Foro de elhacker.net

Seguridad Informática => Hacking => Mensaje iniciado por: thedevilini en 29 Diciembre 2015, 08:47 am


Título: ¿No todas las contraseñas de una base de datos son las correctas?
Publicado por: thedevilini en 29 Diciembre 2015, 08:47 am
Hola a todos, logré realizar una inyección SQL a una pagina web, pude obtener una serie de nombres de usuario con sus respectivas contraseñas (sin cifrar) ... Más tarde encontré el panel de administración e intenté acceder con cada uno de los usuarios y contraseñas, pero ninguno me concede el acceso... a que se debe esto? ... (cabe mencionar que ya utilice algunas herramientas de crawler para ver todos los links que tiene la pagina web, Admin Panel Finder y solo me da el mismo path "mipagina.com/admin" , así que no hay otro panel de administración i tampoco intranet) ...  esto me lleva a preguntarme:  ¿Acaso no todas las bases de datos son verídicas? ...

Título: Re: ¿No todas las contraseñas de una base de datos son las correctas?
Publicado por: mester en 2 Enero 2016, 18:45 pm
Cita de: thefactumest en 29 Diciembre 2015, 08:47 am
Hola a todos, logré realizar una inyección SQL a una pagina web, pude obtener una serie de nombres de usuario con sus respectivas contraseñas (sin cifrar) ... Más tarde encontré el panel de administración e intenté acceder con cada uno de los usuarios y contraseñas, pero ninguno me concede el acceso... a que se debe esto? ... (cabe mencionar que ya utilice algunas herramientas de crawler para ver todos los links que tiene la pagina web, Admin Panel Finder y solo me da el mismo path "mipagina.com/admin" , así que no hay otro panel de administración i tampoco intranet) ...  esto me lleva a preguntarme:  ¿Acaso no todas las bases de datos son verídicas? ...

Debes ver donde comprueba la pagina las credenciales. A lo mejor has conseguido unas credenciales de otro directorio donde la pagina no comprueba. Me explico...
Si tenemos la DDBB "miweb" y unas cuantas tablas dentro de ésta donde hay dos llamadas "usuarios" y "contraseñas". Suponemos que ahí están los usuarios y contraseñas. Pero tal vez la pagina comprueba las contraseñas en otra tabla llamada "passw", y los usuarios en otra llamada "usrs".
Para saber donde lo comprueba solo debes de ir a la pagina donde te autenticas y ver el codigo de los campos.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines