SQl Injection MariaDB

Naviga le tue risposte
0

Ho trovato una query sql che è iniettabile sotto 

"car_info = query("select models, color, running from cars where manual = 1 AND UID = '{}' LIMIT 1".format(uid))")

Dove '{}' è il punto di iniezione.

Il payload che sto tentando di inserire è: 

' OR enabled = 1") #

Mi viene restituito un errore di seguito: 

(1064, u\"You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ')#' LIMIT 1' at line 1\

Come posso ottenere questo per eseguire correttamente? Mi sento come se fossi vicino.

    
posta Hysii 22.12.2018 - 21:56
fonte

1 risposta

1

Se leggo correttamente la sintassi, ritengo sia necessario rimuovere le citazioni e parentesi sinistra poiché termina prematuramente la funzione di query: 

car_info = query("select models, color, running from cars where manual = 1 AND UID = '' OR enabled = 1 # LIMIT 1".format(uid))")

Stai postando: 

car_info = query("select models, color, running from cars where manual = 1 AND UID = '' OR enabled = 1" )# LIMIT 1".format(uid))")

Quindi prova il payload: 

' OR enabled = 1 #
    
risposta data 22.12.2018 - 23:09
fonte

Leggi altre domande sui tag

Hai ricevuto l'email di "Avviso di sicurezza" da Google in merito a un accesso da un dispositivo sconosciuto che mi piacerebbe rintracciare [chiuso] PCI-DSS è necessario per memorizzare solo il numero di carta