MSSQL jet DB

bhisorx · 12 Noviembre 2009, 21:47 PM

hola gente como estan quisiera saber como obtener nombres de tablas y columnas en MSSQL jet DB
muchas gracias

OzX · 12 Noviembre 2009, 23:53 PM

mssql jet, quiere decir ms access.
en acces es bastante parecido a las union sql injection en mysql.
tienes los order by etc.
la unica diferencia sustancial que veo , aparte de las funciones propias de mysql, es el que tu nececitas una tabla existente para poder generar la injeccion estable
por ej

tienes que obtener la cantidad campos que consulto la query original, con order by,
luego que tengas la cantidad haces
union+select+all+1,2,3,4,5.....n+from+tabla
luego vas provando el parametro tabla hasta encontrar alguno valido.

msaccess no contiene algun information schema, ni nada, es por ello que tienes que ir brutalizando cada campo y tabla.

saludos
Oz¡

nacho87 · 13 Noviembre 2009, 01:09 AM

Si te saca los errores por pantalla creo que también puedes hacerlo con el método "error based sql injecton". Echale un vistazo en google a ver si te sirve.
Saludos!

OzX · 13 Noviembre 2009, 23:09 PM

basado en errores ... tipo 'having? convert ? y esos..
no creo que funcione, porque el convert no existe en ms access (por lo q e leido, si estoy mal corregidme), estoy un 60% que en ms access no funciona la "tecnica" de obtener los valores por errores.
Saludos¡

Test Foro de elhacker.net SMF 2.1

MSSQL jet DB

bhisorx

OzX

nacho87

OzX