elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Como hacer update en SQLinjection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Como hacer update en SQLinjection  (Leído 6,503 veces)
BlackHKR

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Como hacer update en SQLinjection
« en: 12 Mayo 2010, 07:35 am »

Hola ,Estoy con el tema del SQLInjection y lo que quiero es hacer un "update" en lugar de un
Select para cambiar el pass(ya que este esta cifrado) , la tabla se llama "usuarios"
contiene id ,user ,password , por logica la pag es vulnerable a SQLi

muestreme como seria la consulta para hacer el update para cambiar el pass
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #1 en: 12 Mayo 2010, 07:45 am »

Código
  1. ; UPDATE usuarios SET password='aqui_new_pass' WHERE (id=1);
:silbar:
En línea

Te vendería mi talento por poder dormir tranquilo.
BlackHKR

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Como hacer update en SQLinjection
« Respuesta #2 en: 12 Mayo 2010, 08:10 am »

http://localhost/BlinSQLInjection/blindmysql.php?id=-1;UPDATE usuarios SET password = '4' WHERE (id=1); y me sale esto

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\BlinSQLInjection\blindmysql.php on line 11
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #3 en: 12 Mayo 2010, 08:24 am »

Pwned!, es MySQL, no podes tener un UPDATE dentro de un SELECT:silbar:
Leed: http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html
En línea

Te vendería mi talento por poder dormir tranquilo.
BHK

Desconectado Desconectado

Mensajes: 14


The Hacktivism is not a crime


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #4 en: 12 Mayo 2010, 08:33 am »

esto no iba en la sección de bugs a nivel web?
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #5 en: 12 Mayo 2010, 19:13 pm »

esto no iba en la sección de bugs a nivel web?
Y a todas estás, sos un clon de WHK?
En línea

Te vendería mi talento por poder dormir tranquilo.
BHK

Desconectado Desconectado

Mensajes: 14


The Hacktivism is not a crime


Ver Perfil WWW
Re: Como hacer update en SQLinjection
« Respuesta #6 en: 12 Mayo 2010, 20:55 pm »

BlackHKR, en mysql no se pueden concatenar querys con ; como se hace en mssql, por eso no puedes hacer un update o insert dentro de un select. Lo que si puedes hacer es un select dentro de otro concatenando en funciones, parentesis o "union" pero no puedes updatear.

Cuando dice:
Citar
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\BlinSQLInjection\blindmysql.php on line 11

es porque mysql_fetch_row() no encontró valores para procesar ya que la query falló.

Te recomiendo practicar en algún phpmyadmin, le lanzas un echo a la query y lo tomas y luego lo pegas ene l phpmyadmin y ves porque te va dando errores y así hasta que logres crear una query que funcione bien.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recopilatorio de Vulnerabilidades de XSS/SQLinjection « 1 2 ... 5 6 »
Nivel Web
sirdarckcat 58 88,727 Último mensaje 11 Septiembre 2015, 10:27 am
por LaraAnons
¿Cómo puedo hacer un UPDATE?:) (Dentro BD 8) ) (Solucionado)
Nivel Web
isopo 7 4,539 Último mensaje 12 Julio 2011, 19:23 pm
por Shell Root
SQLInjection sin acceso a information_schema
Nivel Web
buggy_man 3 3,301 Último mensaje 11 Agosto 2012, 07:17 am
por afdlkglfgfdgfhgf
Mensajes de advertencia despues de hacer un apt-get update en Debian.
GNU/Linux
Skywalker 5 3,287 Último mensaje 19 Abril 2013, 00:31 am
por dato000
Como hacer un select de un update? (MSSQL)
Bases de Datos
WHK 7 6,768 Último mensaje 25 Julio 2013, 15:54 pm
por Novlucker
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines