duda con inyeccion sql

mitsumy · 11 Noviembre 2009, 18:06 PM

buenas,
me ecuentro practicando inyecciones sql en la siguiente pagina http://xxxxxx paragina creada para este fin.

me encuentro en el ejercicio 3 en el que hay que alterar las estadisticas, pero no logro hacer que me funcione la inyeccion, tengo los campos el nombre de la tabla pero no funciona.

esta es la inyeccion que estoy utilizando.

Código [Seleccionar]

=1+UPDATE+puntuation+SET+name+=+mitsumy,+points+=+999999+WHERE+id=1

el servidor me devuelve que hay un error y que consulte el manual de sql.

que estoy haciendo mal...
ayuda pliss...

WHK · 11 Noviembre 2009, 22:36 PM

Hola, puedes leer un poco sobre inyecciones básicas sobre este tipo de ataques.
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_081109-t244090.0.html

Si aun asi tienes alguna duda nos consultas

OzX · 12 Noviembre 2009, 01:28 AM

si es mysql no podes generar stacked querys.
si es mssql , oracle, entre otros si podes.
Saludos¡

Castg! · 12 Noviembre 2009, 02:09 AM

taller de sql de hacker zero, asi aprendi sqli. el ejercicio 3 no termino funcionando, lo aclaro en otro foro

mitsumy · 12 Noviembre 2009, 03:33 AM

Gracias por las respuestas.....

Pense que se podia hacer un Update..pero por lo visto no.

OzX · 13 Noviembre 2009, 23:05 PM

Cita de: mitsumy en 12 Noviembre 2009, 03:33 AM
Gracias por las respuestas.....

Pense que se podia hacer un Update..pero por lo visto no.

Si se puede pero depende de la base de datos.
en Mysql no se puede, en mssql y en otros sep.
Saludos¡

Test Foro de elhacker.net SMF 2.1

duda con inyeccion sql

mitsumy

WHK

OzX

Castg!

mitsumy

OzX