بایپس ارور Subquery returned more than 1 value در mssql injection

[k.shadow]

درود

دوستان من یک سوالی برام پیش اومده چون خیلی جاها وقتی میخوام mssqli اینجکت کنم با مشخصات زیر

Microsoft SQL Server 2014 - 12.0.2000.8 (X64)

Windows NT 6.3 <X64

 IIs 10

Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.6.1055.0

با این ارور رو به رو میشم

Subquery returned more than 1 value. This is not permitted when the subquery follows =, !=, <, <= , >, >= or when the subquery is used as an expression.

چون سایت ها string  نمیتونن برگردونن باید از

convert(int,(select

استفاده

و وقتی که top1

یا همون تیبل اول رو سلکت میکنم ارور نمیده به این صورت

'or 1=convert(int,(select top 1 table_name from information_schema.tables))--

هیچ اروری نمیده و تیبل نیم تو ارور بعدی لود میشه

ولی وقتی بخوام کل تیبل هارو اینجکت کنم خیلی وقتا این ارور رو میده

را هی برای بایپس هست ؟؟ (البته بجز mssql injection error based )

 

 

[0r0b4s]

با سلام

دوست عزیز در مورد اولی بگم که این مشکل توی دیتابیس هس و مدیرش باید فیکس کنه و ربطی به پرسو جوی شما نداره

که یکسری کارکتر هارو خود دیتابیس نمیتونه بارگذاری کنه تو خودش

 

درمورد دومی هم یه سری به اینجا بزن شاید مشکلتو حل کرد

فقط درس استفاده کن از سایت به درد من که خیلی خورده

http://securityidiots.com/Web-Pentest/SQL-Injection/MSSQL/MSSQL-Error-Based-Injection.html

[k.shadow]

 

با سلام

دوست عزیز در مورد اولی بگم که این مشکل توی دیتابیس هس و مدیرش باید فیکس کنه و ربطی به پرسو جوی شما نداره

که یکسری کارکتر هارو خود دیتابیس نمیتونه بارگذاری کنه تو خودش

 

درمورد دومی هم یه سری به اینجا بزن شاید مشکلتو حل کرد

فقط درس استفاده کن از سایت به درد من که خیلی خورده

http://securityidiots.com/Web-Pentest/SQL-Injection/MSSQL/MSSQL-Error-Based-Injection.html

درود

ممنون از پاسخ مفید شما

خوب  بله مشکل از طرف مدیرهست ولی بخوایم اینجکت کنیم باید راهی برای بایپس باشه ؟؟ نه ؟؟

راهش استفاده از FOR XML PATCH('') هست و تیبل ها بدون هیچ اروری برگردونده میشن

ولی من دنبال

mssql error based نبودم چون با یک FOR XML PATH('') 

میشه تیبل هارو کشید بیرون یا حتی با استفاده از err_dios (تو sql server 2014 نمیشه )

میخواستم ببینم راهی هست تو کد های aspx بدون XPATH دیتا رو بکشم بیرون

از دیشب دارم روش کار میکنم به این نتیجه رسیدم تنها راه error based هست

باز هم ممنون ...

[0r0b4s]

درود

ممنون از پاسخ مفید شما

خوب  بله مشکل از طرف مدیرهست ولی بخوایم اینجکت کنیم باید راهی برای بایپس باشه ؟؟ نه ؟؟

راهش استفاده از FOR XML PATCH('') هست و تیبل ها بدون هیچ اروری برگردونده میشن

ولی من دنبال

mssql error based نبودم چون با یک FOR XML PATH('') 

میشه تیبل هارو کشید بیرون یا حتی با استفاده از err_dios (تو sql server 2014 نمیشه )

میخواستم ببینم راهی هست تو دیتا رو بکشم بیرون

از دیشب دارم روش کار میکنم به این نتیجه رسیدم تنها راه error based هست

باز هم ممنون ...

با سلام خدمت شما دوست گرامی

شما بایپس هگز رو رفتین خیلی جاها در مورد کد های aspx بدون XPATHبه درد دوستان بنده خورده

راستیتش این مشکل شما تا حالا بهم برنخورده

با سپاس