|
Título: MSSQL jet DB Publicado por: bhisorx en 12 Noviembre 2009, 21:47 pm hola gente como estan quisiera saber como obtener nombres de tablas y columnas en MSSQL jet DB
muchas gracias Título: Re: MSSQL jet DB Publicado por: OzX en 12 Noviembre 2009, 23:53 pm mssql jet, quiere decir ms access.
en acces es bastante parecido a las union sql injection en mysql. tienes los order by etc. la unica diferencia sustancial que veo , aparte de las funciones propias de mysql, es el que tu nececitas una tabla existente para poder generar la injeccion estable por ej tienes que obtener la cantidad campos que consulto la query original, con order by, luego que tengas la cantidad haces union+select+all+1,2,3,4,5.....n+from+tabla luego vas provando el parametro tabla hasta encontrar alguno valido. msaccess no contiene algun information schema, ni nada, es por ello que tienes que ir brutalizando cada campo y tabla. saludos Oz¡ Título: Re: MSSQL jet DB Publicado por: nacho87 en 13 Noviembre 2009, 01:09 am Si te saca los errores por pantalla creo que también puedes hacerlo con el método "error based sql injecton". Echale un vistazo en google a ver si te sirve.
Saludos! Título: Re: MSSQL jet DB Publicado por: OzX en 13 Noviembre 2009, 23:09 pm basado en errores ... tipo 'having? convert ? y esos..
no creo que funcione, porque el convert no existe en ms access (por lo q e leido, si estoy mal corregidme), estoy un 60% que en ms access no funciona la "tecnica" de obtener los valores por errores. Saludos¡ |