Warning: mysql_num_rows() and shell help plz

Discussion in 'Песочница' started by tick, 12 Feb 2008.

  1. tick

    tick Elder - Старейшина

    Joined:
    10 Nov 2007
    Messages:
    35
    Likes Received:
    11
    Reputations:
    -12
    Пишу:

    http://site/movie.php?page=shop

    Выдаёт:

    Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /varl/www/movie.php on line 198

    Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in /varl/www/movie.php on line 199

    Задача: Залить шелл.

    что можно сделать!?
    Вроде столбцы подбирать,но у меня ошибка не меняеться. Бред ! :eek:

    Поможете? :)

    Помощи негде просить,ну есть где но только там не хочу,у вас лучше,поэтому прошу помоч :rolleyes:
     
    #1 tick, 12 Feb 2008
  2. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,548
    Likes Received:
    1,397
    Reputations:
    612
    ну пишет же : предоставленый аргумент не является валидным результатом MySQL
    то бишь ссылка не разультат передаемая функции mysql_num_rows - плохая. скорее всего там просто была ошибка в скул запросе и на ошибки перед продолжением не было проверено. отсюда такие фантики.
     
    #2 GreenBear, 12 Feb 2008
  3. banned

    banned Banned

    Joined:
    20 Nov 2006
    Messages:
    3,324
    Likes Received:
    1,194
    Reputations:
    252
    Попробуй заюзать Antichat SQL toolz
     
    #3 banned, 12 Feb 2008
  4. sasTO

    sasTO Banned

    Joined:
    2 Aug 2007
    Messages:
    205
    Likes Received:
    230
    Reputations:
    14
    попробуй так =null+order+by+100/*
     
    #4 sasTO, 12 Feb 2008
  5. tick

    tick Elder - Старейшина

    Joined:
    10 Nov 2007
    Messages:
    35
    Likes Received:
    11
    Reputations:
    -12
    Пишу http://site/movie.php?=null+order+by+100/* ошибки нету вообще,что это значит? Столбцов меньше?

    Вечерком скачаю,заюзаю :)
    По описанию вкатила прога!

    Да да да я эти фантики слышал,вы им всегда новичкам даёте? =)
    MySQL у них косячный или мозг,поэтому ошибочка навернО...
     
    #5 tick, 13 Feb 2008
  6. it's my

    it's my Banned

    Joined:
    29 Sep 2007
    Messages:
    335
    Likes Received:
    347
    Reputations:
    36
    Ошибка простая, инъекция возможна, но где-то 50/50

    а вообще тема есть отдельная: /thread36161.html

    Врядли там инъекция или же там больше 100 столбцов, попробуй 99999, если не выдаст ошибку, забудь
     
    #6 it's my, 13 Feb 2008
  7. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    нде... хенкеры, тебе как я пнонимаю после http://site/movie.php?page=shop надо для правильности кавычку ставить... а дальше уже пробовать скуль запрос, т.е. union select, дополнять order by, или пользовать подзапросы, желательно для этого всего, чтоб magic quotes была выключена, хотя хз скрипты разные бывают...
     
    #7 Scipio, 13 Feb 2008
    1 person likes this.
  8. tick

    tick Elder - Старейшина

    Joined:
    10 Nov 2007
    Messages:
    35
    Likes Received:
    11
    Reputations:
    -12
    http://site/movie.php?=null+order+by+99999/* - нихрена
    http://site/movie.php?=null+order+by+100/* - НИХРЕНА =(((

    Только при http://site/movie.php?page=shop - ошибка ну которую я выше описывал.
    Пишу http://site/movie.php?id=6547215' - ТОЖЕ ошибка таже самая...

    Кстати кора,я для прикола написал

    http://site/movie.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15%20,16,17,18,19,20,concat(username,0x3a,password)+fro%20m+forum_user/* - таже ошибка...
     
    #8 tick, 13 Feb 2008
    Last edited: 13 Feb 2008
  9. Dima-k17

    Dima-k17 Elder - Старейшина

    Joined:
    15 Sep 2005
    Messages:
    29
    Likes Received:
    19
    Reputations:
    20
    http://site/movie.php?page=shop'+union+select+1,2,3,4,5,6,7,8,9,etc.....
    Кавычку попробуй просто поставь. Или дай линк в студию.
     
    #9 Dima-k17, 23 Feb 2008
(You must log in or sign up to post here.)