elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQLInjection sin acceso a information_schema
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQLInjection sin acceso a information_schema  (Leído 3,301 veces)
buggy_man

Desconectado Desconectado

Mensajes: 4


Ver Perfil
SQLInjection sin acceso a information_schema
« en: 10 Agosto 2012, 16:09 pm »

Hola a to@s.

Por más que miro y remiro los post no consigo encontrar solución.
El caso es que estoy haciendo unas prácticas de sql injection (para prevenir ataques)en una máquina que tengo montada para tal fin y no consigo acceder al information_schema, por consiguiente no puedo obtener nombre de tablas ni columnas.

Si he podido averiguar el número de campos:
Código:
+union+select+database(),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28

Y la respuesta es:
Unknown column 'xxx' in 'field list'

Me dije, bien ya se el número de campos, a ver el nombre de la tabla:
Código:
+union+all+select+1,2,table_name,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+information_schema.tables
Respuesta:
Table 'xxx.information_schema' doesn't exist

Se que se puede pero no consigo hacerlo, me echais una manilla?  :D

Gracias
En línea

h3ct0r

Desconectado Desconectado

Mensajes: 108


Hail to the king baby!


Ver Perfil
Re: SQLInjection sin acceso a information_schema
« Respuesta #1 en: 10 Agosto 2012, 16:54 pm »

Cual version de mySQL estas usando?
En línea

[img[/img]
buggy_man

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: SQLInjection sin acceso a information_schema
« Respuesta #2 en: 10 Agosto 2012, 19:20 pm »

Cual version de mySQL estas usando?
La 4.1.20 de MySql
« Última modificación: 11 Agosto 2012, 01:25 am por buggy_man » En línea

afdlkglfgfdgfhgf

Desconectado Desconectado

Mensajes: 92


Ver Perfil
Re: SQLInjection sin acceso a information_schema
« Respuesta #3 en: 11 Agosto 2012, 07:17 am »

La 4.1.20 de MySql

2 cosas.

1) la base de datos schema se implementa desde la version 5 de MYSQL, por ende no la tienes, y generalmente ese tipo de sql injection se hace con fuerza bruta, desconozco si es posible sacarla como un blind sql injection(lo dudo).

2)actualiza MYSQL, recuerda que hace poco se demostro, que habian versiones de MYSQL donde se podian loguear como root sin tener la passwd de root.

revisa este link:
http://www.securitybydefault.com/2012/06/vulnerabilidad-grave-en-mysqlmariadb.html

suerte!!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recopilatorio de Vulnerabilidades de XSS/SQLinjection « 1 2 ... 5 6 »
Nivel Web
sirdarckcat 58 88,727 Último mensaje 11 Septiembre 2015, 10:27 am
por LaraAnons
Duda SQLinjection en information_schema « 1 2 »
Nivel Web
miguelskk 10 8,547 Último mensaje 17 Julio 2010, 01:46 am
por TapIt
ocultar information_schema user
Bases de Datos
cundre 3 6,399 Último mensaje 15 Octubre 2010, 15:41 pm
por [D4N93R]
SQL INJECTION Cuando no se tiene acceso a Information_Schema.tables?
Nivel Web
th3r0rn 2 2,634 Último mensaje 21 Abril 2011, 07:29 am
por th3r0rn
information_Schema User&Password
Bases de Datos
nkni 0 3,201 Último mensaje 9 Septiembre 2011, 17:31 pm
por nkni
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines