Foro de elhacker.net

Foros Generales => Dudas Generales => Mensaje iniciado por: Mudereded401 en 1 Junio 2021, 19:10 pm



Título: Duda sobre Inyecciones SQL
Publicado por: Mudereded401 en 1 Junio 2021, 19:10 pm
  Buenas! Hace unos días, hablando con un compañero de clase (OJO, Compañero, no amigo) saca el tema sobre que si podía hacerle una tarea a cambio de una Cuenta en Netflix gratis... wtf?

  Le pregunté y tratando disimuladamente de preguntarle cómo y por qué lo hacía, entre otras cosas(Aclaro que no acepto hacer la tarea de nadie, sin importar la recompensa). Y me dijo que usaba un programa que encontró en un foro de internet que le permitía sacar cuentas de muchas páginas web que normalmente necesitarías pagar para ingresar. Luego intentó convencerme de que lo ayudara a sacar Dorcks y otras cosas más para él poder empezar las Inyecciones SQL... Claro que no... Ni si quiera se si es legal o si trae algún virus esa clase de programas.

  Entonces quiero saber,¿Realmente la gente puede sacar tan fácilmente cuentas premium de páginas web?, ¿Por qué esas inyecciones funcionan siquiera; las webs no se pueden proteger de eso?

  Hace poco me estaba picando el mosquito de la curiosidad y quería ver si realmente funcionaban, pero tengo demasiadas dudas sobre esas Inyecciones SQL que no me atrevo a intentarlo, Porque ¿y si me rastrean de alguna forma?

pd: No sabía donde meter este tema, así que lo dejo aqui, ya que no sé si realmente entra en la sección programación, dudas generales, foro libre o ingenieria inversa

 :silbar: :huh:


Título: Re: Duda sobre Inyecciones SQL
Publicado por: MinusFour en 1 Junio 2021, 19:53 pm
Las inyecciones SQL funcionan... si hay una vulnerabilidad existente. Yo creo que tu amigo está usando tarjetas de crédito robadas para crear esas cuentas. O se ha robado las cuentas.

¿Que no Netflix te da un mes de prueba también? Quizás está abusando eso.


Título: Re: Duda sobre Inyecciones SQL
Publicado por: Mudereded401 en 1 Junio 2021, 20:34 pm
Las inyecciones SQL funcionan... si hay una vulnerabilidad existente. Yo creo que tu amigo está usando tarjetas de crédito robadas para crear esas cuentas. O se ha robado las cuentas.

¿Que no Netflix te da un mes de prueba también? Quizás está abusando eso.

  Creo que es lo de las tarjetas de crédito, porque me dijo que lleva 4 meses usando la misma cuenta, y no se la han cerrado aún por falta de dinero...  Más raro me parece que él me dice cuantos meses le quedan a una cuenta, como por ejemplo, esa que él esta usando 'le quedan 2 meses más', y le dio una a otro compañero que tiene 4 meses de duración...

  Otro detalle que he notado, preguntándole a un amigo al cual le dieron una de esas cuentas, me dice que no importa que le cambies la clave a esa cuenta, el que se la dió la puede """Deshabilitar o cambiar la clave""" (La puse con tantas comillas ya que esa información es 100% de él, no tengo experiencia con eso)


Título: Re: Duda sobre Inyecciones SQL
Publicado por: MinusFour en 1 Junio 2021, 21:10 pm
  Creo que es lo de las tarjetas de crédito, porque me dijo que lleva 4 meses usando la misma cuenta, y no se la han cerrado aún por falta de dinero...  Más raro me parece que él me dice cuantos meses le quedan a una cuenta, como por ejemplo, esa que él esta usando 'le quedan 2 meses más', y le dio una a otro compañero que tiene 4 meses de duración...

  Otro detalle que he notado, preguntándole a un amigo al cual le dieron una de esas cuentas, me dice que no importa que le cambies la clave a esa cuenta, el que se la dió la puede """Deshabilitar o cambiar la clave""" (La puse con tantas comillas ya que esa información es 100% de él, no tengo experiencia con eso)

No estoy seguro de los mecanismos para recuperar la cuenta de Netflix pero te puedo apostar que no está cambiando los datos en los servidores de Netflix (porque eso sería una vulnerabilidad muy grave). Tampoco tiene acceso a la contraseña de la cuenta porque eso implicaría que Netflix guarde la contraseña en texto plano (una práctica en desuso desde hace más de 20 años).

Así que, si puede recuperar la cuenta en cualquier momento es por un mecanismo que Netflix ofrece al titular de la cuenta.


Título: Re: Duda sobre Inyecciones SQL
Publicado por: Xyzed en 2 Junio 2021, 03:19 am
Hola.

Una inyección SQL es una vulnerabilidad que se explota en los sitios webs para poder acceder a una base de datos o en su defecto obtener datos de x tabla/columna.

Claramente como menciono @MinusFour, tu compañero no está obteniendo esas cuentas de Netflix.
Si Netflix, una multinacional tan prestigiada, tiene ese tipo de vulnerabilidades, realmente estamos mal...
Quizás tu amigo utiliza bins, yo nunca me metí por esos lados porque no me llamó la atención, pero son cuentas que fueron robadas, o compradas quizás, mediante el carding.
Otra alternativa, podría ser que explote la vulnerabilidad mencionada en sitios webs (externos a Netflix, claro), que contemplen justamente bins, o, cuentas de Netflix en una base de datos (muy poco probable, pero bueno).

Saludos.


Título: Re: Duda sobre Inyecciones SQL
Publicado por: Danielㅤ en 2 Junio 2021, 15:20 pm
Hola, yo de Netflix no tengo idea, pero dando mí diminuto granito de arena, tal vez tu amigo tiene algo ya configurado, podríamos decir "predeterminado" sobre esas cuentas que hace que pueda recuperarlas por ejemplo cambiandoles la contraseña, algo como un correo de recuperación.


Saludos