Mensajes

Un solo detalle... si lo que buscas es ver la primera fila de la tabla, acordate que se empiezan a contar desde CERO. Asi, si queres tomar los primeros datos de la tabla tenes que hacer: LIMIT 0,1

Otra cosa mas, hay espacios donde se logra la inyección y queres hacerla rapida y usar GROUP_CONCAT() pero la cantidad de texto a mostrar esta delimitada, asi qe no podes ver toda la tabla. Ahi LIMIT viene al pelo. El primer parámetro de este operador indica de donde empieza a mostrar, y el segundo cuantos elementos querés que muestre. Así que con, por ejemplo:
GROUP_CONCAT(usuario,0x3a,pass) FROM usuarios LIMIT 0,10 -- Mostras las primeras 10 filas
GROUP_CONCAT(usuario,0x3a,pass) FROM usuarios LIMIT 100,50 -- Mostrás las filas desde la 100 hasta la 149

En fin, saber un poco a profundidad la sintaxis de SQL es muy útil para muchas cosas.

Podes decirnos que otros métodos para desactivar Safe_Mode conocés ?

Te funciona ? No tengo ahora tiempo para probarlo

La manera de lidiar en estos casos es utilizar el resto de la sentencia como parte de tu inyeccion, en este caso en Access un SELECT debe si o si contener una tabla, busca una tabla por adivinación y luego cuando inyectas pones una condición que incluya la %.
Te tiro un ejemplo:

Código [Seleccionar] Expandir

' UNION SELECT TOP 1 1,2,3,4 from tabla_que_encontraste where '1' LIKE '1

-Aah y por cierto, aca te dejo algunas páginas que hablan de este tipo de inyecciones:
http://www.xuexi123.net/chm/MS%20Access%20SQL%20Injection%20Cheat%20Sheet.htm
http://seclists.org/pen-test/2003/May/0074.html

los caracteres "--" en oracle son para hacer comentarios no para cerrar consultas...

En Oracle, al igual que en MSSQL y MySQL, se usa para empezar los comentarios en línea el prefijo --

Es exactamente lo que puse... es una manera de decir que cierra las consultas para que ignore el resto de la sentencia y asi inyectar tranquilamente por medio de UNION o stacking de sentencias, por ejemplo.

me queda claro que la base de datos es vulnerable, pero cuando intento terminar la consulta, me arroja errores como estos

¿De que forma intentás cerrar la consulta?
¿Probaste cerrar con comentarios usando los caractéres --? En Oracle, al igual que en MSSQL y MySQL, se usa para empezar los comentarios en línea el prefijo --

Si conseguiste los datos para el login del administrador, busca algún formulario donde requiera de usuario y contraseña y proba si no es el acceso para el panel de administración de la pagina.
Para buscarlo podes desde usar web crawlers hasta con Google hacking, buscando palabras clave como "usuario", "contraseña", "clave", "login", "admin", "intranet", etc, etc. o buscando en los htmls por cajas de texto del tipo password, o incluso adivinando.
En todo caso, una vez dentro busca opciones para la subida de archivos o nuevas vulnerabilidades entre las paginas que componen ese sitio.

vhalde, en tu caso tenes una llamada a un store procedure. Rellena bien los parámetros que te solicita e intenta hacer un stack de sentencias para realizar la inyección.

La base de datos information_schema aparece recién en la version 5 de MySQL. Desgraciadamente (para nosotros ), en versiones anteriores, de la 4 para atras, no se cuenta con ninguna tabla por el estilo y se tiene que recurrir a la adivinación.

Es bastante interesante el caso con el que te tropezaste (?. Por que la query que realiza la aplicación la hace con XML (de ahi los tags que ves ahi). Investiga un poco del tema y vas a poder inyectarlo sin problema.