elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


  Mostrar Mensajes
Páginas: [1]
1  Seguridad Informática / Seguridad / Re: alguien me podria ayudar con este problemita por favor !!!! en: 13 Enero 2013, 11:01 am
Creo que no te ha preguntado nadie, pero.
Cuando reinstalas el Sistema Operativo, estás utilizando una imagen limpia o algo tipo "Total Windows Super Installer Definitive + Crack de juan de los Bosq3s" ?

Saludos.
2  Seguridad Informática / Seguridad / Auditoría Web Online y gratuita. en: 6 Febrero 2012, 14:00 pm
He encontrado esta herramienta que analiza un sito web para enviar después un informe de fallos por correo electrónico.

Por si quereis mirar :)
Puede ser de utilidad.

http://shark.securempresa.com/

Saludos!
3  Seguridad Informática / Nivel Web / Ayuda con SQL Injection en: 3 Octubre 2009, 19:02 pm
Buenos días, y gracias a todos por la ayuda :D

El caso es que haciendo una sqlinjection me surge el siguiente caso:

Código:
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'UNION'. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'ORDER'. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: Query failed in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_num_rows(): supplied argument is not a valid MS SQL-result resource in D:\Sitios Web\html\includes\db.php on line 24

El servidor tiene las magic-quotes activadas y claro, me escapa la ' del '--
he provado a hacer un +char(0x27)-- en la url, pero no funciona.

¿Alguien sabe como afrontar este problema?

MUCHÍIISIMAS GRACIAAAAAASSSS :D
4  Seguridad Informática / Nivel Web / Re: SQL Injection UNION SELECT en: 2 Septiembre 2009, 22:06 pm
Bueno, logre inyectar al final.

Encontre otra parte vulnerable. Creo que no hacia bien el UNION SELECT porque existian subconsultas anidadas.

En fin podeis cerrar este post.
5  Seguridad Informática / Nivel Web / Re: SQL Injection UNION SELECT en: 28 Agosto 2009, 22:56 pm
He seguido la guia y tal, el caso es.

 - Se que son 4 columnas.

¿porque encadene lo que encadene? UNION ALL SELECT 1,2,3,...,n me dice siempre.
Citar
The used SELECT statements have a different number of columns
6  Seguridad Informática / Nivel Web / Re: SQL Injection UNION SELECT en: 28 Agosto 2009, 18:53 pm
Esto parece que no va, mira:

Citar
php?idnoticias=-1 order by 100--
Código:
Unknown column '100' in 'order clause'

Citar
php?idnoticias= -1 order by 1--
Código:
Unknown column '1' in 'order clause'

Citar
php?idnoticias=-1 order by 10--
Código:
Unknown column '10' in 'order clause'

Ahora bien, si hago esto:

Código:
order by -1--
La página carga normalmente, como si no hubiese inyectado...

Nunca lo habia visto, ¿que puede ser?

{MAS INFO}

En otra parte del código, ha funcionado tu técnica. Tiene cuatro columnas, pero a la hora de hacer el UNION ALL SELECT queda asi:

Código:
usuario=xxxxx' union all select 1,2,3,4-- +
Código:
The used SELECT statements have a different number of columns

NOTESE EL '+' del final por esto:

Citar
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' ORDER BY fotos.ID DESC' at line 1

De todas formas. ¿Si dice Error en línea 1? Es porque esta en una línea la consulta, ¿no debería ignorarse con '--'?

A ver si saco algo en claro, buff . . .
7  Seguridad Informática / Nivel Web / Re: SQL Injection UNION SELECT en: 28 Agosto 2009, 16:33 pm
kamsky, si he hecho consultas erroneas y tal. La verdad es que no se que puede pasar.

No rula :(

Código:
Unknown column '100' in 'order clause'
8  Seguridad Informática / Nivel Web / SQL Injection UNION SELECT en: 28 Agosto 2009, 09:49 am
Buenas a todos,

He probado una inección del tipo
Código:
 ... UNION SELECT 1,2,3,4... --
Siempre me retorna el mismo msg. No coinciden las columnas.
el caso es . . . he probado desde 1 a 500 !!!
¿No creo que tenga más de 500 columnas?¿o, si . . .?

ALguna idea???

Muchas gracias por adelantado
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines