Помогите с SQLi

[YoungHustler]

Есть хороший европейский шоп. Я обнаружил в нем уязвимость, тайм скуля. Шоп стоит на OXID eShop. Данные от админки, как написано в документации oxid eshop, находится в общей базе юзеров. Ее можно узнать по колонке oxid, у админа там написано 'oxdefaultadmin', у обычных же юзеров там просто md5 hash. Слить базу всех юзеров для меня не возможно, это слишком долго, там 1.6 ляма строк. Возможно ли как-то достать только админа из всех юзеров, зная о oxdefaultadmin? Может у кого есть варианты решение проблемы, рад любой помощи.

 

[WDBlue]

--where="oxid=oxdefaultadmin"

Usage

Automatic SQL injection and database takeover tool - sqlmapproject/sqlmap

github.com

 

[Alexandr7]

--search -T admin , --search -C pass

 

[YoungHustler]

--search -T admin , --search -C pass

Я написал, что админ находиться вместе со всеми юзерами, выделяется только oxid

 

[YoungHustler]

--where="oxid=oxdefaultadmin"

Usage

Automatic SQL injection and database takeover tool - sqlmapproject/sqlmap

github.com

выдает ошибку 500. Ваф такое не пропускает, либо прав не хватает

 

[radio]

если админ в общей таблице юзеров значит он один из первых записей,слей первую двадцатку например с той колонкой где пишется твой oxdefaultadmin

 

[ssapNimda]

выдает ошибку 500. Ваф такое не пропускает, либо прав не хватает

--where="length(oxid) < 15"
отсечь все md5