elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: [AIO elhacker.NET 2015] Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderador: berz3k)
| | |-+  otra vez sql injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: otra vez sql injection  (Leído 10,910 veces)
snIPER1

Desconectado Desconectado

Mensajes: 35



Ver Perfil
otra vez sql injection
« en: 17 Abril 2004, 01:07 »

bueno ahora la pregunta es mas concreta  el "codigo" ha aplicar como se lo aplica y en que parte detalladamente (seria bueno que del el link de un buen manual donde especifique esto) me seria de gran ayuda :)
gracias de antemano
En línea

Towner

Desconectado Desconectado

Mensajes: 166

www.hackerss.com


Ver Perfil WWW
Re: otra vez sql injection
« Respuesta #1 en: 17 Abril 2004, 01:29 »

jajajjajajajajajajajjajajajajaajjaajja, :P
mira, el codigo depende de la vulnerabilidad de inyeccion sql...
se pone en una barrita que esta en el exploratod que por ejemplo en mozilla dice search.. si! ahi donde escribes www.elhacker.net... ahi  mismo se pone la inyeccion sql que te muestra cosas de mysql como pueden ser los pass md5 :D
En línea

Xatyro

Desconectado Desconectado

Mensajes: 278


Argentina - ? -


Ver Perfil
Re: otra vez sql injection
« Respuesta #2 en: 18 Abril 2004, 17:13 »

Hola, ante que todo te esplico algunas cosas y vamos a aclarar otras...

Citar
el "codigo" ha aplicar como se lo aplica y en que parte detalladamente

Te voy a explicar todo.
Injection sql es una tecnica que permite a un atacante aplicar codigo sql en sistemas.
Esto funcona buscadon mala programacion en lenguajes utilizados en servicios http para la conexion y uso de base de datos sql, en general son el uso de ASP Y PHP.
Una mala programacion de los script puede llegar a permitir que algun usuario ajeno al sistema , pueda utilizar sentencias sql, sin tener privilegeios y pudiendo asi poder tener asceso total al sistema, como obtener informacion del mismo.
Un error puede ser en la programacion de un sistema de logeo, un buscador, encuesta o cualquier script que utilize base de datos sql. Cuando me refiero a base de datos sql, pueden ser Mysql, MS SQL , entre otras.
Para poder explotar esto es necesario conocer el lenguaje sql, y sus variante en base de datos Mysql y MS SQL, y el lenguaje T-SQL (Transac SQL, es una mejora de sql para el uso de aplicaciones cliente - servidor de base de datos sql).
Sql no es algo facil de explotar, ya que requiere conocimiento de SQL , y practica con el lenguaje sql.
Si quieres buscar vulnerabilidades sql, debes analizar detalladamente los script, basate en los sistema de logeo y validaciones de usuario (login.php login.asp etc)  en buscadores, etc..
Tal ves no me esplike korrectamente en este post y no sea  tan buen escritor :P, pero puede pasar por aki : http://www.datafull.com/datahack/informe.php?id=115 es muy buen texto de injection sql.

Citar
se pone en una barrita que esta en el exploratod que por ejemplo en mozilla dice search

no solo injection sql es aplicable por la barra de direcciones, puedes aplicarlo por medio de formularios, etc. busca mas hay mucha informacion en ingles muy buena...http://www.securityfocus.com. http://www.packetstormsecurity.org y mira mi weblgo :) uno que otro dia pongo algunos exploit de injection sql http://xatyro.blogia.com
En línea

Xatyr0
oRTNZ


Desconectado Desconectado

Mensajes: 808


no no soy malo... soy vicioso :p


Ver Perfil
Re: otra vez sql injection
« Respuesta #3 en: 20 Abril 2004, 18:59 »

no se ,pero creo que mas claro fue towner que satiro  :P, pues el ultimo ya lo hizo bolas  ;D,saludos
En línea

(31 del 12 de 2005) un dia que recuerdo siempre! :p
(03 del 08 de 2006) otro dia que lo recordare siempre...
Si eres Peruano, QUEDATE y si quieres ser de segunda mano del pais que fueras, pues LARGATE Y NO REGRESES...
snIPER1

Desconectado Desconectado

Mensajes: 35



Ver Perfil
Re: otra vez sql injection
« Respuesta #4 en: 20 Abril 2004, 22:34 »

ha¿ acaso es tan simple? pongo en la direccion    http://www.victima.com/gotoURL.asp?url='%20union%20select%20udate,%20ulogin%20FROM%20users%20
y ya tengo el login  del administrador?
pues lo hice y lo sigo haciendo con paginas de aki de mi pais(que cuentan con el mas poderoso servicio de inconpetentes webmasters) y siempre me aparece lo mismo "pagina no encontrada"  >:( voy ha matarlos ha todos
haber si me dicen que es lo que pueda estar pasando  :D
shau
En línea

byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: otra vez sql injection
« Respuesta #5 en: 21 Abril 2004, 01:23 »

esq puede q sea asi y puede que no, no en todas puedes hacer injeccion sql. si haces es pq hay un error no pq sea normal. no tienes pq tener el login del administrador, puedes entrar en muchas paginas como administrador sin login haciendo injeccion, tb puedes.... puedes... es cosa de imaginacion.
En línea

Towner

Desconectado Desconectado

Mensajes: 166

www.hackerss.com


Ver Perfil WWW
Re: otra vez sql injection
« Respuesta #6 en: 21 Abril 2004, 15:05 »

jajajajajajaja, pero no es tan simple sniper1... hay distintas inyecciones sql. Tienes que ver las mas recientes y esas probrlas y la pagina tiene que cumplir con otro requisito... que tenga el modulo vulnerable activado y que no este patcheada... si el modulo esta desactivado o ya instalaron el patch no te servira...

otra cosa, no cualquier inyeccion sql funciona para cualquier pagina... hay inyeccion sql para phpnuke, post nuke, etc... para cada tipo de pagina es diferente.. c u i d a o

salu2 sniper y cuidado con mi licht ;)
En línea

oRTNZ


Desconectado Desconectado

Mensajes: 808


no no soy malo... soy vicioso :p


Ver Perfil
Re: otra vez sql injection
« Respuesta #7 en: 21 Abril 2004, 18:00 »

Si man ten cuidado, sobre todo que el ADMINISTRADOR DE LA WEB ,sabe lo que haces  ;D,suerte
En línea

(31 del 12 de 2005) un dia que recuerdo siempre! :p
(03 del 08 de 2006) otro dia que lo recordare siempre...
Si eres Peruano, QUEDATE y si quieres ser de segunda mano del pais que fueras, pues LARGATE Y NO REGRESES...
DARKNESS

Desconectado Desconectado

Mensajes: 213


Alguien tiene su movil??? o IP jejeje


Ver Perfil
Re: otra vez sql injection
« Respuesta #8 en: 21 Abril 2004, 18:21 »

jooo, pues yo e estau infinidad de veces probando esto '' en mi web'' y naaa
e probau todas las que an salido ultimamente el de donwload, weblinq y todas esas y nunca me aparece nada, por ejemplo si uso el de weblink solamente  me aparece una pagina con el titulo welink si mas

y este ultimo que decis nunca e logrado hacer, como seri si la web es esta
http://usuarios.lycos/XXXX/
supongo que seria asi no??
http://usuarios.lycos/XXXX/gotoURL.asp?url='%20union%20select%20udate,%20ulogin%20FROM%20users%20

= a pagina no encontrada, donde la e cagau???
En línea

en epocas de guerra cualquier abujero es trinchera
byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: otra vez sql injection
« Respuesta #9 en: 21 Abril 2004, 22:52 »

bueno solo decir que no solo se puede hacer injeccion sql en phpbb,php-nuke etc, por lo que eso de nuevas injecciones no tiene mucho sentido. hay paginas que no son "prefabricadas" que tienen fallos (muchas porcierto) y claro en esa el ultimo fallo de php-nuke seguro que no va a funcionar pq ni existe esa pagina y menos los campos de las tablas se van a llamar igual. en google encontraras un pdf que si no recuerdo mal se llama sql injection white paper que esta muy bien.
En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines