SQL Injection

  • Hi,


    ich komm seit Stunden nicht voran..vllt kann mir jemand ein paar Tipps geben wie ich Step 3 lösen kann.


    Step 1: Sollte kein Problem darstellen. Im Internet (vor allem youtube) gibt es genug Tipps.
    Step 2: Welcher member die höchste balance hat, habe ich auch rausgefunden. Den genauen Wert habe ich mit dem ">"-Befehl herausbekommen...aber kA ob das so richtig ist.
    Step 3: Was ist jetzt nicht verstehe: Ich hab den Namen, die AccountNr vom Typen mit der höchsten Balance. Egal welche Befehle ich danach eingebe, ich bekomme immer die Meldung "'memberno' was not passed. Please contact the helpdesk."


    Hat jemand Tipps wie ich an die "memberno" rankomm?

  • Du gehst wie bei Step drei mit einer abfrage rein, der du eine memberno mitgibst und alle ausgibst die diese nicht haben. Dann machst mit der Ergebnismenge wieder ein union select und gibst dir dort alle Daten (unter anderem dann auch hier die memberno) des entsprechenden Tables aus. Hoffe das hilft etwas...

  • Du gehst wie bei Step drei mit einer abfrage rein, der du eine memberno mitgibst und alle ausgibst die diese nicht haben. Dann machst mit der Ergebnismenge wieder ein union select und gibst dir dort alle Daten (unter anderem dann auch hier die memberno) des entsprechenden Tables aus. Hoffe das hilft etwas...


    Ich hab die Memberno schon über Intervallhalbierung herausgefunden bevor ich die Möglichkeit zur Ausgabe verstanden habe, weiß wer ob es einen Punkte-Unterschied macht, WIE man das ganze löst, solange es stimmt?

  • Solange du die richtige Lösung bekommst (und das ohne Tooleinsatz!!), ist es egal. Aber du solltest dir die zweite Möglichkeit auch ansehen.

    "The quieter you become, the more you are able to hear."
    -------------------------------------------------------------------------------------

  • Ich hätt noch eine kleine Frage bezüglich Step1:
    Ich kann mich zwar "einloggen", folge dann dem Link in ""Please proceed to accounts" und da steht dann
    "'accountno' was not passed. Please contact the helpdesk"
    Ist das richtig so oder mach ich da irgendwas falsch?

    "When the Going gets Weird, the Weird turn Pro"

  • Bitte keine Lösungen hier im Forum posten.
    Diskussionen ueber generelle SQL Injections und Techniken zum Auslesen sind ok, aber konkrete Lösungen sollte jeder selbst rausfinden.


    lg


    edit: Es gibt ja uach die Möglichkeit früh genug abzugeben, dann kann man ein zweites mal abgeben, wenn etwas falsch war ;)

    "The quieter you become, the more you are able to hear."
    -------------------------------------------------------------------------------------