elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Apoyo para sql injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Apoyo para sql injection  (Leído 3,088 veces)
aivx

Desconectado Desconectado

Mensajes: 45


Ver Perfil
Apoyo para sql injection
« en: 16 Septiembre 2013, 01:39 am »

Buen dia, necesito algo de asesoria.  Es algo simple:
¿como hacer inyeccion sql a paginas con ejm: index.php?id=ejemplo&ejemplo2=otra cosa?
Digamos que si lo dejamos en index.php?id= con ' no es vulnerable pero si se pone todo el string de la url con' al final Si es vulnerable, pero eso es donde entro en problema, como se inyecta cuando es la full string?

Index.php?id=' no es vulnerable
Index.php?id=ejemplo&ejemplo2=' si es vulnerable


Es lo mismo?

Saludos¡
En línea

x0bs

Desconectado Desconectado

Mensajes: 29


Ver Perfil
Re: Apoyo para sql injection
« Respuesta #1 en: 16 Septiembre 2013, 07:49 am »

Técnicamente si, es lo mismo si en una pagina toma varios parámetros y uno de ellos es vulnerable (eso fue lo que entendí de tu post), solo haces la inyección en el que lo es y el otro lo dejas quieto... ejemplo:

Código:
vulnerable.php?id=2&cat=5' union select 1,2,3..

En línea

BlackM4ster


Desconectado Desconectado

Mensajes: 499


Error, el teclado no funciona. Pulse F1 para continuar


Ver Perfil WWW
Re: Apoyo para sql injection
« Respuesta #2 en: 16 Septiembre 2013, 08:26 am »

Para inyectar en un string, necesitas salirte de él, normalmente se usa '
Puedes inyectar en la variable que sea vulnerable, adelantandome y pensando que vas a usar programas de Lammer, te digo que en Havij el sitio de inyeccion personalizado se especifica con %Inject_Here% y en sqlmap con *

Suerte
En línea

- Pásate por mi web -
https://codeisc.com
aivx

Desconectado Desconectado

Mensajes: 45


Ver Perfil
Re: Apoyo para sql injection
« Respuesta #3 en: 16 Septiembre 2013, 21:38 pm »

gracias x0bs
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines