duda con inyeccion sql

kiorochi · 19 Noviembre 2013, 09:47 AM

Saludos
Estaba practicando una injeccion sql de forma educativa para poder subir una shell a un servidor en linux.
Si pude explotar la injeccion sql bajar la DB y encontre los tabla de admin pero no me dejan ingresar con esos datos, mire los privilegios del sitema y me aparace USAGE y el current user "xxxx@localhost"
al parecer no tengo los privilegios suficientes en el sistema para subir una shell, lo cual me complica las cosas ya que mi unico objetivo es lograr descargar los archivos .php alojados en ese servidor.
Que metodo debo seguir o hay alguna otra forma de llegar a mi objetivo por medio de la Vulnerabilidad sqli?

Gracias

Saberuneko · 19 Noviembre 2013, 16:52 PM

Tu problema, parece ser que es por la máquina desde la que te conectas.

Como puedes comprobar, los nombres de usuarios administrador que has encontrado son de la índole "xxxx@localhost". Esto significa que estos usuarios sólo pueden logear con los permisos de administración de forma local.

Seguramente, el usuario con el que estás entrando realmente (considerando que lo haces de forma remota), sería algo tal que "xxxx@%".

Ten en cuenta que lo que estoy comentando es una suposición rápida. Puedo estar equivocado.

Test Foro de elhacker.net SMF 2.1

duda con inyeccion sql

kiorochi

Saberuneko