Inyección SQL por método POST? COMO?

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

2 Noviembre 2024, 20:35 pm

Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)

Foro de elhacker.net

Seguridad Informática

Hacking

Bugs y Exploits

Nivel Web (Moderadores: sirdarckcat, WHK)

Inyección SQL por método POST? COMO?

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Ir Abajo

Respuesta

Imprimir

Autor

Tema: Inyección SQL por método POST? COMO? (Leído 6,664 veces)

zenok

Desconectado

Desconectado

Mensajes: 4

Ver Perfil

Inyección SQL por método POST? COMO?

« en: 19 Marzo 2012, 18:11 pm »

Hola, intento iniciarme en este mundillo. Realmente no para molestar a otros sitios Web que no me han hecho nada.

Hay un sitio que tiene vulnerabilidad por metodo post en un input. Pero no sé como explotarlo.

He buscado tutoriales pero siempre encuentro por get y no por post. He intentado con poner en el input ', SELECT username FROM users WHERE username = usuario para probar. Pero no me funciona, da error mysql envez de mostrarme el dato


	En línea

~ Yoya ~

Wiki

Desconectado

Desconectado

Mensajes: 1.125

Ver Perfil

Re: Inyección SQL por método POST? COMO?

« Respuesta #1 en: 20 Marzo 2012, 01:09 am »

Es exactamente lo mismo man, no hay diferencia. Aunque son mas abundante por GET, porque por GET se suelen pasar parámetros para usarlo para comprobación y para recibir datos como ID de perfil, el ID de paginacion, el nombre del titulo de la pagina y ese tipos de datos se suelen pasar por GET y suelen hacerle un select...

Su pongo que te preguntaras porque la suelen pasar por GET y no por POST, ps el principal motivo debe ser porque es mucho mas simple crear enlaces, a enviar un formulario o hacer peticion POST directamente. Aunque los datos que viajan via POST se suelen usar para agregar información directamente a la DB, ya que no puedes mandar todos los datos que quieras via GET, este tiene un limite y varia dependiendo del navegador. Aunque por POST puedes mandar todos los datos que quieras y se limita a la configuración del servidor...

Saludos.


	En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

WHK

Moderador Global

Desconectado

Desconectado

Mensajes: 6.605

Sin conocimiento no hay espíritu

Ver Perfil

WWW

Re: Inyección SQL por método POST? COMO?

« Respuesta #2 en: 26 Marzo 2012, 16:24 pm »

Haz un formulario html en tu escritorio, le haces doble click para abrirlo con tu explorador y lo envías.

Por ejemplo:

Código

<form method="post" action="http://...">
   <input type="text" name="test" />
   <input type="submit" />
</form>

Donde dice "test" se lo cambias por el input vulnerrable.
Recuerda que la mayoría de los sistemas webs te verifican que mandes todos los inputs requeridos, por eso te recomiendo usar firefox con live headers, le das un vistazo a las variables que se han enviado (se ven igual que las peticiones get después de archivo.php?) y le creas los inputs necesarios y listo, con eso ya puedes enviar inyecciones sql en método POST de forma personalizada.


	En línea

- https://yhojann.cl/ - https://whk.cl/

Páginas: [1]

Ir Arriba

Respuesta

Imprimir

Ir a:

Mensajes similares
		Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
		como enviar un texto por método post a php « 1 2 » Programación Visual Basic	A2Corp	10	5,963	6 Septiembre 2005, 01:55 am por yeikos
		Replicar método POST Scripting	NeonMan	1	2,955	15 Febrero 2008, 16:29 pm por Stacker
		parametros x e y en metodo POST Desarrollo Web	lord mick	8	6,030	19 Agosto 2010, 22:54 pm por w4r10
		devolver valores por metodo post como? PHP	Zeroql	9	7,149	18 Junio 2011, 04:54 am por raul338
		[Duda] Como enviar informacion al servidor sin el metodo POST ni GET Desarrollo Web	Flamer	2	2,524	16 Marzo 2016, 08:42 am por adastra

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines