elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [DUDA] Inyecciones SQL con '
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [DUDA] Inyecciones SQL con '  (Leído 3,519 veces)
bytefloat

Desconectado Desconectado

Mensajes: 5


Ver Perfil
[DUDA] Inyecciones SQL con '
« en: 27 Junio 2015, 05:06 am »

Hola, me estoy volviendo loco con este pequeño problema...
Todos sabemos que normalmente en una inyeccion sql... hay 2 caminos
Código:
noticias.php?id=-2
Código:
noticias.php?id=2'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''2''' at line 1 SELECT * from web where id_cli='30' and idioma='espanol' and upper(pagina)='1''

Resulta que me da error la segunda, sin embargo, no hallo como seguir con ella, he intentado hasta con
Código:
noticias.php?id=1'and'1 order by 400--
Y no puedo sacar un order by para la cantidad columnas, pues  en este caso me tira la página sin noticias,

Alguna idea de como "anular" el 1' para poner un order by? , normalmente con las otras inyecciones hacía un "-5 order by 30-- " y bastaba..

Saludos
En línea

quiAnar

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: [DUDA] Inyecciones SQL con '
« Respuesta #1 en: 4 Julio 2015, 06:50 am »

no son los unicos caminos hay muchos más, seria bueno que pusieras la url

también no olvides que el signo de comentarios influye.
« Última modificación: 22 Agosto 2016, 00:55 am por quiAnar » En línea

“En caso de duda, utiliza la fuerza bruta”
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.723


<3


Ver Perfil WWW
Re: [DUDA] Inyecciones SQL con '
« Respuesta #2 en: 5 Julio 2015, 23:26 pm »

@samles la url no se puede poner aquí. Por otro lado @bytefloat enviame un M.P con la url y te explico puntualmente.  :silbar:
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
sqln00b

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: [DUDA] Inyecciones SQL con '
« Respuesta #3 en: 19 Julio 2015, 06:42 am »

Vengo a preguntas nada más, al finalizar un comentario en MySQL ¿no se debe hacer?

Código:
%20--%20
/*
#


¿En ésa url se podría poner un UNION hasta que devolviera el valor de las cantidad de columnas?

Código:
1' UNION ALL SELECT 1,2,3,4,5,[...]%20--%20

Gracias ;D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sobre inyecciones en EXE's y DLL « 1 2 3 4 »
Programación Visual Basic
Martinss 33 9,874 Último mensaje 18 Junio 2006, 21:03 pm
por Eternal Idol
[Duda]como me puedo protejer de que no sepan mi ip cuando hago inyecciones sql?
Nivel Web
edgar017 2 2,368 Último mensaje 19 Noviembre 2010, 16:30 pm
por kisk
duda con inyecciones SQL
Hacking
larahot 2 2,851 Último mensaje 15 Julio 2011, 00:08 am
por Shell Root
Inyecciones en inyecciones SQL
Nivel Web
MichBukana 1 2,547 Último mensaje 6 Octubre 2013, 00:08 am
por Stakewinner00
Duda sobre Inyecciones SQL
Dudas Generales
Mudereded401 5 2,898 Último mensaje 2 Junio 2021, 15:20 pm
por Danielㅤ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines