elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Web vulnerable a inyeccion SQL
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Web vulnerable a inyeccion SQL  (Leído 7,515 veces)
r0tkit3r

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Web vulnerable a inyeccion SQL
« en: 22 Septiembre 2008, 13:44 pm »

Hola, practicando un poco el Sql Injection me e topado con un website en el que segun SQLiX es vulnerable a una inyeccion sql:

Código:
                                -- SQLiX --
 Copyright 2006 Cedric COCHIN, All Rights Reserved.
======================================================

Analysing URL [http://www.vulnerable.es/home.asp?sesion=1]

RESULTS:
The variable [sesion] from [http://www.vulnerable.es/home.asp?sesion=1] is vulnerable to SQL Injection [Error message (user) - MSAccess].

con eso se que la base de datos es Microsoft Access y que la variable vulnerable es sesion. Ahora e intentado realizar consultas de tal forma que mediante los errores obtenga las tablas, usuarios, etc...
El caso es que llevo realizando varias consultas (having 1=1--).... y no consigo sacar nada.

Código:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][Controlador ODBC Microsoft Access] Error de sintaxis (falta operador) en la expresión de consulta 'taid_codigo='.

/conf/dll.asp, línea 283

Mi pregunta es si es necesario realizar otro tipo de consultas diferentes a las de MySql, al ser MSacces....

¿Alguien me podria ayudar a realizar las consultas adecuadas?

Gracias
En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Web vulnerable a inyeccion SQL
« Respuesta #1 en: 22 Septiembre 2008, 14:52 pm »

Citar
Mi pregunta es si es necesario realizar otro tipo de consultas diferentes a las de MySql, al ser MSacces....
si
:http://pentestmonkey.net/blog/mssql-sql-injection-cheat-sheet/
En línea

r0tkit3r

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Web vulnerable a inyeccion SQL
« Respuesta #2 en: 22 Septiembre 2008, 15:33 pm »

Hola sirdarckat, gracias por el link es lo que necesitaba..y yo to obcecado en consultas MySql asi que no daba nada... ;D

Expondre los resultados

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
cómo poner mi pagina vulnerable para una inyeccion sql « 1 2 »
Desarrollo Web
jhonatanAsm 11 9,721 Último mensaje 4 Noviembre 2011, 14:54 pm
por jhonatanAsm
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines