elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Brazzers.com Vuln Gracias a PCA PERUVIAN CYBER ARMY
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Brazzers.com Vuln Gracias a PCA PERUVIAN CYBER ARMY  (Leído 5,297 veces)
sproductions

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Brazzers.com Vuln Gracias a PCA PERUVIAN CYBER ARMY
« en: 7 Diciembre 2011, 06:04 am »

Saludos
http://pastebin.com/qJLgEqGC
Espero que sea de su agrado
En línea

Anonhack96

Desconectado Desconectado

Mensajes: 9



Ver Perfil
Re: Brazzers.com Vuln Gracias a PCA PERUVIAN CYBER ARMY
« Respuesta #1 en: 7 Diciembre 2011, 17:09 pm »

¿Esto es hacking avanzado? :rolleyes:

Parece ser que ahora explotar fallos de inyección SQL en páginas de webmasters incompetentes incapaces de parsear argumentos es toda una proeza, más cuando es necesario un team entero para algo tan simple. ;-) ;-)
En línea

BeLGaRioN

Desconectado Desconectado

Mensajes: 81



Ver Perfil
Re: Brazzers.com Vuln Gracias a PCA PERUVIAN CYBER ARMY
« Respuesta #2 en: 8 Diciembre 2011, 15:05 pm »

Me gustaría que alguien me explicase un poco esto, entiendo lo que es el SQL Injection y veo que en esa página hay una vulnerabilidad. La consulta es del tipo:

Citar
SELECT model_id FROM models WHERE LOWER(model_name) = '(Aquí iría lo que introduces en el input)'

Bien, yo intento por ejemplo traer datos de la tabla members y entonces en el input pongo algo como:

Citar
'; SELECT * FROM members WHERE username LIKE '%

Teóricamente la primera consulta no devolvería nada, pero la segunda tendría que devolverme todo el contenido de la tabla members y, sin embargo, me da error SQL. Así que pensando un poco se me ocurre que quizás el mysql_query que ejecuta esa consulta sólo soporta una única consulta cada vez. Porque si meto, en el input algo como:

Citar
' OR '1'='1

Entonces, sí me devuelve el nombre de todas las modelos que hay en esa tabla, pero claro eso de nada me sirve.

¿Alguien podría darme un poco de luz en este asunto? Sé que hay un tutorial de SQL Injection por aquí, pero tengo estas dudas que no logré solucionar en el tutorial y además, según lo posteado por Anonhack96 el grupo este ha conseguido sacar prácticamente todo, como si se hubiera conectado con un cliente Mysql al servidor de brazzers.

En fin, si alguien tiene tiempo para aclararme estas cosas se lo agradecería.

Un saludo.
En línea

Comunidad hispana dedicada a la Plataforma Steam | http://www.plataformasteam.com
h3ct0r

Desconectado Desconectado

Mensajes: 108


Hail to the king baby!


Ver Perfil
Re: Brazzers.com Vuln Gracias a PCA PERUVIAN CYBER ARMY
« Respuesta #3 en: 21 Enero 2012, 12:47 pm »

Belgarion, la libreria de mysql en php no acepta stacked queries vas a tener que usar otras técnicas!
En línea

[img[/img]
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
AYUDA EN ARMY MEN RTS
Juegos y Consolas
hackboy2600 2 1,957 Último mensaje 9 Agosto 2004, 12:44 pm
por doker
Amerca's Army
Juegos y Consolas
milotower 4 1,698 Último mensaje 3 Septiembre 2006, 22:32 pm
por milotower
Army of Two
Juegos y Consolas
Castiblanco 0 1,385 Último mensaje 25 Enero 2008, 22:14 pm
por Castiblanco
Army Man RTS
Juegos y Consolas
tonyeltimido 0 2,661 Último mensaje 26 Febrero 2009, 17:43 pm
por tonyeltimido
US Army 470th MI Brigade (www.470mi.inscom.army.mil) - Full Disclosure
Nivel Web
TinKode 0 1,875 Último mensaje 31 Octubre 2010, 20:12 pm
por TinKode
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines