elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Problema con SQLi
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Problema con SQLi  (Leído 1,974 veces)
Debci
Wiki

Desconectado Desconectado

Mensajes: 2.021


Actualizate o muere!


Ver Perfil WWW
Problema con SQLi
« en: 16 Mayo 2010, 14:54 pm »

Problema con SQLi
He sabido de una vulnerabilidad en una web, intento estudiarla, he probado a ejecutar SQL Queryes pero me da error de sintaxis:

Citar
index.php?opc=noticias_ver&id=666'Select * from productos.ref--'

Y me da el siguiente error de sintaxis:

Citar
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'Select * from productos.ref--\'' at line 1

Luego preguntar otra cosa, una vez consiga injectar algo como se que tablas atacar?

Saludos
En línea

SH4V

Desconectado Desconectado

Mensajes: 39



Ver Perfil WWW
Re: Problema con SQLi
« Respuesta #1 en: 16 Mayo 2010, 16:14 pm »

Tienes un error de sintaxis porque la consulta está quedando así:

SELECT * from noticias where id=666' Select * from productos.ref//en el caso de que la tabla se llame noticias.

Para empezar poner la (') va a causar error de sintaxis. Luego cuando pones productos.ref estas indicando que quieres sacar información sobre la tabla "ref" almacenada en la base de datos "productos". Si es una inyección en MySQL con una versión 5 o superior, deberás primero determinar el numero de columnas con:

index.php?opc=noticias_ver&id=666+group+by+x /donde x es el número de columnas que tendrá la tabla.

una vez tengas el numero de columnas tienes que concatenar dos consultas select con la sentencia "union". Hay muchos manuales sobre Union SQL injection.

Uno que lo explica muy bien es el de Ka0x:

http://www.milw0rm.com/papers/216

Saludos!

En línea

Citar
javascript:đ=+!!{};(this)[ł={ŋ:''+!'[]',ŧ:''+!!đ},ł.ŋ[đ]+ł.ŋ[đ+đ]+ł.ŋ[++đ+đ]+ł.ŧ[--đ]+ł.ŧ[+!đ]](đ)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
GiE 4.8 - SQLi
Nivel Web
Pony-Magic 4 5,731 Último mensaje 17 Diciembre 2010, 14:37 pm
por xassiz~
Problema con SQLI Helper
Hacking
Nardo[N] 5 4,776 Último mensaje 24 Febrero 2011, 04:32 am
por Nardo[N]
Problema SQLi real/practico
Nivel Web
Søra 4 3,277 Último mensaje 23 Septiembre 2011, 23:59 pm
por ~ Yoya ~
Problema SQLI - Error 404
Nivel Web
sqln00b 2 2,115 Último mensaje 28 Julio 2015, 05:04 am
por Shell Root
problema con sql y sqli « 1 2 »
PHP
mxsoun 15 4,769 Último mensaje 27 Julio 2017, 02:37 am
por mxsoun
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines