Foro de elhacker.net

Hola ,Estoy con el tema del SQLInjection y lo que quiero es hacer un "update" en lugar de un
Select para cambiar el pass(ya que este esta cifrado) , la tabla se llama "usuarios"
contiene id ,user ,password , por logica la pag es vulnerable a SQLi

muestreme como seria la consulta para hacer el update para cambiar el pass

; UPDATE usuarios SET password='aqui_new_pass' WHERE (id=1);

:silbar:

http://localhost/BlinSQLInjection/blindmysql.php?id=-1;UPDATE usuarios SET password = '4' WHERE (id=1); y me sale esto

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\BlinSQLInjection\blindmysql.php on line 11

Pwned!, es MySQL, no podes tener un UPDATE dentro de un SELECT!  :silbar:
Leed: http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html

esto no iba en la sección de bugs a nivel web?

Y a todas estás, sos un clon de WHK?

BlackHKR, en mysql no se pueden concatenar querys con ; como se hace en mssql, por eso no puedes hacer un update o insert dentro de un select. Lo que si puedes hacer es un select dentro de otro concatenando en funciones, parentesis o "union" pero no puedes updatear.

Cuando dice:

es porque mysql_fetch_row() no encontró valores para procesar ya que la query falló.

Te recomiendo practicar en algún phpmyadmin, le lanzas un echo a la query y lo tomas y luego lo pegas ene l phpmyadmin y ves porque te va dando errores y así hasta que logres crear una query que funcione bien.