elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Ético
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Como hacer update en SQLinjection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Como hacer update en SQLinjection  (Leído 5,104 veces)
BlackHKR

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Como hacer update en SQLinjection
« en: 12 Mayo 2010, 07:35 am »

Hola ,Estoy con el tema del SQLInjection y lo que quiero es hacer un "update" en lugar de un
Select para cambiar el pass(ya que este esta cifrado) , la tabla se llama "usuarios"
contiene id ,user ,password , por logica la pag es vulnerable a SQLi

muestreme como seria la consulta para hacer el update para cambiar el pass
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.706


WOS & Khan & Calero LDN


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #1 en: 12 Mayo 2010, 07:45 am »

Código
  1. ; UPDATE usuarios SET password='aqui_new_pass' WHERE (id=1);
:silbar:
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
BlackHKR

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Como hacer update en SQLinjection
« Respuesta #2 en: 12 Mayo 2010, 08:10 am »

http://localhost/BlinSQLInjection/blindmysql.php?id=-1;UPDATE usuarios SET password = '4' WHERE (id=1); y me sale esto

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\BlinSQLInjection\blindmysql.php on line 11
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.706


WOS & Khan & Calero LDN


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #3 en: 12 Mayo 2010, 08:24 am »

Pwned!, es MySQL, no podes tener un UPDATE dentro de un SELECT:silbar:
Leed: http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
BHK

Desconectado Desconectado

Mensajes: 14


The Hacktivism is not a crime


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #4 en: 12 Mayo 2010, 08:33 am »

esto no iba en la sección de bugs a nivel web?
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.706


WOS & Khan & Calero LDN


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #5 en: 12 Mayo 2010, 19:13 pm »

esto no iba en la sección de bugs a nivel web?
Y a todas estás, sos un clon de WHK?
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
BHK

Desconectado Desconectado

Mensajes: 14


The Hacktivism is not a crime


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #6 en: 12 Mayo 2010, 20:55 pm »

BlackHKR, en mysql no se pueden concatenar querys con ; como se hace en mssql, por eso no puedes hacer un update o insert dentro de un select. Lo que si puedes hacer es un select dentro de otro concatenando en funciones, parentesis o "union" pero no puedes updatear.

Cuando dice:
Citar
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\BlinSQLInjection\blindmysql.php on line 11

es porque mysql_fetch_row() no encontró valores para procesar ya que la query falló.

Te recomiendo practicar en algún phpmyadmin, le lanzas un echo a la query y lo tomas y luego lo pegas ene l phpmyadmin y ves porque te va dando errores y así hasta que logres crear una query que funcione bien.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recopilatorio de Vulnerabilidades de XSS/SQLinjection « 1 2 ... 5 6 »
Nivel Web
sirdarckcat 58 72,521 Último mensaje 11 Septiembre 2015, 10:27 am
por LaraAnons
¿Cómo puedo hacer un UPDATE?:) (Dentro BD 8) ) (Solucionado)
Nivel Web
isopo 7 2,884 Último mensaje 12 Julio 2011, 19:23 pm
por Shell Root
SQLInjection sin acceso a information_schema
Nivel Web
buggy_man 3 2,269 Último mensaje 11 Agosto 2012, 07:17 am
por afdlkglfgfdgfhgf
Mensajes de advertencia despues de hacer un apt-get update en Debian.
GNU/Linux
Skywalker 5 1,988 Último mensaje 19 Abril 2013, 00:31 am
por dato000
Como hacer un select de un update? (MSSQL)
Bases de Datos
WHK 7 4,896 Último mensaje 25 Julio 2013, 15:54 pm
por Novlucker
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines