ISQL Oracle

.:UND3R:. · 6 Diciembre 2014, 16:26 PM

Hola a todos testeando la seguridad web de un cliente estoy intentando obtener el tamaño de la password de un usuario, la idea para ingresar sin password es así:

CitarSELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1' = '1'

Descifré los nombres de los campos Username y Password, intento algo más menos así:
Username='1' OR LENGTH(Password) = '7

Pero no logro nada, a ver si me guían
PD: Análisis de caja negra, no puedo solicitar datos sensibles al cliente

Shell Root · 7 Diciembre 2014, 04:42 AM

Para ser sincero -y espero que alguien me contradiga con lo que digo- pero es demasiado dificil decirle como puedes usar una iSQL, ya que si partimos principalmente de una query te podemos dar miles que deben de ejecutar correctamente, pero ya en la parte en la que la aplicación la ejecuta/desarrolla/devuelve resultados es diferente. Entiendes lo que digo?

.:UND3R:. · 7 Diciembre 2014, 16:36 PM

Cita de: Shell Root en 7 Diciembre 2014, 04:42 AM
Para ser sincero -y espero que alguien me contradiga con lo que digo- pero es demasiado dificil decirle como puedes usar una iSQL, ya que si partimos principalmente de una query te podemos dar miles que deben de ejecutar correctamente, pero ya en la parte en la que la aplicación la ejecuta/desarrolla/devuelve resultados es diferente. Entiendes lo que digo?

Entiendo perfectamente, te he enviado un MP con todo lo que he podido recolectar durante días, saludos y gracias.

Shell Root · 9 Diciembre 2014, 16:33 PM

Urgente te envie un M.P a ver si era lo que necesitabas

Test Foro de elhacker.net SMF 2.1

ISQL Oracle

.:UND3R:.

Shell Root

.:UND3R:.

Shell Root