|
Título: Hola, Necesito documentacion. Publicado por: Data Seek3r en 24 Abril 2009, 07:22 am Buenas, voy a ir al punto si ningun chiste de mal gusto, o broma.
Necesito documentacion, sobre Inyecciones: En Bases de Datos ACCESS Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e14' En base de datos ORACLE, y en JET (Que no se bien lo que es). Si alguien me podria acercar algunos papers, qe expliquen bien las inyecciones , pero que no sean demasiado largos se los agradeceria. Saluditos, data. EDIT: Aca adjunto el error de JET Código: Microsoft JET Database Engine error '80040e14' Título: Re: Hola, Necesito documentacion. Publicado por: Data Seek3r en 25 Abril 2009, 06:46 am Zarpado, como contestan es increible, por favor no se peleen por responderme los escuchare a todos, !
Título: Re: Hola, Necesito documentacion. Publicado por: WHK en 25 Abril 2009, 07:18 am Esa base de datos no está en oracle, eso es un "Access". Había una web con cheats de Sql Inyección con este tipo de gestión pero está parqueado y ya no existe.
Lo máximo que una ves pude lograr desde ese tipo de inyecciones fue un file disclosure ya que podías saber la existencia de archivos y cargarlos pero nada mas. Además quien va a usar access como base de datos :huh: /DiputadosXIX/gsocial_showdata.asp?id=1%20union%20select%201%20from%20x.j Citar Microsoft OLE DB Provider for ODBC Drivers error '80004005' Vas cambiando la letra x por el archivo que buscas si existe y eso es lo mucho que podría sacar de eso.[Microsoft][ODBC Microsoft Access Driver] Could not find file 'c:\windows\system32\inetsrv\x.mdb'. /DiputadosXIX/gsocial_showdata.asp, line 54 También con "order by xx" puedes saber que contiene 11 columnas. /DiputadosXIX/gsocial_showdata.asp?id=-1 order by 11 -> No hay error /DiputadosXIX/gsocial_showdata.asp?id=-1 order by 12 -> Error Sobre eso de Jet: Citar This article is about JET Red used in Microsoft Access. Debe ser una especie de sistema que se acopla a la misma base de datos access para tener mayor funcionalidad peor al final la inyección es la misma ya que la base de datos sigue siendo access.http://en.wikipedia.org/wiki/Microsoft_Jet_Database_Engine Título: Re: Hola, Necesito documentacion. Publicado por: Data Seek3r en 26 Abril 2009, 21:11 pm Gracias WHK, al fin alguien respondio.
Esa base de datos no está en oracle, eso es un "Access". Ya lo se pero yo queria tambien doc sobre dbs en oracle. En estos dias vi muchisimos sitios usando ACCESS como base de datos, yo uso el Pangolin para pentestear, aunque me gusta mucho que haga todo por mi, necesito saber como funcionan las inyexiones en oracle y acesss. (Un turco ayer me explico lo de access, y creo que la inyeccion es casi igual que MySQL, pero no tiene Schema, por lo tanto hay que brutear tablas y columnas para poder extraer la data.) De cualquier manera, gracias WHK, saludos desde Arg. |