Título: Necesito ideas para sql inyection :D Publicado por: waizen en 9 Agosto 2009, 00:26 am He conseguido leer el /etc/passwd (
Entonces ahora necesito ideas para haber ahora que hago, tengo que buscar algún archivo sensible :p no puedo leer el /etc/shadow por los permisos... El httpd.conf lo he buscado y no lo encuentro :( ahora lo unico que se le ocurre es intentar buscar algún index.php por /var/ww/index.php etc. Alguna idea ;D? Título: Re: Necesito ideas para sql inyection :D Publicado por: braulio-- en 9 Agosto 2009, 01:01 am Como lo has leído, por la función load_file()?
Título: Re: Necesito ideas para sql inyection :D Publicado por: WHK en 9 Agosto 2009, 07:00 am intenta generar una query mal formada o algun erro forzado en el php para que te de un path disclosure ( ese tipico error que te dice.. warning in line xxx, etc etc) y con esa ruta te cargas el index y vas viendo donde están los datos de conexión a la mysql y con eso ya puedes intentar conectarte a su servidor y ves si el user de esa base de datos puede coincidir con su ftp etc.
Título: Re: Necesito ideas para sql inyection :D Publicado por: waizen en 9 Agosto 2009, 11:56 am imposible, tienen el PHP configurado perfecto y no saca errores :rolleyes:
Título: Re: Necesito ideas para sql inyection :D Publicado por: Darioxhcx en 10 Agosto 2009, 15:37 pm podes hacer un reverse y ver webs vulnerables y ver si podes colar shell :P
de hai vas a tener la ruta de algun index , conexion o archivo sensible podria funcionar (? xD un saludo Título: Re: Necesito ideas para sql inyection :D Publicado por: waizen en 10 Agosto 2009, 20:38 pm es servidor dedicado :p es la única web
Título: Re: Necesito ideas para sql inyection :D Publicado por: YST en 11 Agosto 2009, 06:24 am ¿y intentaste entrar al panel de admin ?
Nose si estoy dormido y no lei eso o a nadie se le ocurrio :xD Título: Re: Necesito ideas para sql inyection :D Publicado por: Darioxhcx en 11 Agosto 2009, 09:11 am jaja claro...
nunca esta de mas ir a probar con admin admin admin ' or '1'='1 :xD ftp anonymouse ? sistema operativo ? saludos Título: Re: Necesito ideas para sql inyection :D Publicado por: waizen en 11 Agosto 2009, 12:12 pm Panel de admin no tiene :(.
ahora estoy consiguiendo la lista de tablas por information schema para buscar la tabla de las sesiones (creo que tienen sesiones por mysql...) pero tardo demasiado :-( ftp tampoco tienen xD y el sistema operativo es debian actualizarán todo por ssh... Título: Re: Necesito ideas para sql inyection :D Publicado por: braulio-- en 13 Agosto 2009, 02:05 am Supongo que le harías un scan de puertos a ver que servicios tiene.
Seguro que es server dedicado? no puede ser un server casero? Título: Re: Necesito ideas para sql inyection :D Publicado por: digitalis en 13 Agosto 2009, 02:19 am Supongo que le harías un scan de puertos a ver que servicios tiene. Seguiria siendo dedicado,por lo tanto no estaria compartiendo su servidor con nadie y al ser esto así no podria hacer un reverse y ver que otras webs hay montadas y buscar alguna vulnerable,vulnerarla,y desde dentro acceder al objetivo principal.Seguro que es server dedicado? no puede ser un server casero? Puede ser dedicado y casero al mismo tiempo. Título: Re: Necesito ideas para sql inyection :D Publicado por: YST en 13 Agosto 2009, 02:42 am Supongo que le harías un scan de puertos a ver que servicios tiene. Seguro que es server dedicado? no puede ser un server casero? ¿Sabes lo que es un dedicado ? Un dedicado es un server que es solo usado para una web ;) Título: Re: Necesito ideas para sql inyection :D Publicado por: braulio-- en 13 Agosto 2009, 16:00 pm Vale, me he equivocado.
Entonces no tienen porque actualizar por ssh porque pueden hacerlo estando delante del ordenador. Título: Re: Necesito ideas para sql inyection :D Publicado por: digitalis en 14 Agosto 2009, 01:49 am Vale, me he equivocado. No tiene porque tener pantalla,y porque te empeñas en que sea casero o en caso de serlo tengan acceso directo a el.Entonces no tienen porque actualizar por ssh porque pueden hacerlo estando delante del ordenador. Título: Re: Necesito ideas para sql inyection :D Publicado por: braulio-- en 14 Agosto 2009, 02:06 am Vale, me he equivocado. No tiene porque tener pantalla,y porque te empeñas en que sea casero o en caso de serlo tengan acceso directo a el.Entonces no tienen porque actualizar por ssh porque pueden hacerlo estando delante del ordenador. Solo doy una posibilidad. |