Inyeccion SQL

BioT · 13 Marzo 2011, 15:56 PM

Hola a todos,

Estaba probando en una pagina web, a ver si se podia inyectar sql, porque por casualidad meti una cadena que me dio un error en la base de datos del sql, al probar con nombre de usuario: ''or'=' y contraseña ''or'=', me entra a la base de datos del usuario numero "1". No me se los nombres de usuario de las personas porque podria entrar metiendo el nombre de usuario, y en contraseña ''='or' para que me diera un true, la cosa es que investigando dentro de la pagina web, en un formulario, encontre la lista de administradores en el codigo fuente, para mandarse mensajes entre ellos, y vi esto:

<option value="167">Mxx, Rxxx Vxxx</option>
<option value="1">Rxxx, Rxxx Gxxxx</option>
<option value="207">Mxxx, Fxxx Oxxx</option>
<option value="168">Mxxx, Rxxx Vxxx</option>

y efectivamente me di cuenta, que el usuario numero 1 era con el que me logueaba al meter en nombre de usuario y contraseña ''or'='

lo que quiero es loguearme como el usuario por ejemplo "167" he probado con muchas inyecciones pero nada.. alguien me ayuda?

BioT · 14 Marzo 2011, 20:58 PM

no me creo que nadie me pueda ayudar! ninguna idea?

N30h} · 20 Marzo 2011, 13:59 PM

A ver, tio yo no puedo ayudarte ya que debes dar más información...
Y yo lo siento mucho pero es que no tengo mucha idea sobre Inyección SQL.
Y menos con tampoca información.

Abakus · 23 Marzo 2011, 17:24 PM

Porque no pruebas a poner AND ID="167"

Test Foro de elhacker.net SMF 2.1

Inyeccion SQL

BioT

BioT

N30h}

Abakus