[RETO] Sql injection

Iniciado por cur3n79, 29 Enero 2011, 19:07 PM

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

cur3n79

29 Enero 2011, 19:07 PM Ultima modificación: 12 Febrero 2011, 19:09 PM por Novlucker
En la pagina http://www.laweb.com/video_details.php?id=43 pide un código para poder ver el video completo, he intentado hacer un ataque por sql injection y conseguido que falle y me muestre información de la select que ejecuta pero no he conseguido ver el video.

El error que consigo que me usando 'or 1=1 -- es:

Fatal error: mysql error: [1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '43'' at line 1] in EXECUTE("SELECT * FROM video_files as vf LEFT JOIN access_code_video as acv ON vf.file_id=acv.video_id where acv.access_code ='' or 1=1 --' and acv.video_id='43'") in /var/www/vhosts/mywaxing.com/httpdocs/application/components/NADOdb/NADOdb.php on line 706

Alguien me puede echar una mano?

Shell Root

#1
5 Febrero 2011, 18:28 PM
Es una iSQL Blind. Te dejo una pista...

Base de datos: mywaxing_site
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

cur3n79

#2
12 Febrero 2011, 11:02 AM
Muchas gracias por la respuesta pero sigo en las mismas, he buscado informacion sobre iSql Blind y no he encontrado nada, solo de "Sql Blind" que viene a ser lo mismo que el Sql injection no?

No se como has conseguido saber el nombre de la base de datos ni como eso me puede ayudar, ya que el único código que puedo insertar es en una select.

Dame mas pistas por favor  :)

Muchas gracias

xassiz~

#3
12 Febrero 2011, 14:24 PM
iSql Blind = Inyección SQL a ciegas

Da igual cómo lo busques, el caso es que es un tipo de ataque en el que como no arroja datos tienes que hacer comparaciones, los resultados solamente serán booleanos.


Saludos!
Imprimir
Ir Arriba Páginas1
Acciones del Usuario