elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
28 Mayo 2012, 05:52  


Tema destacado: Entra al canal IRC oficial de #elhacker.net

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Problema con SQLi		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Problema con SQLi  (Leído 906 veces)
Debci
Wiki

Desconectado Desconectado

Mensajes: 1.945


Actualizate o muere!


Ver Perfil WWW
Problema con SQLi
« en: 16 Mayo 2010, 14:54 »
Problema con SQLi
He sabido de una vulnerabilidad en una web, intento estudiarla, he probado a ejecutar SQL Queryes pero me da error de sintaxis:

Citar
index.php?opc=noticias_ver&id=666'Select * from productos.ref--'

Y me da el siguiente error de sintaxis:

Citar
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'Select * from productos.ref--\'' at line 1

Luego preguntar otra cosa, una vez consiga injectar algo como se que tablas atacar?

Saludos
En línea


Juega a este pedazo de MMORPG y consigue premios registrandote como referido mio! League of Legends
SH4V

Desconectado Desconectado

Mensajes: 39



Ver Perfil WWW
Re: Problema con SQLi
« Respuesta #1 en: 16 Mayo 2010, 16:14 »
Tienes un error de sintaxis porque la consulta está quedando así:

SELECT * from noticias where id=666' Select * from productos.ref//en el caso de que la tabla se llame noticias.

Para empezar poner la (') va a causar error de sintaxis. Luego cuando pones productos.ref estas indicando que quieres sacar información sobre la tabla "ref" almacenada en la base de datos "productos". Si es una inyección en MySQL con una versión 5 o superior, deberás primero determinar el numero de columnas con:

index.php?opc=noticias_ver&id=666+group+by+x /donde x es el número de columnas que tendrá la tabla.

una vez tengas el numero de columnas tienes que concatenar dos consultas select con la sentencia "union". Hay muchos manuales sobre Union SQL injection.

Uno que lo explica muy bien es el de Ka0x:

http://www.milw0rm.com/papers/216

Saludos!
En línea
Citar
javascript:đ=+!!{};(this)[ł={ŋ:''+!'[]',ŧ:''+!!đ},ł.ŋ[đ]+ł.ŋ[đ+đ]+ł.ŋ[++đ+đ]+ł.ŧ[--đ]+ł.ŧ[+!đ]](đ)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
GiE 4.8 - SQLi
Nivel Web 		Pony-Magic 4 3,164 Último mensaje 17 Diciembre 2010, 14:37
por xassiz~
Problema con SQLI Helper
Hacking Básico 		Nardo[N] 5 2,368 Último mensaje 24 Febrero 2011, 04:32
por Nardo[N]
Ayuda con SQLi
Hacking Básico 		Black Master 1 663 Último mensaje 5 Septiembre 2011, 18:00
por Darioxhcx
Problema SQLi real/practico
Nivel Web 		Søra 4 1,629 Último mensaje 23 Septiembre 2011, 23:59
por ~ Yoya ~
sqli en dvwa
Hacking Avanzado 		ruben_linux 3 563 Último mensaje 30 Diciembre 2011, 18:25
por dantemc
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines