Autor
|
Tema: codigo llave para los control admin (Leído 6,469 veces)
|
|
Shell Root
|
Te respondo porque soy fanático a bob esponja,
A eso es lo que me refería con "bypass" del post anterior, pero no todos son vulnerables, todo depende de la sanidad de las variables y el estilo de lógica que este usando la aplicación.
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
engel lex
|
uff! que suerte que la seguridad haya llegado a nivles que con un 1=1 no desbloqueas todas las cuentas! quien se imaginaria!? XD
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Shell Root
|
ajjajaja no es con un 1=1 es con logica :p
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
engel lex
|
insisto... menos mal que ya 1=1 no es clave XD normalmente yo sanitizo mis variables a un punto que paso un $user = md5($_post[user]) select * from usuarios where $user = md5(usuario) quiero ver como pasan sobre eso con un 1=1 XD
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Shell Root
|
$sql = "SELECT * FROM usuarios WHERE $user = md5(usuario);";
WTF! No entiendo esa variable $user, desde allí si metes un $user = "id = 1 OR 1=1 --"; $sql = "SELECT * FROM usuarios WHERE $user = md5(usuario);";
Quedaría, SELECT * FROM usuarios WHERE id = 1 OR 1=1 --= md5(usuario);
:p
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
engel lex
|
sorry XD no lo meti en etiqueta y no se veia bien //suponiendo que la variable es solo user $user = md5($_POST["user"]) $sql = "select * from usuarios where $user = md5(usuario)" //aqui como sea que usen para hacer la query contenida en $sql y donde obtengan la respuesta
en php creo que ahi se entiende mas mi punto el sql compara el valor md5 de lo obtenido, contra lo guardado pasado a md5
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Shell Root
|
Pues la verdad, sigo sin entender,...
quedaría un valor md5 contra otro md5?
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
engel lex
|
sorry... estoy desvariando lo puse mal era asumiendo que tu user es "Shell" entonces el $user pasa a valer ea89b68c34ce4a63c0f77e17413c6e30 luego en la db el buscará los valores de la columna usuario que transformados a md5 coincidan con $user, esto te da (a mi parecer) la flexibilidad que el usuario user cualquier caracter sin riesgo a una inyección, ya que los datos pasan digeridos a la db, tambien puedes hacerlo en base64
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
¿Codigo para alta a registros en una BD de Access o Excel desde un control data?
Programación Visual Basic
|
El_chapulin
|
1
|
4,492
|
24 Octubre 2006, 22:32 pm
por CeLaYa
|
|
|
[Perl]Admin Control Panel Finder V1
Scripting
|
juh
|
1
|
7,876
|
24 Septiembre 2010, 05:35 am
por [L]ord [R]NA
|
|
|
MOVIDO: codigo llave para los control admin
Scripting
|
Eleкtro
|
0
|
1,814
|
1 Mayo 2013, 11:06 am
por Eleкtro
|
|
|
Keyprop: la llave que sirve de atril para tu móvil
Noticias
|
wolfbcn
|
0
|
1,920
|
8 Mayo 2013, 19:10 pm
por wolfbcn
|
|
|
Crackear programa que requiere una llave y un código.
Ingeniería Inversa
|
Sun Shining
|
4
|
6,390
|
22 Julio 2017, 06:10 am
por tincopasan
|
|