SQL injection.

Iniciado por Uxio, 9 Febrero 2009, 14:11 PM

0 Miembros y 3 Visitantes están viendo este tema.

Azielito

Tambien veo que, aun que dices que entraste como 'root' en el error que te mando dice otra cosa :-o

Citar#1045 - Access denied for user ''@'localhost' (using password: NO)

:-o

Uxio

No Azielito, no entré como root, entré poniendo una comilla antes de root, sin poner pass ni nada ;D ;D

No tengo privilegios, veo las columnas y puedo hacer consultas al servidor

pepeluxx


Uxio

Cita de: pepeluxx en 13 Febrero 2009, 16:21 PM
http://www.milw0rm.com/video/watch.php?id=90

Muchas gracias por el vídeo, ya lo había visto, lo que pasa que eso es Despues de haber entrado, y yo aún no tengo privilegios de lectura.

La verdad es que me tiene bastante intrigado todo esto...

Si alguien quiere el enlace para probar se lo paso por privado

epunamun

pero es como obvio qeu no estas entrando como root, estas entrando como @localhost, debes de subir tus privilegios ahoa si tienes acceso de solo lectura busca una tabla de usuarios despues de tener una tabla de usuarios podras loguearte como quieras, creoq eu eso es mas facil....

salu2 nos bites,

s E t H

si tiene phpmyadmin debe ser porque esta usando mysql para algo.. no hay otra base de datos que puedas aprovechar? (como la de un csm o algo asi..)

Uxio

No sé, yo al menos no he encontado otra DB...

Lo que estoy intentando hacer es leer el archivo /phpmyadmin/config.inc.php, que es donde están las passwords, pero no soy capaz, me da siempre syntax error o "The file is too big". ¿Cuál es el comando adecuado para cargar el archivo y listarlo por la pantalla?

Uxio

Y seguís moviéndolo de un foro a otro xDDD

OzX

el load file es con ''
load_file(''); o con hexsql.

Prueba ingresando a mysql.user, para luego volver a logearte en el phpmyadmin, asi tendras algun privilegio de algo. o remotamente por si tiene mysql remoto

nmap -sSV -P0 <ip> -p 3306

Saludos¡