elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


  Mostrar Mensajes
Páginas: 1 ... 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 [28] 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43
271  Seguridad Informática / Nivel Web / Re: SQL injection. en: 21 Febrero 2009, 12:37 pm
No sé, yo al menos no he encontado otra DB...

Lo que estoy intentando hacer es leer el archivo /phpmyadmin/config.inc.php, que es donde están las passwords, pero no soy capaz, me da siempre syntax error o "The file is too big". ¿Cuál es el comando adecuado para cargar el archivo y listarlo por la pantalla?
272  Seguridad Informática / Nivel Web / Re: SQL injection. en: 13 Febrero 2009, 20:59 pm

Muchas gracias por el vídeo, ya lo había visto, lo que pasa que eso es Despues de haber entrado, y yo aún no tengo privilegios de lectura.

La verdad es que me tiene bastante intrigado todo esto...

Si alguien quiere el enlace para probar se lo paso por privado
273  Seguridad Informática / Nivel Web / Re: SQL injection. en: 10 Febrero 2009, 23:46 pm
No Azielito, no entré como root, entré poniendo una comilla antes de root, sin poner pass ni nada ;D ;D

No tengo privilegios, veo las columnas y puedo hacer consultas al servidor
274  Seguridad Informática / Nivel Web / Re: SQL injection. en: 10 Febrero 2009, 21:03 pm
Muchas gracias por todo Azielito. Algunas de las cosas que me pones ya las había probado, probaré ahora lo queno había probado.

Por cierto, debería haberlo dicho antes xD

Código:
Versión del servidor SQL: 5.0.51a-3ubuntu5.4
phpMyAdmin 2.11.3
275  Seguridad Informática / Nivel Web / Re: SQL injection. en: 10 Febrero 2009, 12:14 pm
Gracias por la respuesta, pero el problema es que no puedo crear tablas, sólo puedo leer :P

Saludos
276  Seguridad Informática / Nivel Web / Re: SQL injection. en: 9 Febrero 2009, 23:08 pm
Muchas gracias por vuestros comentarios.

He intentado lo de INTO OUTEFILE, he recibido:

Código:
#1045 - Access denied for user ''@'localhost' (using password: NO)

Citar
Otra cosa interesante es utilizar load_file(), para poder ver archivos de configuración como config.php y porque no /etc/passwd para enumerar usuarios.

Eso ya lo había intentado, pero obtengo

Código:
load_file(/etc/passwd);
(Tambien probé en forma hexadecimal)
Código:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'load_file(index.php)' at line 1

Gracias por todo
277  Seguridad Informática / Nivel Web / Re: SQL injection. en: 9 Febrero 2009, 20:42 pm
creo recordar que phpMyadmin tenia algun bug de RFI o RCE :¬¬


Tambien podrias hacer una shell con ese phpMyadmin :D

Muchas gracias por la respuesta Azielito, el problema es que aunque entro al panel sólo tengo privilegios de lectura, no soy capaz de subir archivos.

Es bastante raro esto, porque entro al panel de administración de myphpadmin, donde puedo realizar consultas SQL y veo las diferentes columnas. Además me extraña que no tenga un apartado users donde guarda los usuarios y las pass...

uf, qué raro
278  Seguridad Informática / Nivel Web / SQL injection. en: 9 Febrero 2009, 14:11 pm
Hice una apuesta con un colega y su server, y con nikto2 he llegado a ver que tiene la carpeta phpmyadmin.

He entrado a la carpeta, probado con SQL básico de todo, y poniendo simplemente 'root y dejando la contraseña en blanco he entrado al panel de Control de SQL, donde veo esto:




Tengo privilegios de lectura, pero no de escritura. No encuentro ninguna columna con usuarios ni nada.

El único usuario que hay es root, pero despues de estar un buen rato probando no logro sacar ninguna información en claro.

¿Alguien sabe por dónde puedo tirar?

Muchas gracias
279  Seguridad Informática / Materiales y equipos / Re: Nuevo juguete para mi hermano en: 18 Enero 2009, 21:15 pm
Hpmbre, yo creo que no lo vas a encontrar en una tienda normal, ya que es lo mismo que si vas a la sede de Microsoft y preguntas: "¿Me podrían decir como puedo hackear en Windows?"

No tiene nada que ver una cosa con la otra. Tú puedes comprar un ordenador y usarlo para hackear cosas, pero está claro que no se lo vas a decir al vendedor. Y de hecho, hay amigos míos que tienen hecho la prueba, en plan "qué tarjeta es buena para piratear wifi?", y si el tío se enrolla te ayuda
280  Seguridad Informática / Materiales y equipos / Re: Nuevo juguete para mi hermano en: 18 Enero 2009, 21:03 pm
Había una lista de tarjetas, no sé por dónde anda xD
Páginas: 1 ... 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 [28] 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines