Sql injection con filtro.

Iniciado por pilotcast, 25 Mayo 2010, 04:42 AM

0 Miembros y 1 Visitante están viendo este tema.

pilotcast

Pues bien este es mi problema hay una web que estoy intentando inyectar es vulnerable porque cuando pogo la comilla me da error:

Warning: highlight_file(show-source.php\') [function.highlight-file]: failed to open stream: No such file or directory in /var/www/sistema/libs/jpgraph/php5/src/Examples/show-source.php  on line 1

Warning: highlight_file() [function.highlight-file]: Failed opening 'show-source.php\'' for highlighting in /var/www/sistema/libs/jpgraph/php5/src/Examples/show-source.php on line 1


hay alguna forma de hacer bypass al filtro??? intente hacer bypass asi: "and 1=1 order by 1-- -" y nada y intente hacer lfi pero no puedo...

lo intente asi: www.example.com/libs/jpgraph/php5/src/Examples/show-source.php?target=../../../../../../../../../etc/passwd


y me da el error:


Warning: highlight_file(passwd) [function.highlight-file]: failed to open stream: No such file or directory in /var/www/sistema/libs/jpgraph/php5/src/Examples/show-source.php  on line 1

Warning: highlight_file() [function.highlight-file]: Failed opening 'passwd' for highlighting in /var/www/sistema/libs/jpgraph/php5/src/Examples/show-source.php on line 1


Me interesa mucho esta pagina ya que tengo que cambiar algunos datos y es 100% necesario... WHK, sirdarckcat se que saben mucho de esto, solicito su ayuda no soy lammer, se bastante de Sql injetion pero no encuentro mucha informacion sobre esto... =S



Desde ya gracias.

Shell Root

Cita de: pilotcast en 25 Mayo 2010, 04:42 AM..., solicito su ayuda no soy lammer, se bastante de Sql injetion pero no encuentro mucha informacion sobre esto... =S
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

pilotcast

#2
jajajaja 0k0k me vi lammer pero bueee ya se rootear  :D jajaja bn no se mucho pero se lo suficiente para completar una inyeccion... :)  bn perdonen si me escuche lammer :)

aparte no ayo informacion sobre bypass filtro xD no sobre las inyecciones :D

~ Yoya ~

porque mejor aprendes  a interpretar las respuesta de las consultas, así sabrás lo que haces... ::)
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

pilotcast

mmm esa es una buena idea pero sucede algo... de donde diablos voy a encontrar esa informacion???  :-\  bn si no me desean ayudar solo diganlo... :)  ;)

KaozC9

a lo que se refieren es que no es una vulnerabilidad de SQLi y cuando dice
Cita de: ~ Yoya ~ en 25 Mayo 2010, 18:09 PM
porque mejor aprendes  a interpretar las respuesta de las consultas, así sabrás lo que haces... ::)
se refiere a esto
Warning: highlight_file(show-source.php\') [function.highlight-file]: failed to open stream: No such file or directory in /var/www/sistema/libs/jpgraph/php5/src/Examples/show-source.php  on line 1

Eso te d¡ce mucho, no es SQLi, lo unico que hace es mostrar el source de un archivo con la funcion highlight_file de php

Shell Root

Cita de: KaozC9 en  4 Junio 2010, 01:14 AM
a lo que se refieren es que no es una vulnerabilidad de SQLi y cuando dice
Cita de: ~ Yoya ~ en 25 Mayo 2010, 18:09 PM
porque mejor aprendes  a interpretar las respuesta de las consultas, así sabrás lo que haces... ::)
se refiere a esto
Warning: highlight_file(show-source.php\') [function.highlight-file]: failed to open stream: No such file or directory in /var/www/sistema/libs/jpgraph/php5/src/Examples/show-source.php  on line 1

Eso te d¡ce mucho, no es SQLi, lo unico que hace es mostrar el source de un archivo con la funcion highlight_file de php
WTF! De que estas hablando?
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

KaozC9

digo que no es vulnerable a SQL inyention x'd el archivo deberia ser algo asi

highlight_file($_GET['target']);

bue, no tan simple, pero es la teoria

Shell Root

Ahh ok ok, no había entendido. Lo que dijo ~ Yoya ~ , es de que intentase analizar como es la iSQL.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

WHK

si con una comilla te apareció esto:
CitarWarning: highlight_file(show-source.php\') [function.highlight-file]: failed to open stream: No such file or directory in /var/www/sistema/libs/jpgraph/php5/src/Examples/show-source.php  on line 1

significa que tienes un caso de LFI, de eso si hay mas información por ahi.

sabes codear en php? si no entiendes mucho el lenguaje php entonces andarás toda tu vida preguntandole a los demás como se hacen las cosas.

http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html