Ayuda con inyeccion SQL!

Iniciado por ilicitanohack, 18 Noviembre 2007, 11:01 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

ilicitanohack

18 Noviembre 2007, 11:01 AM
veran ayer le hize un scan a una web tenia un bug lo mire y me daban estos resultados

http://www.example.com/index.php?module=subjects&func=listpages&subid=[SQL]
http://www.example.com/index.php?module=subjects&func=viewpage&pageid=[SQL]
http://www.example.com/index.php?module=subjects&func=listcat&catid=[SQL]

son inyecciones SQL pero no se como explotarlas vi algo de una inyeccion se explotaba asi:
http://www.webvulnerable.com/index.php?module=subjects&func=listpages&subid=7

pero lo prove y no paso nada por favor ayudenme con la inyeccion

gracias:

ilicitanohack

-sagitari-

#1
24 Noviembre 2007, 19:50 PM
pff... tendrás que leer bastante para saber cómo hacer inyecciones SQL.. porque si pones cosas por poner.. no sabrás el porqué del código que inyectas ni nada...

http://foro.elhacker.net/index.php/topic,98448.0.html


salu2

ilicitanohack

#2
24 Noviembre 2007, 21:33 PM
creo k tienes muxa razon GreenDeviL aora mismo me lo leo
pero en la URL k me as mandado crees k se solucionara mi problema?

-sagitari-

#3
25 Noviembre 2007, 15:32 PM
En la url que te he mandado y en muchas más que puedes encontrar te ayudarán a solventar dudas y a aprender SQL (no ha solventar de manera DIRECTA tu duda) igualmente, de manera directa no se te puede ayudar.. porque no proporcinas la URL (lógico, no está permitido exponer webs de terceros).

Citarson inyecciones SQL pero no se como explotarlas vi algo de una inyeccion se explotaba asi:
http://www.webvulnerable.com/index.php?module=subjects&func=listpages&subid=7
Así no se explota.

-

Citarpor favor ayudenme con la inyeccion
No hay una inyección predeterminada para todas las webs, cada una está programa de una manera distinta es por esto que simplemente con tu mensaje que has puesto no te podemos ayudar.

-

http://www.example.com/index.php?module=subjects&func=listcat&catid='

Prueba de poner ' o " al final después del =
a ver qué errores te salen... no sé...
ya te digo, si no sabes nada de SQL no podrás hacer nada,
saludos.

berz3k

#4
28 Noviembre 2007, 01:51 AM Ultima modificación: 28 Noviembre 2007, 01:57 AM por berz3k
1. Identifica que tipo de Injection puedes realizar,  MySQL, Postgress, Oracle, MS SQL, ecapando con caracteres.
2. Injection de union's o concatenacion sucesiva.
3. Blind Injection.
4. Ejecucion de commandos remotamente. ls , cmd.exe etc.

etc, mucha informacion "on the wild", busca SQL injection. leer pasados post antes de preguntar.

-berz3k.

Imprimir
Ir Arriba Páginas1
Acciones del Usuario