Hola amigos.-
Resulta que hace poco tiempo que estoy estudiando este mundo del hack con fines lúdicos. y estoy obsesionado sacando info de un server.
Soy muy niwi en el tema y necesito algunos datos ya que mas que leo no entiendo mucho...
Los barridos de puertos y servicios me arrojaron esto.
80/tcp open http Microsoft IIS webserver 6.0
443/tcp open ssl/http Microsoft IIS webserver 6.0
OS : Microsoft Windows Server 2003 SP1
El resultado de introducir codigo atacante en el formulario de identificacion es este.
select pers_ncorr, usua_tuusuario as susu_tlogin, usua_tclave as susu_tclave from usuarios where upper(usua_tusuario) = "Aca puedo injetar algo"
Error(-2147467259) [Oracle] [ODBC] [Ora] Ora-00933: Comando sql no terminando correctamente.
Objeto Response Error 'ASP 0156: 80004005'
Error de encavezado.
/portal/portada(proc_portada.asp, linea 84
Como ven me muestra Algunas tablas existentes... o al menos eso creo...
Bueno ahora empiezan las preguntas, que mas puedo hacer para seguir entreteniéndome? Que me recomiendan. tiene posibilidades de seguir sacando información de usuarios etc, etc..
Veo que hay una funcion en la consulta.... upper(usua_tusuario) No se si estaré en lo cierto pero eso es como una limitacion para que jodan algunas injecciones?
Esop, Ojala me den una mano ya que veo que por aca hay arta gente bien culta...
De antemano muchas GRacias
Resulta que hace poco tiempo que estoy estudiando este mundo del hack con fines lúdicos. y estoy obsesionado sacando info de un server.
Soy muy niwi en el tema y necesito algunos datos ya que mas que leo no entiendo mucho...
Los barridos de puertos y servicios me arrojaron esto.
80/tcp open http Microsoft IIS webserver 6.0
443/tcp open ssl/http Microsoft IIS webserver 6.0
OS : Microsoft Windows Server 2003 SP1
El resultado de introducir codigo atacante en el formulario de identificacion es este.
select pers_ncorr, usua_tuusuario as susu_tlogin, usua_tclave as susu_tclave from usuarios where upper(usua_tusuario) = "Aca puedo injetar algo"
Error(-2147467259) [Oracle] [ODBC] [Ora] Ora-00933: Comando sql no terminando correctamente.
Objeto Response Error 'ASP 0156: 80004005'
Error de encavezado.
/portal/portada(proc_portada.asp, linea 84
Como ven me muestra Algunas tablas existentes... o al menos eso creo...
Bueno ahora empiezan las preguntas, que mas puedo hacer para seguir entreteniéndome? Que me recomiendan. tiene posibilidades de seguir sacando información de usuarios etc, etc..
Veo que hay una funcion en la consulta.... upper(usua_tusuario) No se si estaré en lo cierto pero eso es como una limitacion para que jodan algunas injecciones?
Esop, Ojala me den una mano ya que veo que por aca hay arta gente bien culta...
De antemano muchas GRacias