elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Inyeccion sql (mysql) Pasa x alto la inyeccion
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Inyeccion sql (mysql) Pasa x alto la inyeccion  (Leído 6,233 veces)
Littl3

Desconectado Desconectado

Mensajes: 239


Tarde o temprano aparece el hombre


Ver Perfil
Inyeccion sql (mysql) Pasa x alto la inyeccion
« en: 5 Marzo 2009, 21:19 pm »

Hola buenas, estoy intentado inyecciones sql en una pagina de alta de usuarios donde hay 2 inputs, uno para el email que es el vulnerable y el otro para que te inventes un numero de cuenta , siguiendo el tuto de sirdarckcat he conseguido averiguar el nombre de la base de datos, el nombre de las tablas que ami me interesan y el numero de columnas, ahora el problema esta que en cuanto pongo el numero de columnas correcto pasa x alto la inyeccion y me devuelve, Invalid email en cambio si pongo un numero incorrecto de columnas me devuelve el tipico error de The used SELECT statements have a different number of columns

Con esta inyeccion me devuelve invalid email

' AND 0 UNION SELECT 1,user(),3,4,5,6,7,8,9,10,11,12,13,14,15 AND 'l'='

Con esta otra

' AND 0 UNION SELECT 1,user(),3,4,5 AND 'l'='

The used SELECT statements have a different number of columns

¿Que puedo hacer o probar?

Saludos
En línea

pedrox@

Desconectado Desconectado

Mensajes: 48


Ver Perfil
Re: Inyeccion sql (mysql) Pasa x alto la inyeccion
« Respuesta #1 en: 5 Marzo 2009, 21:35 pm »

Estás utilizando 15 columnas, el error que te tira es porque ay más o menos columnas, vamos que ese numero de columnas no es.

puedes probar un ' order by

leete este paper, lo explica bastante bien: http://www.milw0rm.com/papers/216

Saludos.
En línea

Littl3

Desconectado Desconectado

Mensajes: 239


Tarde o temprano aparece el hombre


Ver Perfil
Re: Inyeccion sql (mysql) Pasa x alto la inyeccion
« Respuesta #2 en: 5 Marzo 2009, 21:54 pm »

nono cuando le meto las 15 columnas no me tira error, simplemete me dice que el email introducido.. que es la inyeccion sql, no es valido. Asi que por eso se que son 15 columnas, ademas tengo mas o menos idea de como es la tabla y de las columnas que tiene, son 15 seguro...
En línea

pedrox@

Desconectado Desconectado

Mensajes: 48


Ver Perfil
Re: Inyeccion sql (mysql) Pasa x alto la inyeccion
« Respuesta #3 en: 5 Marzo 2009, 22:56 pm »

Leete algun pequeño doc de MySQL para que veas como va, después puedes leerte ese paper que te pasé, lo entenderás bastante bien.

Un saludo.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Atacan el sitio web de MySQL a través de una inyección SQL
Noticias
wolfbcn 0 2,169 Último mensaje 28 Marzo 2011, 14:41 pm
por wolfbcn
Inyeccion SQL en mysql 3.X
Nivel Web
Cleantesdeasso 0 2,141 Último mensaje 8 Diciembre 2011, 10:21 am
por Cleantesdeasso
Como evitar una inyección sql?
Nivel Web
andvilla07 1 2,097 Último mensaje 26 Noviembre 2012, 15:46 pm
por Shell Root
INYECCION SQL MANUAL AYUDA
Bugs y Exploits
NIKOLAY7 0 2,799 Último mensaje 5 Enero 2013, 20:00 pm
por NIKOLAY7
Pregunta sobre inyeccion dll, que pasa si el proceso se cierra
Análisis y Diseño de Malware
Borito30 2 3,846 Último mensaje 27 Noviembre 2016, 17:55 pm
por Borito30
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines