|
Título: Hack-Web_SQLi I Publicado por: javidekai en 23 Junio 2007, 04:11 am ¿Alguien me puede echar una manita con la SQL Injection I?
He comprobado que para el User admite un maximo de 5 caracteres, y para la Password un maximo de 10. Sabiendo esto he intentado bastantes inyecciones, pero ninguna ha dado resultado: User:admin / Password:' OR ''=' User:admin / Password:' OR 1=1 User:admin / Password:' OR 1='1 ..... Se me ocurrio otra opcion, dejar la password vacia, y hacer la inyeccion en el User, pero la caja de texto del User solamente admite 5 caracteres, por lo que he enviado la consulta escribiendo la URL directamente: http://warzone.elhacker.net/sqli/sqlii.php?user=admin' /* http://warzone.elhacker.net/sqli/sqlii.php?user=admin' or 1='1 http://warzone.elhacker.net/sqli/sqlii.php?user=admin' or 1%3d'1 Tampoco asi ha funcionado... Una ayudita, por favor. Título: Hack-Web_SQLi I Publicado por: sirdarckcat en 23 Junio 2007, 04:52 am solo te puedo ayudar diciendote que puedes hacer que el campo de user y de password acepten mas caracteres.
Saludos!! Título: Hack-Web_SQLi I Publicado por: javidekai en 24 Junio 2007, 03:04 am Gracias Sirdarckcat, en mi desesperacion estaba probando inyectando codigos SQL mucho mas complejos que el que ha funcionado.
Por cierto, no he podido ver el codigo fuente en PHP, ¿habria alguna forma de haberlo conseguido? Al final de todo esto he sacado algo positivo: He leido 1 documento sobre SQL Injection muy bueno, y he aprendido algunas otras cosillas mas de SQL Injection. Por cierto, si alguien le hace falta no tiene mas que pedirmelo, aunque es muy facil de encontrar por Google. Título: Re: Hack-Web_SQLi I Publicado por: RASED_ONE en 10 Julio 2008, 00:20 am holas,
bueno se ve que no mucha gente pasa por aqui ya... ojala me respondan, e quedado un poco colgado con la pista de que se puede hacer q los textfield acepten mas caracteres :-\ poruqe por mas que pruebo cadenas como las que puso javidekai no logro obtener nada! ojala me ayuden un poco para entender mas :) saludos Título: Re: Hack-Web_SQLi I Publicado por: Azielito en 10 Julio 2008, 17:49 pm Hay que ver el error, o sea, provocar errores para que te mande a pantalla una cadena que puedas identificar para luego explotar, en realidad es muy facil xD
Título: Re: Hack-Web_SQLi I Publicado por: 7h30n3 en 8 Diciembre 2008, 03:19 am Alguien que me pueda guiar ... ?
logro ver la pagina de errores, luego intento utilizar una cadena donde se iguala el password AND password=********* (previa conversion) que me da un numero de 10 caracteres.. utilizo esa cadena para el pass... pero no pasa nada.. intente de todo creo.. no se que mas puedo hacer? esa cadena tiene algo que ver con la solucion del problema? Título: Re: Hack-Web_SQLi I Publicado por: lotux en 8 Junio 2009, 08:17 am algunos de los que la han pasado pueden tratar de volver a pasarla para ver si sigue funcionando la prueba, gracias?
Título: Re: Hack-Web_SQLi I Publicado por: Tomy_93 en 2 Diciembre 2009, 21:42 pm Sirdarckcat logre q acepte mas caracteres pero despues nose como continuar algien q la haya pasado me da una manito??
nos vemos gracias Título: Re: Hack-Web_SQLi I Publicado por: sirdarckcat en 3 Diciembre 2009, 03:09 am la prueba esta de vacaciones...
Título: Re: Hack-Web_SQLi I Publicado por: Tomy_93 en 3 Diciembre 2009, 15:14 pm :huh: :huh: :huh: :huh: :huh: :huh:
Título: Re: Hack-Web_SQLi I Publicado por: [Decoded] en 5 Diciembre 2009, 16:36 pm Gracias Sirdarckcat, en mi desesperacion estaba probando inyectando codigos SQL mucho mas complejos que el que ha funcionado. Por cierto, no he podido ver el codigo fuente en PHP, ¿habria alguna forma de haberlo conseguido? Al final de todo esto he sacado algo positivo: He leido 1 documento sobre SQL Injection muy bueno, y he aprendido algunas otras cosillas mas de SQL Injection. Por cierto, si alguien le hace falta no tiene mas que pedirmelo, aunque es muy facil de encontrar por Google. Dame tu manual de SQL Injection .. Please Título: Re: Hack-Web_SQLi I Publicado por: YST en 6 Diciembre 2009, 03:10 am la prueba esta de vacaciones... ARREGÑA ÑA PRUEBA!! :xDTítulo: Re: Hack-Web_SQLi I Publicado por: opportunity en 28 Abril 2010, 18:38 pm Ya está activa la prueba?
grace Título: Re: Hack-Web_SQLi I Publicado por: sirdarckcat en 28 Abril 2010, 19:20 pm Citar la prueba esta de vacaciones... Título: Re: Hack-Web_SQLi I Publicado por: Aura 2.0 en 2 Julio 2010, 00:23 am Llevaba un buen rato alucinando con el 'No Database Selected', me resultaba demasiado raro asi que menos mal que sucumbí a venir pronto a por pistas!
Sería demasiado pedir que hubiera una nota de aviso en la página de info de la prueba en la WarZone? Lo digo por si alguien más se encabezona con la prueba sin leer esto, para que no pierdan el tiempo. Si por algún casual se pone en marcha otra vez agradecería un aviso en este mismo thread ;) Saludos Título: Re: Hack-Web_SQLi I Publicado por: tragantras en 4 Julio 2010, 21:22 pm bleeeeeeeeee que vuelva la prueba de sus vacaciones porfavoooor! jaja
solo es esa prueba la que está de vacaciones o la otra de sql tmb? Título: Re: Hack-Web_SQLi I Publicado por: Merlow en 13 Julio 2010, 00:41 am mmm y yo como loco lanzandole peticiones que vuelva de vacaciones.. :silbar:
Título: Re: Hack-Web_SQLi I Publicado por: Tinchexyz en 20 Septiembre 2010, 04:28 am hasta cuando estara de vacaciones la prueba SQL I?
Título: Re: Hack-Web_SQLi I Publicado por: wakas en 5 Octubre 2010, 05:51 am alguien sabe si esta funcionando esta prueba??
y para el admin: deberian de poner en la lista o menu de pruebas, aparte de cuales ya pasaste, las de si estan en funcionamiento o desabilitarlas, es my humilde opinion... saludos Título: Re: Hack-Web_SQLi I Publicado por: LeGNa29A en 5 Octubre 2010, 13:51 pm @wakas: Encuentro buena la opción de Marcar las pruebas como habilitadas o deshabilitadas
Las de SQLi, no funcionaban según tengo entendido, desde hace tiempo. Estaría bien un aviso en el momento que vuelvan a funcionar ;) un saludo, Título: Re: Hack-Web_SQLi I Publicado por: wakas en 4 Noviembre 2010, 06:27 am @wakas: Encuentro buena la opción de Marcar las pruebas como habilitadas o deshabilitadas Las de SQLi, no funcionaban según tengo entendido, desde hace tiempo. Estaría bien un aviso en el momento que vuelvan a funcionar ;) un saludo, ovio que si, alguien ya se lo comunico a algun administrador o moderador ?? sinceramente, ya lei mucho de SQL injection y me gustaria probar que tanto aprendi... alguien conoce un buen tutorial o una "pagina ejemplo" para efectuar esta tecnica?? o para probarla, es mejor hacer mi propia Web? Título: Re: Hack-Web_SQLi I Publicado por: xicobcn en 13 Diciembre 2010, 02:36 am Aun esta de vacaciones la prueba?¿
|