Mensajes

[' OR 1=1']

Respondo apurado porque estoy en el trabajo...

Esta línea está mal:

Código (php) [Seleccionar] Expandir

if($row = mysql_fetch_array($result)){

Debería ser:

Código (php) [Seleccionar] Expandir

while($row = mysql_fetch_array($result)){

Si alguien pusiera como user algo como ' OR 1=1' conseguiria acceso sin epecificar una contraseña (SQL Injection).

Código (php,1,5) [Seleccionar] Expandir


session_start();
$_SESSION["k_username"] = $row['usuario'];
echo 'Has sido logueado correctamente '.$_SESSION['k_username'].' <p>';
//echo '<a href="inicio.php">Index</a></p>';
header("location: inicio.php");

1.  session_start() debe usarse UNA SOLA VEZ, y debe ser la primera sentencia del script.
2. No podes usar header() si ya has mostrado algo en la pagina, es decir no podes usar un echo o printf antes de header.

Saludos

Yo descubrí una vulnerabilidad (RFI) en la web del Home Banking de un banco de acá, asi que si quisiera podria hacer phishing o carding a mi antojo, y tambien hasta colar un shell, pero la verdad que me interesa mas dominar el puto Slackaware 

Generalmente no disfruto hacer maldades, pero mas de una vez eh ingresado al ZyXEL p-600 de mi conocidos, aca en mi pequeña ciudad Speedy (Telefonica)le da ese routers a todos, y todos con la misma contraseña y con el remote-admin habilitada, asi que solo me hes cuestion de obtener IP's (con una 'imagen' generada en php que en relidad es un simple script  que guarda el ip en un bb.dd). Asi que yo a cualquiera de aca le digo "che mira esta foto" y a cada uno le paso un ID unico por GET, asi se luego (a los pocos segundos) de quien es esa IP, y no me queda ams que entrar y hacer lo que se me plasca con su router 

Pero nunca he hecho nada malo, me lo tengo reservado como posible venganza por algo en el futuro 

Saludos

imaginate empezar a dsitriuir temas a subforos ubuntu y otros...
es kilombo

La información especifica de cada distro estaría mas organizada, como podría ser eso 'un quilombo`?Obviamente no seria un sub-foro para cada distro, sino agruparlos en forma inteligente. Por ejemplo Debian, Ubuntu y todos sus derivados en uno; Red Hat, Fedora, CentOS, Mandriva en otro, open suse en otro, Slackware, Gentoo y Arch en otro. Buneo, eso ya seria demasiado, pero creo que Ubuntu mas alla de ser una distor mas, es algo diferente al resto, por muchas razones. Ademas es la mas usda, y la mas vista en new users (que por lo general son lso que mas preguntan  )

...ensima cuando existan cosas que sean iguales en todas las distros donde van ?

En el foro general de GNU/Linux..? 

Saludos

[en general]

La idea no es solo pedir un foro.

Por mi parte creo seria una ventaja para los dos partes.

Por un lado, las personas a las que no les interesa nada referido a Ubuntu, sino mas bien a GNU/Linux e (y al Soft Libre por que no) en general se evitarian leer un monton de post que seguro no les interesa leer (y hasta puede que ni responder).

Y por otro, a las personas que SI, les seria mas comodo un sub-foro dedicado a la distro mas usada del momento, y por amplia mayoria. Ya que seria as facil para un novato (tanto en GNU/Linux) como en Ubuntu en particular, como para usuarios medios/avanzados que disfruten de esta distro (y su derivados o 'clones'). Y sino pueden ver esto, que si bien no es una fuente 100% segura, muestra que Ubuntu y todos sus deribados directos (no como Ubuntu a Debian  ) juntos tienen la misma cantidad que las demas 6 o 7 distros mas usadas, y ni hablar si solo nos referimos solo a nivel desktop, donde la mayoria es aun mayor.

En ese sub foro dedicado a Ubuntu y deribados, se podria prohibir criticar infundamentadamente y sin objetividad, y asi evitar flames. Al que Ubuntu le paresca "malo" simplemente que no se pase por ahi y listo, y al que le parece bueno, decente o como quieran, se ahorra de tener que soportar flames o criticas de los 'defensores' de otras distros.

En fin, era solo una sugerencia y a la vez opinion. Si alguien no la comparte, incluso aunque le paresca ridicula lo respeto.Lo que agradeceria seria que no den respuestas estupidas sin fundamentos.

Esta respuesta:

Te la compro, pero al final del día el que hace al foro no es el staff, si no los usuarios como tu, como yo... 

Eso es lo que propongo, debatir, con respeto y con coherencia. Quizas si alguien con mas luces y mas conocimientos que yo opina a favor, podria defender mejor la idea de lo que yo la eh planteado. O puede tambien que me haga dar cuenta de por que no es algo factible. 

Saludos

Yo tengo una duda: Los users tenemos la total aprobación del staff para 'hurgar' cuanto se nos de la gana? 

Saludos

Que les parce?

Yo por mi parte creo que el foro de GNU/Linux deberia ser algo mas 'generico'..y la verdad que cansa ver tantas veces las mismas preguntas sobre Ubuntu.

Si bien en teoria es una distro mas, creo que tranquilamente podria tener su propio sub-foro, y la verdad que seria uno muy activo...y por otro lado se podria organizar mejor, con toda una serie de post-it referido a las dudas mas basicas/frecuentes sobre Ubuntu.

Si se junta a Mac OS X, y toda la linea BSD dentro del mismo sub-foro (otros unix-like supongo..), por que no darle el suyo propio a esta distro tan usada?

Entiendo que mi peticion/sugerencia es bastante carente de argumentos desde varios puntos de vista, asi que por eso me decidi a postearla en el FORO LIBRE 

Saludos

[fileupload]

Buneo, primero quiero postear este codigo:

Código (html4strict) [Seleccionar] Expandir

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head>
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
<title>ImageShack (TM) - Hosting</title>
</head>
<body>
<form action="http://ufo.imageshack.us/" method="post" enctype="multipart/form-data">
<input class="textfield" name="fileupload" size="30" type="file"><br>
<input type="submit">
</form>
</body>
</html>

Es un formuario para subir imagnes IS que puede ser usado en locla, ya lo he probado y funciona. Asi que los datos que se envian por post son los siguiente:
fileupload: es la direccion de la imgen en nuestra pc.
http://ufo.imageshack.us/: es la url a la que se envia el form meidante POST.

Asi que me puse a probar una fomra de subir imagenes mediante bash, tengo el siguiente script:

Código (bash) [Seleccionar] Expandir

#/bin/bash
#Compruebo que reciv un solo UN parametro
if [ $# != 1 ]; then
  echo "Error: debe ingresar la imagen a a subir"
  exit
fi
#Compruebo que la imagen exista
if [ ! -f $1 ]; then
  echo "Error: La imagen no existe"
  exit
fi
IMG="$(pwd)/$1" #es la url de la imagen en mi pc
curl -d "fileupload=$IMG" http://ufo.imageshack.us/ > salida.html
echo "FIN"

El problema es que en salida.html no obtengo la pagina con el link a la imagen subida, sino que vuelvo a obtener el form de subida, es decir no me esta funcionando la linea donde uso curl.

Mi pregunta es si debe usar algun parametro para indicar el enctype="multipart/form-data" en curl. O por que no me funciona?..agradeceria un poco de orientacion..

Saludos

[mysql_fetch_array()]

mysql_fetch_array() devuelve, lógicamente un array, asi que para mostrar los items tenes que hacer algo como:

Código (php) [Seleccionar] Expandir

<?php
$name = $_POST["nombre"];
$img = $_POST["imagen"];
$desc = $_POST["descripcion"];
$link = mysql_connect("localhost","root","");
mysql_select_db("inca_db", $link);
mysql_query('INSERT INTO portafolios (name_u,img_u,desc_u) VALUES ("'.$name.'","'.$img.'","'.$desc.'")', $link);
$dat = mysql_query('SELECT id_u FROM portafolios');
while ($registros = mysql_fetch_array($dat)){
    echo $registros['id_u'];
}
$total = mysql_num_rows($dat);
echo $total;
$my_error = mysql_error($link);
if(!empty($my_error)) {
 
        echo "Ha habido un error al insertar los valores. $my_error"; 
 
    } else {
 
        echo "Los datos han sido introducidos satisfactoriamente";
 
    }
?>


En este caso $dat es un objeto, no un array, la funcion que nos devulve el array es mysql_fetch_array(),y la funcion mysql_num_rows() nos devuelve el numero de registros en un objeto determinado.

Espero que seas capas que apreciar las modificaciones que le hehco a tu codigo y sacar tus propias conclusiones, de todas formas creo que tenes un lio con PHP y MYSQL, a releer un manual ya! 

Volviendo un poco al tema del post..

Creo que todos sabemos que esas normas son mas un disclaimer, mas alla de ser etico o no, todas esas reglas y normas son a modo de seguridad, sino el
brujo viviría en en los tribunales por fomentar la piratería   no seamos hipócritas, el 99.999999% de los que crackean wifi lo hacen con algun fin ascuro..lo mismo los que usan malware, los que estudian las seguridad de sistemas web, etc.. ..pero lo que haces con tu pc, y lo que decis hacer en el foro son dos cosas diferentes.

Y en difinitiva, el problema no son las perorsonas por la red rebentando sistemas, sino los diseñadores incompetentes de dichos sistemas explotables, asi lo veo yo auque perfectamente puedo no estar en lo correcto 

Saludos

[true]

Has probado eso?

Porque no deberia funcionar, es decir, por ejemplo:

Código [Seleccionar] Expandir

($iNumero>=0 and $iNumero<=99)

En este caso seria 1 (true) y asi sucesivamente, siempere sera 1(true) o 0(false), y por lo tanto siempre se ejecutara default

Saludos.

PD: Ahora no tengo Apache+PHP para comprobar esto, pero creo que es como digo..