Tema destacado: Recuperar cuenta de Google, GMail, Youtube
 Autor
|
Tema: ayuda con injection sql (Leído 842 veces)
|
antoniocaro
 Desconectado
Mensajes: 9
|
hola que tal soy nuevo en el foro, tengo tiempo leyendo sobre sql y tengo un problema raro hay una aplicacion que encontre vulnerable, les explico
tiene una variable llamada p=x donde x es un numero y este numero corresponde a un usuario, si le ingreso este codigo hi' or 'a'='a me arroja todos los usuarios que existen por eso creo que es una injeccion pero al agregarle algun otro dato ia no puedo hacer nada alguien me puede ayudar, con que me digan que tipo de injecion es
muchas gracias
|
|
|
|
|
En línea
|
|
|
|
m0rf
Desconectado
Mensajes: 552
TBB
|
Te arroja todos los usuarios ????
Me lo pudes mandar por mp la url d la web para comprobar que es verdad?
Gracias.
|
|
|
|
|
En línea
|
Estilo ilícito ®
|
|
|
antoniocaro
Desconectado
Mensajes: 9
|
perdon pero no puedo es una web de un amigo y contiene datos delicados, pero si me arroja todos los usuarios , si puedes ayudarme solo darme ideas de lo que podria hacer te lo agradeceria mucho muchas gracias
|
|
|
|
|
En línea
|
|
|
|
m0rf
Desconectado
Mensajes: 552
TBB
|
Exactamente que quieres hacer?
Te recomiendo intentar saber que base de datos utiliza ya que supuestamente es vulnerable y te arroja todos los usuarios, esto quiere decir que no valida bien el string ( o otra cosa pero con los datos que me das es lo que se me ocurre...) .
Puedes enviarle comandos que acepte, dependiendo de la base de datos que tenga instalada tendras que enviar unas peticiones o otras. Si te cuesta encontrar algun manual sobre esto solo tienes que decirlo y te pongo aquí unos cuantos que tengo bastante buenos.
Saludos.
|
|
|
|
|
En línea
|
Estilo ilícito ®
|
|
|
|
 |
