Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas

aula 6 SQL Injection - comando admin' order by 1,2 --

aula 6 SQL Injection - comando admin' order by 1,2 --

Na aula 06, quando insiro o comando admin' order by 1,2 --, ele nao exibe a senha do usuario, ele exibe o erro de Failure is always an option.

Error Message

Failure is always an option Line 170 Code 0 File /owaspbwa/mutillidae-git/classes/MySQLHandler.php Message /owaspbwa/mutillidae-git/classes/MySQLHandler.php on line 165: Error executing query:

connect_errno: 0 errno: 1064 error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND password=''' at line 2 client_info: 5.1.73 host_info: Localhost via UNIX socket

) Query: SELECT * FROM accounts WHERE username='admin' order by 1,2 --' AND password='' (0) [Exception] Trace #0 /owaspbwa/mutillidae-git/classes/MySQLHandler.php(283): MySQLHandler->doExecuteQuery('SELECT * FROM a...') #1 /owaspbwa/mutillidae-git/classes/SQLQueryHandler.php(327): MySQLHandler->executeQuery('SELECT * FROM a...') #2 /owaspbwa/mutillidae-git/user-info.php(191): SQLQueryHandler->getUserAccount('admin' order by...', '') #3 /owaspbwa/mutillidae-git/index.php(614): require_once('/owaspbwa/mutil...') #4 {main} Diagnotic Information Error attempting to display user information

2 respostas
solução!

Olá Clovis, tudo bem?

Pela mensagem de erro, me parece que não tem um espaço depois do --. Você poderia por favor tentar fazer esse ajuste?

admin' order by 1,2 --[espaço no teclado]

Abs

Deu certo!! Obrigado