elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [RETO] Sql injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [RETO] Sql injection  (Leído 4,422 veces)
cur3n79

Desconectado Desconectado

Mensajes: 3


Ver Perfil
[RETO] Sql injection
« en: 29 Enero 2011, 19:07 pm »

En la pagina http://www.laweb.com/video_details.php?id=43 pide un código para poder ver el video completo, he intentado hacer un ataque por sql injection y conseguido que falle y me muestre información de la select que ejecuta pero no he conseguido ver el video.

El error que consigo que me usando 'or 1=1 -- es:

Fatal error: mysql error: [1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '43'' at line 1] in EXECUTE("SELECT * FROM video_files as vf LEFT JOIN access_code_video as acv ON vf.file_id=acv.video_id where acv.access_code ='' or 1=1 --' and acv.video_id='43'") in /var/www/vhosts/mywaxing.com/httpdocs/application/components/NADOdb/NADOdb.php on line 706

Alguien me puede echar una mano?
« Última modificación: 12 Febrero 2011, 19:09 pm por Novlucker » En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [RETO] Sql injection
« Respuesta #1 en: 5 Febrero 2011, 18:28 pm »

Es una iSQL Blind. Te dejo una pista...

Base de datos: mywaxing_site
En línea

Te vendería mi talento por poder dormir tranquilo.
cur3n79

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: [RETO] Sql injection
« Respuesta #2 en: 12 Febrero 2011, 11:02 am »

Muchas gracias por la respuesta pero sigo en las mismas, he buscado informacion sobre iSql Blind y no he encontrado nada, solo de "Sql Blind" que viene a ser lo mismo que el Sql injection no?

No se como has conseguido saber el nombre de la base de datos ni como eso me puede ayudar, ya que el único código que puedo insertar es en una select.

Dame mas pistas por favor  :)

Muchas gracias
En línea

xassiz~


Desconectado Desconectado

Mensajes: 457



Ver Perfil WWW
Re: [RETO] Sql injection
« Respuesta #3 en: 12 Febrero 2011, 14:24 pm »

iSql Blind = Inyección SQL a ciegas

Da igual cómo lo busques, el caso es que es un tipo de ataque en el que como no arroja datos tienes que hacer comparaciones, los resultados solamente serán booleanos.


Saludos!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Reto ;)
Ingeniería Inversa
NeoKiller 3 3,196 Último mensaje 15 Agosto 2004, 23:12 pm
por NeoKiller
Reto!!
Ingeniería Inversa
HaCkZaTaN 2 3,212 Último mensaje 10 Septiembre 2004, 09:30 am
por Ðevastador
Reto vB
Ingeniería Inversa
nhouse 2 3,704 Último mensaje 16 Marzo 2005, 09:41 am
por 4rS3NI(
[SQL INJECTION] ¿Me ayudas en un reto? (Abierto) « 1 2 3 »
Nivel Web
ZaPa 21 16,253 Último mensaje 20 Marzo 2010, 14:56 pm
por tragantras
CAST EXEC en sql injection(Automated Sql Injection)
Nivel Web
EvilGoblin 2 5,166 Último mensaje 11 Julio 2010, 22:25 pm
por EvilGoblin
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines