elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Varias subqueries MySql SQL injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Varias subqueries MySql SQL injection  (Leído 5,273 veces)
kicking people

Desconectado Desconectado

Mensajes: 211


Ver Perfil
Varias subqueries MySql SQL injection
« en: 2 Junio 2008, 19:21 pm »

Buenas, estuve leyendo sobre algunos manuales en el foro, entonces monte un pequeño server de prueba con Apache y MySql y trate de realizar las prácticas.
Luego de loggearme exitosamente utilizando el:
Código:
' OR 1=1#
, quise ponerme a utilizar otros comandos para modificar la DB como por ejemplo crear una base de datos, entonces inserte en el campo donde iba el password lo siguiente:
Código:
'; CREATE DATABASE nuevadb;#
pero me devolvió un error y no creo la base de datos, agregue un pedazo de código para que me muestre la consulta y el resultado es el siguiente:

(el resultado de error, antes no lo devolvía al momento de hacer el
Código:
' OR 1=1#
)...
Luego para ver si estaba la sintaxis bien escrita, pasé a ejecutar ese comando en la consola de MySql y anduvo perfecto...


Alguien sabe por qué a la hora de crear la base de datos desde el formulario no la crea y por qué desde la consola si..??

Saludos!!!
« Última modificación: 12 Agosto 2008, 16:39 pm por sirdarckcat » En línea

Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: Duda SQL Injection
« Respuesta #1 en: 2 Junio 2008, 19:33 pm »

eso no siempre se puede hacer azielito :-X.. solo en sistemas no-mysql
Código:
SELECT * FROM users;(INSERT INTO users VALUES (1,2,3))

Regresa:

Código:

De hecho es muy raro que se pueda, requires que el sistema encargado de hacer las consultas separe las queries individualmente antes de hacer las peticiones.
En línea

kicking people

Desconectado Desconectado

Mensajes: 211


Ver Perfil
Re: Duda SQL Injection
« Respuesta #2 en: 2 Junio 2008, 19:35 pm »

eso no siempre se puede hacer azielito :-X.. solo en sistemas no-mysql
Código:
SELECT * FROM users;(INSERT INTO users VALUES (1,2,3))

Regresa:

Código:

De hecho es muy raro que se pueda, requires que el sistema encargado de hacer las consultas separe las queries individualmente antes de hacer las peticiones.



¿Y no hay forma alguna de separar las queries desde el  form?
Saludos y gracias!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sql Injection logs (MySQL)
Nivel Web
Ambr0si0 2 4,212 Último mensaje 6 Abril 2011, 09:52 am
por Ambr0si0
cargar varias fotos y datos con php y mysql
PHP
foofigh1987 0 2,821 Último mensaje 15 Mayo 2013, 06:41 am
por foofigh1987
Subqueries SQL - conocer productos disponibles
Bases de Datos
VicInFlames 3 3,137 Último mensaje 8 Diciembre 2016, 19:15 pm
por fran800m
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines