duda inyeccion sql

[colcrt]

hola,
veran estaba siguiendo un tutorial sobre inyeccion sql el hecho es que consegui tal como decia el usuario y la contraseña del admin pero al logearme dice que es invalida la informacion, lo mismo realice con otros usuarios teniendo el mismo resultado (informacion erronea) eso por que pasa? puede haber una segunda base de datos invisible? si alguno me pudiera dar alguna explicacion se los agradeceria

[engel lex]

que tal si tu haces tu propio sistema y pruebas las vulnerabilidades, en lugar de atacar sistemas de otros (que a demás de ser ilegal y molesto) que no sabes como están armados y ni sabes donde puede estar el error?

[Shell Root]

Muchas veces los usuarios generales y administradores están dentro de la misma tabla, sólo diferenciados por un campo booleano (por ejemplo) donde esta activo si es admin, de lo contrario es general.

Tendrías que ver la esctructura de la tabla para ver que pasa, o puede que exista otra tabla de administradores. O como tu bien lo dices, otra base de datos, pero que si sigues investigando verás como ingresar a esta db.

[sqln00b]

@colcrt: No quiero revivir cosas viejas, pero por ahí a alguno le sirve, más si es despistado como alguien que conozco.

1) Verifica que la información no esté cifrada/ofuscada (MD5, SHA, Base64, Etc...)

2) Verifica que corresponada consulta -> base de datos. (Es decir si tu input hace una consulta a base de datos (a) y tú tienes el usuario y contraseña que se encuentra en la base (b) entonces no hay forma, excepo que los datos se encuentren en ambas)

3) Que no exista algún punto de control que te limite el acceso. Ej: Comparar la IP con X-FORWARDED-FOR y que no coincidieran.

4) Verificar los datos introducidos, muchas veces si se copia o se pega por ahí puede faltar un caracter o ir acompañada de un espacio. <- Es una estupidez, pero a mi me ha ocurrido que por ahí fallo en escribir alguna contraseña que uso todos los días... sí ya lo sé doy vergüenza ajena...