Título: Obtener tablas con SQL Injection (mysql 4) Publicado por: Leber en 26 Mayo 2008, 16:23 pm Buenas, queria saber a ver si alguien podia orientarme un poco. Llevo varias dias practicando con una bd que me cree en casa, y a ver como podia sacar datos y demas. En la v. >=5 que es la que tengo, es sencillo si tienes en cuenta informacion_schema o mysql. Pues bien, hoy me tope con una pagina, tal que asi:
http://pagina_anonima.com/var.php?id=-1%20union%20all%20select%201,2,3,4,5,6,7,8%20from%20user Y tal tabla existe, pero no puedo averiguar su contenido, he probado con users, user, username, userid, password etc y nada. La version es 4.1.22-standard A ver si alguien puede orientarme un poco, por donde deberia de ir y seguir ratro etc. PD: Que conste que no es por hacer ningun mal, es simple curiosidad. Gracias de antemano Título: Re: Cable en SQL Injection Publicado por: sirdarckcat en 12 Agosto 2008, 16:11 pm :http://pentestmonkey.net/blog/mysql-sql-injection-cheat-sheet/
Título: Re: Obtener tablas con SQL Injection (mysql 4) Publicado por: Monaco en 7 Septiembre 2008, 00:31 am para averiguar nombre la tabla: +union+all+select+1,2,table_name,4,5,6,7,8+from+information_schema.tables+where+table_schema+=+database() para averiguar columnas sabiendo el nombre de la tabla: +union+all+select+1,2,column_name,4,5,6,7,8+from+information_schema.columns+where+table_name+=+char(NOMBRE DE TABLA) Si los valores no salen a la primera tendras que ir delimitando un poco la busqueda. Espero que haya servido un poco... Saludos Título: Re: Obtener tablas con SQL Injection (mysql 4) Publicado por: tomrian en 12 Septiembre 2009, 11:38 am La base de datos information_schema aparece recién en la version 5 de MySQL. Desgraciadamente (para nosotros :P), en versiones anteriores, de la 4 para atras, no se cuenta con ninguna tabla por el estilo y se tiene que recurrir a la adivinación.
|