hola todos ;D
bueno hace poco me tope con un manual que explicaba lo de las inyeciones sql y pues me decidi a estudiar un poco este tema que es muy interesante :rolleyes: la cuestion es que encontre un web vulnerable inyecto el codigo logro saber el nombre de las tablas etc.... la cuestion es que me he quedado en este punto
Citarhttp://w ww.xxxxxxxxxxx.gov.co/noticias.php?id=-1+union+select+1,2,3,4,group_concat(User,0x3a,Password)+from+ user
y el resultado que me da es este
CitarTable 'BIDDTA.user' doesn't exist
no se que hacer ya he buscado por todos lados, y no encuentro info si alguno me colaborara se lo agradeceria muxo ;-) ;-)
Busca el tutorial de Sql Inyection by Xassiz, es un block de nota q explica todo bien, ya no me acuerdo casi pero fijate si se llaman realmente asi las tablas q pusiste ( User y Password) y fijate si no tienes q poner al final de la url los --
;D gracias XXX-ZERO-XXX me ayudo muxo ese tutorial :xD ya logre sacar lo que queria ;-) ;-) ;-)
no entiendo como juegas con una web de un gobierno (y sin controlar bien SQL) ... y lo peor de todo, la publicas aqui ...
Cita de: XXX-ZERO-XXX en 26 Febrero 2011, 17:34 PM
Busca el tutorial de Sql Inyection by Xassiz, es un block de nota q explica todo bien, ya no me acuerdo casi pero fijate si se llaman realmente asi las tablas q pusiste ( User y Password) y fijate si no tienes q poner al final de la url los --
Gracias por recomendarlo, pero lo hice hace tiempo y no me gusta nada personalmente xD
Enseño a "atacar" la web y explico como hacerlo, pero no explico el porqué de las cosas ni como parchear el bug.
Cuando tenga tiempo hago un buen paper en condiciones ;)
Saludos!
PD: este tema va en Nivel web (http://foro.elhacker.net/nivel_web-b83.0/).
Que haces por estos lugares xassiz? estas de escondido xD (broma)
Si, yo aprendi de ese tutorial q explicabas bien pero mira, mejor q haga eso q aunquesea ves como hacerlo manualmente a q use programas sin saber q hacen xD
Cita de: XXX-ZERO-XXX en 27 Febrero 2011, 23:20 PM
Que haces por estos lugares xassiz? estas de escondido xD (broma)
Nunca me fui, solo que estuve una temporada usando el nick "pablomi" si entras a mi perfil lo ves ;D
Cita de: XXX-ZERO-XXX en 27 Febrero 2011, 23:20 PM
Si, yo aprendi de ese tutorial q explicabas bien pero mira, mejor q haga eso q aunquesea ves como hacerlo manualmente a q use programas sin saber q hacen xD
Mejor que eso si, pero bueno, más o menos igual :xD
Fuck, nunca lo sospeche q eras vs jajaja muy buena :P