Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: VCore en 15 Julio 2005, 05:22 am



Título: SQL:Esta filtrando having o que !!!
Publicado por: VCore en 15 Julio 2005, 05:22 am
hola al injectar 'having 1=1-- por medio de netcat me encuentro con el siguiente error
Citar
Error de sintaxis falta operador en la expresion de consulta ‘1=1--’ and clave = ‘vcore’’

esto lo hago para comenzar a sacar los campos de la tabla encodeado seria
Código:
%27%20having%201%3D1--
tambien probe reemplazando %20 por + aunque no creo que tenga mucho que ver  ::)
una cosa mas que no estoy seguro es que al injectar por netcat tengo q cambiar el content-length que no lo manejo muy bien  :(


Título: Re: SQL:Esta filtrando having o que !!!
Publicado por: Falso Positivo en 22 Julio 2005, 20:05 pm
Buenas :P, primero que nada nc es muy util en muchas cosas, pero para lo que quieres hacer te recomiendo putty, ya veras porque te digo chequeando las opciones que tiene que son muy buenas y flexibles.
No creo que este filtrando HAVING, porque si lo haria no se podria realizar muchas operaciones basicas en la BD del sql, asi que eso no es, seguramente es una proteccion de la comilla simple " ' " eso ya lo habia vistopro eso te digo:P.
Luego darle el XSS en formato normal y en hexa da lo mismo,la mayoria de las veces, aunque es mejor hacerlo con TODA la sentencia en hexa ya que a veces hay filtrado de determinados comandos en  la sql.

Salu2.

CORRECION: no es 'hexa' es ascii :P bueno cualquiera se equivoca :P.



Título: Re: SQL:Esta filtrando having o que !!!
Publicado por: VCore en 23 Julio 2005, 01:33 am
Gracias por tu respuesta  ::) ahora tengo q aprender a usar el putty.  ;D

EDIT: no encuentro un manual  :(