Hack-Web_SQLi I

Iniciado por javidekai, 23 Junio 2007, 04:11 AM

0 Miembros y 3 Visitantes están viendo este tema.

javidekai

¿Alguien me puede echar una manita con la SQL Injection I?

He comprobado que para el User admite un maximo de 5 caracteres, y para la Password un maximo de 10.

Sabiendo esto he intentado bastantes inyecciones, pero ninguna ha dado resultado:

User:admin / Password:' OR ''='
User:admin / Password:' OR 1=1
User:admin / Password:' OR 1='1
.....

Se me ocurrio otra opcion, dejar la password vacia, y hacer la inyeccion en el User, pero la caja de texto del User solamente admite 5 caracteres, por lo que he enviado la consulta escribiendo la URL directamente:

http://warzone.elhacker.net/sqli/sqlii.php?user=admin'; /*
http://warzone.elhacker.net/sqli/sqlii.php?user=admin'; or 1='1
http://warzone.elhacker.net/sqli/sqlii.php?user=admin'; or 1%3d'1

Tampoco asi ha funcionado...
Una ayudita, por favor.


sirdarckcat

solo te puedo ayudar diciendote que puedes hacer que el campo de user y de password acepten mas caracteres.

Saludos!!

javidekai

Gracias Sirdarckcat, en mi desesperacion estaba probando inyectando codigos SQL mucho mas complejos que el que ha funcionado.
Por cierto, no he podido ver el codigo fuente en PHP, ¿habria alguna forma de haberlo conseguido?

Al final de todo esto he sacado algo positivo: He leido 1 documento sobre SQL Injection muy bueno, y he aprendido algunas otras cosillas mas de SQL Injection.

Por cierto, si alguien le hace falta no tiene mas que pedirmelo, aunque es muy facil de encontrar por Google.

RASED_ONE

holas,

bueno se ve que no mucha gente pasa por aqui ya...

ojala me respondan, e quedado un poco colgado con la pista de que se puede hacer q los textfield acepten mas caracteres  :-\

poruqe por mas que pruebo cadenas como las que puso javidekai no logro obtener nada!

ojala me ayuden un poco para entender mas   :)

saludos

Azielito

Hay que ver el error, o sea, provocar errores para que te mande a pantalla una cadena que puedas identificar para luego explotar, en realidad es muy facil xD

7h30n3

Alguien que me pueda guiar ... ?

logro ver la pagina de errores, luego intento utilizar una cadena donde se iguala el password

AND password=********* (previa conversion) que me da un numero de 10 caracteres.. utilizo esa cadena para el pass... pero no pasa nada.. intente de todo creo.. no se que mas puedo hacer? esa cadena tiene algo que ver con la solucion del problema?

lotux

algunos de los que la han pasado pueden tratar de volver a pasarla para ver si sigue funcionando la prueba, gracias?

Tomy_93

Sirdarckcat logre q acepte mas caracteres pero despues nose como continuar algien q la haya pasado me da una manito??

nos vemos gracias

sirdarckcat

la prueba esta de vacaciones...