elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  problema SQL Injection: Type mismatch: 'CDBL'
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: problema SQL Injection: Type mismatch: 'CDBL'  (Leído 6,664 veces)
slackbyte

Desconectado Desconectado

Mensajes: 88


Ver Perfil
problema SQL Injection: Type mismatch: 'CDBL'
« en: 30 Abril 2009, 04:06 am »

Buen dia amigos, aqui vengo posteando (y espero estarlo haciendo en el sitio indicado) ya que ando practicando con SQL Injection (sin ningun fin malefico aclaro... soy etico!) y pues me he topado con un site (no es la primer vez, alguna vez me paso algo similar) en el cual para leer la version pues sabemos que puede ser con:

      'union select @@version --

y me manda lo siguiente: "All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists", entonces lo que prosigue por supuesto es igualar el numero de expresiones que solicita, y voy agregando uno por uno hasta llegar al indicado:

      'union select @@version,1,1,1 --

se supone que ese es el indicado (pues si pongo uno mas dice lo mismo de que tengo que igualar el numero de expresiones), pero el problema es que no me manda la version, si no que me manda lo siguiente:

     Microsoft VBScript runtime  error '800a000d'
     Type mismatch: 'CDBL'
     /acceso.asp, line 79

Parece ser un error sobre casting o algo similar, honestamente le he intentado por todos lados, ademas de investigar un poco, pero no pasa nada =S, incluso levanté mi propio servidor con un formulario que conecte a una bd, pero para nada tengo estos errores, ojala puedan hecharme la mano, se los agradecere mucho!. salu2!
En línea

Data Seek3r

Desconectado Desconectado

Mensajes: 33



Ver Perfil WWW
Re: problema SQL Injection: Type mismatch: 'CDBL'
« Respuesta #1 en: 2 Mayo 2009, 17:44 pm »

Yo tampoco se explotar con VBScript, agradeceria si WHK o algun colaborador de esta sección pondria poner documentacion.
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: problema SQL Injection: Type mismatch: 'CDBL'
« Respuesta #2 en: 3 Mayo 2009, 04:59 am »

Hola, la función cdbl() pasa de string a integer para ser procesado en MSsql para un sistema web basado en Visual Basic Script.. ahora, lo que te quiere decir es que el valor ingresado no es válido asi que te lanza ese error para no continuar procesando el valor de la query.

Pude ver en algunos manuales hace un tiempo que este tipo de filtros no debe ser aplicados ya que siempre que alguien inserte un valoir no numerico aparecerá ese error, por el contrario se pueden crear otros tipos de filtros.

Por ejemplo lo mas probable es que en el script esté escrito de la siguiente forma:
Código
  1. id = cdbl(request("id"))
Así que cuando quieras insertar una inyección sql en esa variable te arrojará un error pero no te permitirá hacer la inyección ya que la función cdbl está forzando la transformación.

« Última modificación: 3 Mayo 2009, 05:02 am por WHK » En línea

slackbyte

Desconectado Desconectado

Mensajes: 88


Ver Perfil
Re: problema SQL Injection: Type mismatch: 'CDBL'
« Respuesta #3 en: 3 Mayo 2009, 06:13 am »

Muchas gracias por tu respuesta, o sea como quien dice, ya no sirve el que trate de inyectar sentencias en sql con ese comando de casting ahi... me queda checar donde se hace la comprobacion, si en el formulario, o en alguna pagina posterior donde se ejecuta la consulta (espero sea el primer caso jeje).
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problema co DOC TYPE
Desarrollo Web
Riki_89D 1 2,570 Último mensaje 19 Diciembre 2010, 05:25 am
por bomba1990
Sql injection problema :(
Nivel Web
locot3 1 3,872 Último mensaje 20 Febrero 2011, 04:19 am
por locot3
type mismatch
Java
m@o_614 1 2,116 Último mensaje 11 Junio 2012, 21:34 pm
por 1mpuls0
C++ error al compilar (recipe for target 'BD.o' failed) (Error: operand type mismatch for `push')
Programación C/C++
DonJuanPinorio 1 3,066 Último mensaje 8 Febrero 2021, 23:18 pm
por K-YreX
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines