|
Título: duda con sql injection Publicado por: papanata en 1 Septiembre 2009, 16:32 pm Hola soy un novato con este tema, pero la cosa es que estoy intentando entrar en un servidor mediante la tipica orden de ' OR 1=1# y consigo acceder.
Accedo como administrador y alli ya puedo crearme nuevos usuarios y tal (hay opciones para ello en el menu), pero lo que me interesaria seria conseguir las contraseñas de los usuarios ya creados, pero me encuentro con el problema d que los fallos en la base de datos no se escriben, sino que aparece un mensaje de error en vez de el mensaje transcrito. Hay alguna manera de conseguir lo que quiero? alguien me puede ayudar? Título: Re: duda con sql injection Publicado por: WHK en 2 Septiembre 2009, 06:34 am si eres administrador puedes subir un archivo, una shell o ejecutar algo, hacer backups no se, de otra forma eso sería blind y podrias probar hacer la inyección sql con into outfile() o loadfile o hacer dumps.
http://foro.elhacker.net/nivel_web/gran_tutorial_sobre_inyecciones_sql_en_mysql-t247535.15.html Título: Re: duda con sql injection Publicado por: papanata en 3 Septiembre 2009, 09:46 am Solucionado muchas gracias a todos, lo que tuve que hacer es buscar otros lugares donde injectar el sql y romperme algo mas la cabeza ya que no me aparecian los errores
|