elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  ASP - Oracle inject - Dudas y consejos.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ASP - Oracle inject - Dudas y consejos.  (Leído 3,709 veces)
icenteman

Desconectado Desconectado

Mensajes: 1


Ver Perfil
ASP - Oracle inject - Dudas y consejos.
« en: 7 Julio 2011, 20:09 pm »

Hola amigos.-
Resulta que hace poco tiempo que estoy estudiando este mundo del hack con fines lúdicos. y estoy obsesionado sacando info de un server.

Soy muy niwi en el tema y necesito algunos datos ya que mas que leo no entiendo mucho...

Los barridos de puertos y servicios me arrojaron esto.

80/tcp open http Microsoft IIS webserver 6.0
443/tcp open ssl/http Microsoft IIS webserver 6.0

OS : Microsoft Windows Server 2003 SP1

El resultado de introducir codigo atacante en el formulario de identificacion es este.

select pers_ncorr, usua_tuusuario as susu_tlogin, usua_tclave as susu_tclave from usuarios where upper(usua_tusuario) = "Aca puedo injetar algo"

Error(-2147467259) [Oracle] [ODBC] [Ora] Ora-00933: Comando sql no terminando correctamente.

Objeto Response Error 'ASP 0156: 80004005'

Error de encavezado.

/portal/portada(proc_portada.asp, linea 84

Como ven me muestra Algunas tablas existentes... o al menos eso creo...

Bueno ahora empiezan las preguntas, que mas puedo hacer para seguir entreteniéndome? Que me recomiendan. tiene posibilidades de seguir sacando información de usuarios etc, etc..

Veo que hay una funcion en la consulta.... upper(usua_tusuario) No se si estaré en lo cierto pero eso es como una limitacion para que jodan algunas injecciones?

Esop, Ojala me den una mano ya que veo que por aca hay arta gente bien culta...

De antemano muchas GRacias
En línea

Cleantesdeasso

Desconectado Desconectado

Mensajes: 185



Ver Perfil
Re: ASP - Oracle inject - Dudas y consejos.
« Respuesta #1 en: 10 Julio 2011, 09:36 am »

http://www.vttoth.com/oracle.htm

Aqui algo de comandillos

http://ferruh.mavituna.com/oracle-sql-injection-cheat-sheet-oku/

Y aqui el trabajo de este tio q es un monstruo. Ea, no rompas nadaaaa!!! Recuerda q en Oracle puedes hacer varias cosillas en una misma consulta, distinto a mysql... (hasta q me di cuenta paso tiempo y tiempo XD)
En línea

"Que no!! q el hash hay q crakiarlo!!"
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Escaner de vulnerabilidades PHP/XSS/SQL Inject « 1 2 3 »
Nivel Web
Rojodos 29 22,161 Último mensaje 1 Agosto 2006, 21:08 pm
por Pablo75
Como comenzar en el desarrollo de software o programacion consejos y dudas?
Programación General
lupitapro 1 2,683 Último mensaje 24 Mayo 2010, 06:48 am
por Shell Root
SQL-Inject Proyecto
Nivel Web
buger430 2 3,597 Último mensaje 3 Noviembre 2010, 21:29 pm
por buger430
[ORACLE-JAVA] java.lang.ClassNotFoundException: oracle.jdbc.driver.OracleDriver
Java
abrtx 2 7,230 Último mensaje 21 Junio 2011, 15:35 pm
por abrtx
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines