elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQL Injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQL Injection  (Leído 4,577 veces)
Adept

Desconectado Desconectado

Mensajes: 25



Ver Perfil
SQL Injection
« en: 5 Diciembre 2004, 21:14 pm »

Si tengo un sitio vulnerable a sql injection donde el error de validación se produce dentro de una sentencia SELECT, ¿sólo puedo utilizar un comando que empiece por UNION SELECT? ¿No podría por ejemplo poner otro tipo de comandos como editar o eliminar bases de datos?. Si es así, cómo lo podría hacer?

O sea mi pregunta es si dentro de una sentencia SELECT puedo incluir algún otro tipo de comando que no tenga relación con éste y que sea ejecutado.

He intentado separar las sentencias con punto y coma ; pero sólo he obtenido errores...

Gracias de antemano...


PS: El sitio ES vulnerable
« Última modificación: 5 Diciembre 2004, 21:33 pm por Adept » En línea

Those were the words of Adept...
Cobac
Ex-Staff
*
Desconectado Desconectado

Mensajes: 5.465


Still In Development


Ver Perfil
Re: SQL Injection
« Respuesta #1 en: 5 Diciembre 2004, 21:43 pm »

para editar sería update, para eliminar delete y si quieres añadir alguna nueva sería insert

osea que tendrías que hacer union delete..... (sin el select)

salu2
En línea

PIV 2533 @ 2720Mhz | 512MB DRR333 @ 358 | 160 Gb + 40 Gb Seagate Barracuda

En la Edad Media la Iglesia robaba con los diezmos. En el siglo XXI la SGAE roba con sus cánones.
Rentero
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.164


La paciencia es la madre de la ciencia.


Ver Perfil
Re: SQL Injection
« Respuesta #2 en: 6 Diciembre 2004, 01:48 am »

Como te han dicho...usa UNION ALGO(donde ALGO puede ser DELETE, CREATE, UPDATE, INSERT, etc).

Tienes que hacer que el primer SELECT(el de validación de usuario) sea falso para que ejecute el UNION ALGO. Puedes ponerle algo como AND 1=2.

Saludos.
En línea

Firmado.
Adept

Desconectado Desconectado

Mensajes: 25



Ver Perfil
Re: SQL Injection
« Respuesta #3 en: 6 Diciembre 2004, 06:33 am »

No funciona, da un error de sintaxis.
Al parecer el comando UNION sólo se puede usar seguido por un SELECT.

¿Habrá otra forma de hacerlo?
« Última modificación: 6 Diciembre 2004, 06:41 am por Adept » En línea

Those were the words of Adept...
PaK0

Desconectado Desconectado

Mensajes: 164


Ver Perfil
Re: SQL Injection
« Respuesta #4 en: 7 Diciembre 2004, 22:56 pm »

Citar:
¿No podría por ejemplo poner otro tipo de comandos como editar o eliminar bases de datos?.

Antes de hacerlo piensa que a lo mejor el tío se pasó semanas currándose la base de datos, ok?
Ponte en la piel del otro y no hagas lo que no te gustaría que te hicieran

Salu2
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
sql injection nobb
Hacking
ADOMEX1232 0 2,206 Último mensaje 30 Mayo 2015, 08:42 am
por ADOMEX1232
sql injection se puede?
Hacking
fvpg 1 2,134 Último mensaje 25 Mayo 2018, 05:57 am
por engel lex
Url injection
Análisis y Diseño de Malware
Jeezy 6 5,290 Último mensaje 5 Junio 2018, 05:29 am
por Jeezy
Dll Injection
Análisis y Diseño de Malware
Jeezy 3 2,689 Último mensaje 6 Agosto 2018, 19:46 pm
por ThunderCls
Sql injection y que más?
Hacking
4lienx 4 3,981 Último mensaje 26 Noviembre 2019, 22:12 pm
por BloodSharp
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines