Hola a todos.

¿Que tal?

Aver si me pueden hechar una mano.

Este fin de semana, he estado prácticando en la web de un amigo (que hizó de prueba, una tienda online con asp un poco cutre) el tema de sql injection.

El caso es qué aposté con el una cenita si conseguia encontrar/explotar algún fallo de seguridad en su página web que él recientemente habia hecho.

El caso es que he encontrado un fallo de seguridad con lo que se puede jugar con sql injection, el problema es que, no consigo hacer todo lo que quiero...

La sql injection está aqui:

Detrás de la variable id= puedo jugar con sql injection, pero no consigo, por ejemplo, hacer un insert....:

Al hacer esto por ejemplo (y con otras muchas más consultas) el servidor sql me contesta lo siguiente:



Dice que no puede convertir datos de varchar a float... pero... ¿que datos?
Si solamente le estoy diciendo que muestre datos..

El caso es que...con (Select Count(*)...) si pudé adivinar los campos que tenia dicha tabla, ya que jugando con > & < pudé dar con los items disponbiles en la tabla productos, pero poco más..

¿Alguna idea?

Un saludo.
Muchas gracias.

Hola tooRllehS@xelA y muchisimas gracias por tu respuesta...


Entonces.... por donde estoy intentando hacer sql injection no puedo hacer más cosas?

¿No podria solucionar el error que me esta dando y asi conseguir info?


Un saludo.

Hola de nuevo y gracias a todos por vuestro interes y respuestas.

Si ya sé que con esta técnica la información se consigue de los errores pero.....si necesito conseguir algun dato de alguna tabla, primero debo de saber como se llama esa tabla,cierto??

El problema es ese, que no puedo visualizar las tablas o ver que tablas ahi. ¿No podria hacerlo?

¿Tendria que ir probando hasta acertar con el nombre de la tabla donde este el pass de administrador?


Un saludo.
Muchas gracias.

Hola de nuevo y gracias por vuestras respuestas de verdad .
El problema es que al insertar la sentencia "HAVING" me da problemas de sintáxis...

Por ej:


(38715333) Representa la referencia de un producto en la base de datos.

Al insertarle eso que introdujé anteriormente, me suelta esto:



Tambien he probado cerrando primero la comilla simple, osea quedaria asi:


Pero ahi me suelta lo siguiente (avisandome de que una comilla simple no ha sido cerrada)


Tambien he probado esscribiendo la sentencia having de esta forma:


Y entonces la base de datos me responde lo siguiente:




Pero bueno....estas 2 segundas opciones son las combinaciones que he hecho yo para probar si la base de datos no se quejaba.

Lo que no entiendo es porque se queja con "Problema de Sintáxis" En la 1º inyección que he posteado.

¿Que falla aquí?


Un saludo y muchisimas gracias por su atención y ayuda.

Hola.

No te entendí.

¿Que es lo que debo leerme?

Muchas gracias man.

Hola de nuevo y gracias por tu respuesta shellroot.

Ya entendí lo que dijiste en el anterior mensaje....

Claro,con ese error me soltó lo que queria saber,que es el nombre de la tabla (con el que estamos trabajando) y el campo, pero en esa tabla no ahi ningun dato valioso, me gustaria saber si puedo acceder desde ahi a otras tablas...

¿Es posible?

¿como podria trabajar con otras tablas dispnibles en la db?

Muchisimas gracias man

Pero...¿es muy dificil? pero si es una sql inyection normal,no? lo único que ocurre es que no nos enfrentamos con un formulario, es lo único que veo diferente.


Lo único que quiero saber es eso, si podria llegar a listar las tablas, osea, que no tenga que ejecutar sentencias si o si en la tabla que estamos ejecutando, que pueda trabajar con otras tablas aparte de la que esta trabajando la variable donde esta el sql inyection. ¿se entiende?


Un saludo y muchisimas gracias alex@shellroot .

El problema principal de esto es que me da error de sintáxis y no se porque...si yo añado esta sentencia, me da error de sintaxis:



Con esta nueva inyección (Select * from productos) me da error de sintáxis:



¿Algo hago mal?

Muchas gracias de nuevo.