elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Insertar datos con inyeccion sql
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Insertar datos con inyeccion sql  (Leído 5,973 veces)
Gorky


Desconectado Desconectado

Mensajes: 770



Ver Perfil WWW
Insertar datos con inyeccion sql
« en: 5 Noviembre 2009, 22:58 pm »

Buenas foreros. Ando investigando sobre la inyeccion sql. Imaginad que tengo la siguiente url:
http://localhost/archivo.php?id=7
Y resulta que es vulnerable. De que forma podria aprovechar esa vulnerabilidad para insertar datos en las tablas? He estado viendo que en Oracle seria asi:
http://localhost/archivo.php?id=7; insert into ....
Sin embargo yo estoy usando mysql. Alguien me puede echar una mano?
En línea

:ohk<any>


Desconectado Desconectado

Mensajes: 1.744


Yo lo que quiero que me salga bien es la vida.


Ver Perfil WWW
Re: Insertar datos con inyeccion sql
« Respuesta #1 en: 5 Noviembre 2009, 23:10 pm »

Como ya dijeron antes, en mysql no puedes usar 2 sentencias al mismo tiempo, un SELECT no va con un INSERT, en oracle todo lo contrario.
En línea

Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.
Gorky


Desconectado Desconectado

Mensajes: 770



Ver Perfil WWW
Re: Insertar datos con inyeccion sql
« Respuesta #2 en: 5 Noviembre 2009, 23:12 pm »

Entonces no existe forma de poder insertar datos con una url vulnerable?
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Insertar datos con inyeccion sql
« Respuesta #3 en: 5 Noviembre 2009, 23:19 pm »

Depende como esté hecha la query, si por ejemplo en alguna parte se utilizan estadisticas locales entonces esa petición GET se irá a la base de datos con algún update o insert, en ese casi si podrías inyectar pero cuando es desde un select a un update entonces no se puede.

http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html

Ahora, puede que ese sitio web utilize librerías preconstruidas donde si acepte el carácter ";" como separador de querys, en ese caso si podrías hacer un update concatenando ambas querys con ";" pero por defecto no se puede. Lo que hacen la mayoria de las clases prefabricadas es separar todo el string en un solo array dimensional separados por el ";" y luego comienza a procesar query por query.
« Última modificación: 5 Noviembre 2009, 23:21 pm por WHK » En línea

OzX


Desconectado Desconectado

Mensajes: 406

[NuKe] Team


Ver Perfil WWW
Re: Insertar datos con inyeccion sql
« Respuesta #4 en: 7 Noviembre 2009, 00:54 am »

hi brotas
lo que intentas hacer se llamada "stacked querys"

En mysql no se puede hacer una consulta independiente a la original, en SQL como lenguaje se ocupa el ; para generar una nueva consulta a ello se llama "Stacked Querys", pero hay distintas  restricciones para distintas base de datos, en la imagens e muestran las combinaciones.

IMG sacada de los Papper de la Blackhat


Y sobre
http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html
La respuesta definitiva es que en Mysql con php no se puede.

Saludos¡

« Última modificación: 7 Noviembre 2009, 00:58 am por OzX » En línea

Undersecurity.net
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Insertar imagenes en Inyección SQL « 1 2 »
Nivel Web
rikrdo_mat 12 8,770 Último mensaje 2 Diciembre 2010, 04:38 am
por 3st3
(Solucionado)Insertar datos en un textarea
Desarrollo Web
Zeroql 3 9,917 Último mensaje 23 Julio 2011, 20:52 pm
por Zeroql
Duda php insertar en BD datos de un form que esta en un while
PHP
YamiAlx 2 2,940 Último mensaje 3 Marzo 2013, 16:53 pm
por YamiAlx
Insertar datos con php avanzado
PHP
ppfenix79 9 2,491 Último mensaje 17 Febrero 2016, 17:01 pm
por ppfenix79
Insertar datos no repetidos
Bases de Datos
.:UND3R:. 5 3,996 Último mensaje 22 Agosto 2016, 14:46 pm
por user-marcos
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines