Bir önceki yazıda "order by" komutunu göstermiş ve sitedeki table sayısının nasıl bulunacağını anlatmıştım. Bu yazıda "union select" komutuyla siteden bilgi okumaya ve version bulmaya çalışacağız. Diyelim ki order by komutuyla table sayısının 6 olduğunu bulduk o zaman örneğimize devam edelim:
orneksite.com/ders.php?id=5+union+select+1,2,3,4,5,6-- bu adrese girdiğimizde herhangi bir değişiklik olmadıysa panik yapmayın ve hemen id değerinin önüne "-" işareti koyalım. Yani;
orneksite.com/ders.php?id=-5+union+select+1,2,3,4,5,6-- şimdi siteye sayılır yansıdı.
Bundan sonra ne yapacağımız sitede kullanılan veritabanı versiyonuna göre değişir. O yüzden versiyonunu öğrenelim. Diyelim ki sayılardan 3 ekrana yansıdı. 3 sayısını kullanalım.Şöyle ki;
orneksite.com/ders.php?id=-5+union+select+1,2,version(),4,5,6--
Versiyonu öğrendik. Gelecek yazıda buluşmak üzere..
sql injection data okuma etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
sql injection data okuma etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
7 Mayıs 2011 Cumartesi
Kaydol:
Kayıtlar (Atom)
