Ayuda con 2 inyecciones SQL

Iniciado por er_davids, 23 Mayo 2011, 19:28 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

er_davids

23 Mayo 2011, 19:28 PM
Buenas a todos, estoy probando un poco a ver si puedo sacar alguna inyección pero va a ser que no jajajja

Tengo 2 casos:

1º- Una query con SELECT donde el paramétro del LIKE puede ser modificado:

Código [Seleccionar]
SELECT `email` FROM `account` WHERE `username` LIKE ''' LIMIT 1He probado a comentar el resto e intentar hacer un DROP TABLE o algo así pero nada.

2º- Una query con un INSERT en el que puedo modificar los valores del insert:

Código [Seleccionar]
You have an error in your SQL syntax; check the manual that corresponds  to your MySQL server version for the right syntax to use near  'nombreUsuario','pass','email,'1','232820212')' at line 1 He conseguido cortar un campo, añadir los míos y comentar el resto de la query. Luego he añadido un DROP TABLE y no me ha devuelto error. El problema es que al no saber ningún nombre de las tablas, no sé si ha afectado o no al sistema.

Eso es todo, a ver si me podéis echar una mano

tragantras

#1
25 Mayo 2011, 01:11 AM
no puedes ejecutar "stacked queries" (+ info @ google ) en mysql

PD: entiendo que si es una inyección estás en un entorno web
PD2: no dejas la pregunta clara!
Colaboraciones:
1 2

er_davids

#2
25 Mayo 2011, 17:05 PM
Son 2 inyecciones SQL desde entorno web para 2 webs diferentes sí.

Que más quieres que te aclare xD

4rkn63l

#3
30 Mayo 2011, 22:43 PM
Pues a como te han dicho anteriormente en mysql no se pueden ejecutar Staqued queries, y con respecto a la primer consulta vulnerable que expones intenta otro tipo de comentarios como # o /*. 
Imprimir
Ir Arriba Páginas1
Acciones del Usuario