Non riesco a sbarazzarmi di caratteri extra con commenti nel carico utile di SQL injection

Naviga le tue risposte
1

Pratico l'iniezione SQL con DVWA, ma per qualche motivo il server continua a darmi un errore anche quando commento extra ' .

Ad esempio, ecco cosa ho inserito nel mio sito web: 

http://localhost/DVWA/vulnerabilities/sqli/?id=' OR SLEEP(5) AND 'a'='a' /*

Ma per qualche motivo mi dà ancora un errore anche quando commento tutti i caratteri extra come mostrato nell'URL quando ho usato /* . Continua a darmi il seguente errore:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'aaa'='aaa' /* '' at line 1.

    
posta Fumerian Gaming 31.01.2017 - 01:05
fonte

2 risposte

0

OK. Dopo ore di test, e riprovando, ho scoperto che usando # ho potuto commentare tutti i miei personaggi extra

    
risposta data 31.01.2017 - 06:17
fonte
0

I caratteri /* aprono un commento in stile C, ma quando il parser SQL non riesce a trovare la fine associata del commento */ , non lo tratterà come commento.

Utilizza un commento di stile SQL nativo -- (Dash Dash Space) che è implicitamente chiuso dalla nuova riga successiva.

    
risposta data 31.01.2017 - 02:05
fonte

Leggi altre domande sui tag

Il mio stack è sicuro su mongodb se utilizzo i ruoli username / password di mongos predefiniti? [chiuso] È possibile integrare un'autenticazione basata su 302 con un'autenticazione basata su 401?