¿Alguien me puede echar una manita con la SQL Injection I?
He comprobado que para el User admite un maximo de 5 caracteres, y para la Password un maximo de 10.
Sabiendo esto he intentado bastantes inyecciones, pero ninguna ha dado resultado:
User:admin / Password:' OR ''='
User:admin / Password:' OR 1=1
User:admin / Password:' OR 1='1
.....
Se me ocurrio otra opcion, dejar la password vacia, y hacer la inyeccion en el User, pero la caja de texto del User solamente admite 5 caracteres, por lo que he enviado la consulta escribiendo la URL directamente:
http://warzone.elhacker.net/sqli/sqlii.php?user=admin' /*
http://warzone.elhacker.net/sqli/sqlii.php?user=admin' or 1='1
http://warzone.elhacker.net/sqli/sqlii.php?user=admin' or 1%3d'1
Tampoco asi ha funcionado...
Una ayudita, por favor.
solo te puedo ayudar diciendote que puedes hacer que el campo de user y de password acepten mas caracteres.
Saludos!!
Gracias Sirdarckcat, en mi desesperacion estaba probando inyectando codigos SQL mucho mas complejos que el que ha funcionado.
Por cierto, no he podido ver el codigo fuente en PHP, ¿habria alguna forma de haberlo conseguido?
Al final de todo esto he sacado algo positivo: He leido 1 documento sobre SQL Injection muy bueno, y he aprendido algunas otras cosillas mas de SQL Injection.
Por cierto, si alguien le hace falta no tiene mas que pedirmelo, aunque es muy facil de encontrar por Google.
holas,
bueno se ve que no mucha gente pasa por aqui ya...
ojala me respondan, e quedado un poco colgado con la pista de que se puede hacer q los textfield acepten mas caracteres :-\
poruqe por mas que pruebo cadenas como las que puso javidekai no logro obtener nada!
ojala me ayuden un poco para entender mas :)
saludos
Hay que ver el error, o sea, provocar errores para que te mande a pantalla una cadena que puedas identificar para luego explotar, en realidad es muy facil xD
Alguien que me pueda guiar ... ?
logro ver la pagina de errores, luego intento utilizar una cadena donde se iguala el password
AND password=********* (previa conversion) que me da un numero de 10 caracteres.. utilizo esa cadena para el pass... pero no pasa nada.. intente de todo creo.. no se que mas puedo hacer? esa cadena tiene algo que ver con la solucion del problema?
algunos de los que la han pasado pueden tratar de volver a pasarla para ver si sigue funcionando la prueba, gracias?
Sirdarckcat logre q acepte mas caracteres pero despues nose como continuar algien q la haya pasado me da una manito??
nos vemos gracias
la prueba esta de vacaciones...
:huh: :huh: :huh: :huh: :huh: :huh:
Cita de: javidekai en 24 Junio 2007, 03:04 AM
Gracias Sirdarckcat, en mi desesperacion estaba probando inyectando codigos SQL mucho mas complejos que el que ha funcionado.
Por cierto, no he podido ver el codigo fuente en PHP, ¿habria alguna forma de haberlo conseguido?
Al final de todo esto he sacado algo positivo: He leido 1 documento sobre SQL Injection muy bueno, y he aprendido algunas otras cosillas mas de SQL Injection.
Por cierto, si alguien le hace falta no tiene mas que pedirmelo, aunque es muy facil de encontrar por Google.
Dame tu manual de SQL Injection .. Please
Cita de: sirdarckcat en 3 Diciembre 2009, 03:09 AM
la prueba esta de vacaciones...
ARREGÑA ÑA PRUEBA!! :xD
Ya está activa la prueba?
grace
Citarla prueba esta de vacaciones...
Llevaba un buen rato alucinando con el 'No Database Selected', me resultaba demasiado raro asi que menos mal que sucumbí a venir pronto a por pistas!
Sería demasiado pedir que hubiera una nota de aviso en la página de info de la prueba en la WarZone? Lo digo por si alguien más se encabezona con la prueba sin leer esto, para que no pierdan el tiempo.
Si por algún casual se pone en marcha otra vez agradecería un aviso en este mismo thread ;)
Saludos
bleeeeeeeeee que vuelva la prueba de sus vacaciones porfavoooor! jaja
solo es esa prueba la que está de vacaciones o la otra de sql tmb?
mmm y yo como loco lanzandole peticiones que vuelva de vacaciones.. :silbar:
hasta cuando estara de vacaciones la prueba SQL I?
alguien sabe si esta funcionando esta prueba??
y para el admin:
deberian de poner en la lista o menu de pruebas, aparte de cuales ya pasaste, las de si estan en funcionamiento o desabilitarlas, es my humilde opinion...
saludos
@wakas: Encuentro buena la opción de Marcar las pruebas como habilitadas o deshabilitadas
Las de SQLi, no funcionaban según tengo entendido, desde hace tiempo.
Estaría bien un aviso en el momento que vuelvan a funcionar ;)
un saludo,
Cita de: LeGNa29A en 5 Octubre 2010, 13:51 PM
@wakas: Encuentro buena la opción de Marcar las pruebas como habilitadas o deshabilitadas
Las de SQLi, no funcionaban según tengo entendido, desde hace tiempo.
Estaría bien un aviso en el momento que vuelvan a funcionar ;)
un saludo,
ovio que si, alguien ya se lo comunico a algun administrador o moderador ??
sinceramente, ya lei mucho de SQL injection y me gustaria probar que tanto aprendi...
alguien conoce un buen tutorial o una "pagina ejemplo" para efectuar esta tecnica??
o para probarla, es mejor hacer mi propia Web?
Aun esta de vacaciones la prueba?¿