых версий galleryproject.org (интересуют версии 2.2 и 2.1)
Захексил, выполнил запрос и вот что выдает: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select 0x3c3f706870206576616c28245f524551554553545b636d645d29' at line 1 Такое ощущение что какоето ограничение на кол-во символов в запросе
Такое ощущение, что нужно угадывать, что именно вы там делаете, давайте урл посмотрим, иначе курите мануалы!
Такое ощущение, что вы копируете сюда не те запросы, которые выполняете. По первому: 1) У рута file_priv есть по умолчанию. 2) Колонки id в mysql.user нет. 3) Если запрос таки правильный, вставьте комментарий в конец. По второму: 1) Действительно, копируйте запрос. 2) Если ограничение на длину, проверьте простым вписыванием длинной строки в хексе. 3) Ошибка синтаксиса - это все еще ошибка синтаксиса. Начните с запроса, который выполняется корректно, а потом доводите до шелла.
тут беда в том что ты не обрубил имеющийся в скрипте запрос. поставь в конце %23 или +--+ или /* что прокатит
Привет вопрос по MSSQL2000 with error: ....../xyz.asp?param=99%27 Code: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value '99'' to a column of data type int. Но ....../xyz.asp?param=99%20AND%201=1 возвращает Code: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value '99 and 1=1' to a column of data type int. можно что-то сделать? или тут не сможем повлиять на исполнение запроса?