Título: [Ayuda]MySql injection. Publicado por: PHAMTOM en 12 Agosto 2010, 04:43 am Buenas tengo una pagina,que me tiro error al hacer una consulta.
http://xxxx.xx/index.php?not=-1+union+select+0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29--%E7&idc=38&p=1 el error es No se pudo ejecutar la consulta SELECT not_id,not_fecha,not_titulo,not_imagen,not_contenido,not_enlace FROM ptc_noticias WHERE not_id=-1 union select 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28--ç ORDER BY not_fecha Error MySQL: : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ç ORDER BY not_fecha' at line 1 ----------------- Esta pagina es vulnerable a mysqlinject ? , una vez que termine de concactenar todas las columnas podre seguir como una inyeccion normal, ?? o asi no llegare a nada.salu2 Título: Re: [Ayuda]MySql injection. Publicado por: Shell Root en 12 Agosto 2010, 05:25 am A ver, hasta donde sé, si no me equivoco. Al unir un SELECT con otro SELECT, se necesita tener los mismos campos que el primer SELECT. Es decir,
Código El resultado sería: Código: id nombre email Si se incluye ', 4' dentro del segundo SELECT, aparecería Código
Lo otro, no entiendo del porque el ORDER BY not_fecha, esta allí donde lo tienes, xD. Nisiquiera esta en el contexto de la query, y si está, estaría como comentario. ___________ PD: Intentad así, Código
Título: Re: [Ayuda]MySql injection. Publicado por: tragantras en 18 Agosto 2010, 13:57 pm parece un residuo de la anterior query, prueba a comentar el final con \* en vez de con --
|