elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Clave cifrada? (SQLi)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Clave cifrada? (SQLi)  (Leído 4,239 veces)
Banti

Desconectado Desconectado

Mensajes: 225


NULL


Ver Perfil
Clave cifrada? (SQLi)
« en: 6 Diciembre 2009, 23:27 pm »

Bueno....

Me encontre una pagina vulnerable a SQL Injection y realizo un select de la tabla usuarios....
Y me encuentro que el campo "clave" me muestra eso:
*797F6CDD79A92E41F94E2D406CDCD567D87B2730

No tengo la mas palida idea..... Alguien me guia?
En línea

Darioxhcx


Desconectado Desconectado

Mensajes: 2.294


Ver Perfil
Re: Clave cifrada? (SQLi)
« Respuesta #1 en: 6 Diciembre 2009, 23:37 pm »

sha-1 ?¿
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Clave cifrada? (SQLi)
« Respuesta #2 en: 7 Diciembre 2009, 06:33 am »

ingresa como usuario y vee si esa web te deja una cookie y mira si te deja un valor similar a ese, si es asi entonces reemplaza tu valor por el que encontraste y te cambias tambien el valor que identifica al usuario que por lo general es el id de usuario y con eso ya deberias poder ingresar sin la necesidad de saber que es ese hash.
En línea

Banti

Desconectado Desconectado

Mensajes: 225


NULL


Ver Perfil
Re: Clave cifrada? (SQLi)
« Respuesta #3 en: 7 Diciembre 2009, 09:14 am »

ingresa como usuario y vee si esa web te deja una cookie y mira si te deja un valor similar a ese, si es asi entonces reemplaza tu valor por el que encontraste y te cambias tambien el valor que identifica al usuario que por lo general es el id de usuario y con eso ya deberias poder ingresar sin la necesidad de saber que es ese hash.
:o

Eso no sabia...

Bueno la unica cookie que tengo es la de PHPSESSID y probe cargar lo que puse asi no mas y no funciona y si pongo con el * la pagina vulnerable salen por todos lados errorres de SQL (por caracter no valido)  :xD
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Clave cifrada? (SQLi)
« Respuesta #4 en: 7 Diciembre 2009, 19:29 pm »

Ah no, entonces no te va a servir porque la cookie de sesion de php se escribe en el servidor y no en el cliente.

No te quedará otra que intentar crackearlo :P y para ver como está hecha intenta obtener el hash de tu misma cuenta, por ejemplo si tu contraseña es 123456 la codificas en sha1 y la comparas con el hash, si no es entonces pruebas con otra codificacion o mezclas y así hasta que veas masomenos como se compone ese hash y despues intentas crackearlo. Si tienes suerte lo encontrarás xD

También puedes ver si en alguna parte actualizan datos que puedas inyectar, no a un select sino a un update y tratas de establecer tu mismo hash de sesion a la cuenta donde quieres ingresar, entonces la contraseña de el será la misma que la tuya.
En línea

Banti

Desconectado Desconectado

Mensajes: 225


NULL


Ver Perfil
Re: Clave cifrada? (SQLi)
« Respuesta #5 en: 8 Diciembre 2009, 00:22 am »

OK. Gracias!
En línea

OzX


Desconectado Desconectado

Mensajes: 406

[NuKe] Team


Ver Perfil WWW
Re: Clave cifrada? (SQLi)
« Respuesta #6 en: 10 Diciembre 2009, 01:04 am »

es  MySQL 160bit
Saludos¡
En línea

Undersecurity.net
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
GiE 4.8 - SQLi
Nivel Web
Pony-Magic 4 6,547 Último mensaje 17 Diciembre 2010, 14:37 pm
por xassiz~
Wordpress: clave de activación cifrada al igual que el password
Nivel Web
Schaiden 1 2,764 Último mensaje 18 Agosto 2016, 21:37 pm
por berz3k
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines