Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - noukeys

Páginas1
#1
Seguridad / Re: alguien me podria ayudar con este problemita por favor !!!!
13 Enero 2013, 11:01 AM
Creo que no te ha preguntado nadie, pero.
Cuando reinstalas el Sistema Operativo, estás utilizando una imagen limpia o algo tipo "Total Windows Super Installer Definitive + Crack de juan de los Bosq3s" ?

Saludos.
#2
Seguridad / Auditoría Web Online y gratuita.
6 Febrero 2012, 14:00 PM
He encontrado esta herramienta que analiza un sito web para enviar después un informe de fallos por correo electrónico.

Por si quereis mirar :)
Puede ser de utilidad.

http://shark.securempresa.com/

Saludos!
#3
Nivel Web / Ayuda con SQL Injection
3 Octubre 2009, 19:02 PM
Buenos días, y gracias a todos por la ayuda :D

El caso es que haciendo una sqlinjection me surge el siguiente caso:

Código [Seleccionar]

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'UNION'. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '('. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'ORDER'. (severity 15) in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_query() [function.mssql-query]: Query failed in D:\Sitios Web\html\includes\db.php on line 23

Warning: mssql_num_rows(): supplied argument is not a valid MS SQL-result resource in D:\Sitios Web\html\includes\db.php on line 24


El servidor tiene las magic-quotes activadas y claro, me escapa la ' del '--
he provado a hacer un +char(0x27)-- en la url, pero no funciona.

¿Alguien sabe como afrontar este problema?

MUCHÍIISIMAS GRACIAAAAAASSSS :D
#4
Nivel Web / Re: SQL Injection UNION SELECT
2 Septiembre 2009, 22:06 PM
Bueno, logre inyectar al final.

Encontre otra parte vulnerable. Creo que no hacia bien el UNION SELECT porque existian subconsultas anidadas.

En fin podeis cerrar este post.
#5
Nivel Web / Re: SQL Injection UNION SELECT
28 Agosto 2009, 22:56 PM
He seguido la guia y tal, el caso es.

- Se que son 4 columnas.

¿porque encadene lo que encadene? UNION ALL SELECT 1,2,3,...,n me dice siempre.
CitarThe used SELECT statements have a different number of columns
#6
Nivel Web / Re: SQL Injection UNION SELECT
28 Agosto 2009, 18:53 PM
Esto parece que no va, mira:

Citarphp?idnoticias=-1 order by 100--
Código [Seleccionar]
Unknown column '100' in 'order clause'

Citarphp?idnoticias= -1 order by 1--
Código [Seleccionar]
Unknown column '1' in 'order clause'

Citarphp?idnoticias=-1 order by 10--
Código [Seleccionar]
Unknown column '10' in 'order clause'

Ahora bien, si hago esto:

Código [Seleccionar]
order by -1--
La página carga normalmente, como si no hubiese inyectado...

Nunca lo habia visto, ¿que puede ser?

{MAS INFO}

En otra parte del código, ha funcionado tu técnica. Tiene cuatro columnas, pero a la hora de hacer el UNION ALL SELECT queda asi:

Código [Seleccionar]
usuario=xxxxx' union all select 1,2,3,4-- +
Código [Seleccionar]
The used SELECT statements have a different number of columns

NOTESE EL '+' del final por esto:

CitarYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' ORDER BY fotos.ID DESC' at line 1

De todas formas. ¿Si dice Error en línea 1? Es porque esta en una línea la consulta, ¿no debería ignorarse con '--'?

A ver si saco algo en claro, buff . . .

#7
Nivel Web / Re: SQL Injection UNION SELECT
28 Agosto 2009, 16:33 PM
kamsky, si he hecho consultas erroneas y tal. La verdad es que no se que puede pasar.

No rula :(

Código [Seleccionar]
Unknown column '100' in 'order clause'
#8
Nivel Web / SQL Injection UNION SELECT
28 Agosto 2009, 09:49 AM
Buenas a todos,

He probado una inección del tipo
Código [Seleccionar]
... UNION SELECT 1,2,3,4... --
Siempre me retorna el mismo msg. No coinciden las columnas.
el caso es . . . he probado desde 1 a 500 !!!
¿No creo que tenga más de 500 columnas?¿o, si . . .?

ALguna idea???

Muchas gracias por adelantado
Páginas1