elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  MSSQL jet DB
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: MSSQL jet DB  (Leído 3,102 veces)
bhisorx

Desconectado Desconectado

Mensajes: 7


Ver Perfil
MSSQL jet DB
« en: 12 Noviembre 2009, 21:47 pm »

hola gente como estan quisiera saber como obtener nombres de tablas y columnas en MSSQL jet DB
muchas gracias
En línea

OzX


Desconectado Desconectado

Mensajes: 406

[NuKe] Team


Ver Perfil WWW
Re: MSSQL jet DB
« Respuesta #1 en: 12 Noviembre 2009, 23:53 pm »

mssql jet, quiere decir ms access.
en acces es bastante parecido a las union sql injection en mysql.
tienes los order by etc.
la unica diferencia sustancial que veo , aparte de las funciones propias de mysql, es el que tu nececitas una tabla existente para poder generar la injeccion estable
por ej

tienes que obtener la cantidad campos que consulto la query original, con order by,
luego que tengas la cantidad haces
union+select+all+1,2,3,4,5.....n+from+tabla
luego vas provando el parametro tabla hasta encontrar alguno valido.

msaccess no contiene algun information schema, ni nada, es por ello que tienes que ir brutalizando cada campo y tabla.


saludos
Oz¡
En línea

Undersecurity.net
nacho87

Desconectado Desconectado

Mensajes: 71


Ver Perfil WWW
Re: MSSQL jet DB
« Respuesta #2 en: 13 Noviembre 2009, 01:09 am »

Si te saca los errores por pantalla creo que también puedes hacerlo con el método "error based sql injecton". Echale un vistazo en google a ver si te sirve.
Saludos!
En línea

OzX


Desconectado Desconectado

Mensajes: 406

[NuKe] Team


Ver Perfil WWW
Re: MSSQL jet DB
« Respuesta #3 en: 13 Noviembre 2009, 23:09 pm »

basado en errores ... tipo 'having? convert ? y esos..
no creo que funcione, porque el convert no existe en ms access (por lo q e leido, si estoy mal corregidme), estoy un 60% que en ms access no funciona la "tecnica" de obtener los valores por errores.
Saludos¡
En línea

Undersecurity.net
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Duda]Mssql inyection.
Nivel Web
volteo0101 8 3,775 Último mensaje 9 Enero 2011, 01:13 am
por volteo0101
MSSQL y VisualBasic 6.0
Programación Visual Basic
CGST 3 2,634 Último mensaje 19 Febrero 2011, 18:42 pm
por seba123neo
[Perl] MSSQL T00l
Scripting
BigBear 0 1,622 Último mensaje 9 Octubre 2011, 17:47 pm
por BigBear
Algun gestor de BD alternativo a MSSQL
Bases de Datos
_CrisiS_ 5 3,921 Último mensaje 31 Octubre 2011, 12:29 pm
por Novlucker
ROMPER HASH MSSQL Y FTP
Hacking
THEGAME008 7 5,618 Último mensaje 17 Febrero 2021, 15:31 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines