En la pagina http://www.laweb.com/video_details.php?id=43 (http://www.laweb.com/video_details.php?id=43) pide un código para poder ver el video completo, he intentado hacer un ataque por sql injection y conseguido que falle y me muestre información de la select que ejecuta pero no he conseguido ver el video.
El error que consigo que me usando 'or 1=1 -- es:
Fatal error: mysql error: [1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '43'' at line 1] in EXECUTE("SELECT * FROM video_files as vf LEFT JOIN access_code_video as acv ON vf.file_id=acv.video_id where acv.access_code ='' or 1=1 --' and acv.video_id='43'") in /var/www/vhosts/mywaxing.com/httpdocs/application/components/NADOdb/NADOdb.php on line 706
Alguien me puede echar una mano?
Es una iSQL Blind. Te dejo una pista...
Base de datos: mywaxing_site
Muchas gracias por la respuesta pero sigo en las mismas, he buscado informacion sobre iSql Blind y no he encontrado nada, solo de "Sql Blind" que viene a ser lo mismo que el Sql injection no?
No se como has conseguido saber el nombre de la base de datos ni como eso me puede ayudar, ya que el único código que puedo insertar es en una select.
Dame mas pistas por favor :)
Muchas gracias
iSql Blind = Inyección SQL a ciegas
Da igual cómo lo busques, el caso es que es un tipo de ataque en el que como no arroja datos tienes que hacer comparaciones, los resultados solamente serán booleanos.
Saludos!