Hola a todos, logré realizar una inyección SQL a una pagina web, pude obtener una serie de nombres de usuario con sus respectivas contraseñas (sin cifrar) ... Más tarde encontré el panel de administración e intenté acceder con cada uno de los usuarios y contraseñas, pero ninguno me concede el acceso... a que se debe esto? ... (cabe mencionar que ya utilice algunas herramientas de crawler para ver todos los links que tiene la pagina web, Admin Panel Finder y solo me da el mismo path "mipagina.com/admin" , así que no hay otro panel de administración i tampoco intranet) ... esto me lleva a preguntarme: ¿Acaso no todas las bases de datos son verídicas? ...
Cita de: thefactumest en 29 Diciembre 2015, 08:47 AM
Hola a todos, logré realizar una inyección SQL a una pagina web, pude obtener una serie de nombres de usuario con sus respectivas contraseñas (sin cifrar) ... Más tarde encontré el panel de administración e intenté acceder con cada uno de los usuarios y contraseñas, pero ninguno me concede el acceso... a que se debe esto? ... (cabe mencionar que ya utilice algunas herramientas de crawler para ver todos los links que tiene la pagina web, Admin Panel Finder y solo me da el mismo path "mipagina.com/admin" , así que no hay otro panel de administración i tampoco intranet) ... esto me lleva a preguntarme: ¿Acaso no todas las bases de datos son verídicas? ...
Debes ver donde comprueba la pagina las credenciales. A lo mejor has conseguido unas credenciales de otro directorio donde la pagina no comprueba. Me explico...
Si tenemos la DDBB "miweb" y unas cuantas tablas dentro de ésta donde hay dos llamadas "usuarios" y "contraseñas". Suponemos que ahí están los usuarios y contraseñas. Pero tal vez la pagina comprueba las contraseñas en otra tabla llamada "passw", y los usuarios en otra llamada "usrs".
Para saber donde lo comprueba solo debes de ir a la pagina donde te autenticas y ver el codigo de los campos.