Hola, Necesito documentacion.

Iniciado por Data Seek3r, 24 Abril 2009, 07:22 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Data Seek3r

24 Abril 2009, 07:22 AM Ultima modificación: 24 Abril 2009, 07:55 AM por Data Seek3r
Buenas, voy a ir al punto si ningun chiste de mal gusto, o broma.
Necesito documentacion, sobre Inyecciones:

En Bases de Datos ACCESS

Código [Seleccionar]

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query epresionje 'ID=''.

/DiputadosXIX/gsocial_showdata.asp, line 54

En base de datos ORACLE, y en JET (Que no se bien lo que es).

Si alguien me podria acercar algunos papers, qe expliquen bien las inyecciones , pero que no sean demasiado largos se los agradeceria.

Saluditos, data.

EDIT: Aca adjunto el error de JET
Código [Seleccionar]
Microsoft JET Database Engine error '80040e14'

Syntax error (missing operator) in query expression 'opiniones.id='.

/opinion.asp, line 176

Data Seek3r

#1
25 Abril 2009, 06:46 AM
Zarpado, como contestan es increible, por favor no se peleen por responderme los escuchare a todos, !

WHK

#2
25 Abril 2009, 07:18 AM Ultima modificación: 25 Abril 2009, 07:22 AM por WHK
Esa base de datos no está en oracle, eso es un "Access". Había una web con cheats de Sql Inyección con este tipo de gestión pero está parqueado y ya no existe.

Lo máximo que una ves pude lograr desde ese tipo de inyecciones fue un file disclosure ya que podías saber la existencia de archivos y cargarlos pero nada mas.

Además quien va a usar access como base de datos  :huh:

/DiputadosXIX/gsocial_showdata.asp?id=1%20union%20select%201%20from%20x.j
CitarMicrosoft OLE DB Provider for ODBC Drivers error '80004005'

[Microsoft][ODBC Microsoft Access Driver] Could not find file 'c:\windows\system32\inetsrv\x.mdb'.

/DiputadosXIX/gsocial_showdata.asp, line 54
Vas cambiando la letra x por el archivo que buscas si existe y eso es lo mucho que podría sacar de eso.
También con "order by xx" puedes saber que contiene 11 columnas.
/DiputadosXIX/gsocial_showdata.asp?id=-1 order by 11 -> No hay error
/DiputadosXIX/gsocial_showdata.asp?id=-1 order by 12 -> Error

Sobre eso de Jet:
CitarThis article is about JET Red used in Microsoft Access.
Debe ser una especie de sistema que se acopla a la misma base de datos access para tener mayor funcionalidad peor al final la inyección es la misma ya que la base de datos sigue siendo access.
http://en.wikipedia.org/wiki/Microsoft_Jet_Database_Engine

Data Seek3r

#3
26 Abril 2009, 21:11 PM
Gracias WHK, al fin alguien respondio.
Cita de: WHK en 25 Abril 2009, 07:18 AM
Esa base de datos no está en oracle, eso es un "Access".
Ya lo se pero yo queria tambien doc sobre dbs en oracle. En estos dias vi muchisimos sitios usando ACCESS como base de datos, yo uso el Pangolin para pentestear, aunque me gusta mucho que haga todo por mi, necesito saber como funcionan las inyexiones en oracle y acesss. (Un turco ayer me explico lo de access, y creo que la inyeccion es casi igual que MySQL, pero no tiene Schema, por lo tanto hay que brutear tablas y columnas para poder extraer la data.) De cualquier manera, gracias WHK, saludos desde Arg.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario