Normas del foro

Curso Hacker
Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación? - Noviembre 19, 2008, 03:58:49
Inicio Ayuda Ingresar Registrarse
Visita: Articulos - Juegos Gratis - Da Foros

Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  HacK GeneraL  |  Defacing  |  Tema: SQL INJECTION AYUDA 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: SQL INJECTION AYUDA  (Leído 407 veces)
computin
Visitante
« en: Octubre 02, 2006, 11:25:51 »
Hola amigos tengo una duda con injeccion sql.
es la siguiente, encontre una web vulnerable a SQL INJECTION.

Quisiera saber como ver los datos de las tablas es un foro.

Osea la tabla es Usuarios, y yo quiero ver el password el email y mas cosas, claro sabiendo el campo de cada una.

Tabla: Usuario
Campos: ID, EMAIL, Password

Ejemplo yo quiero saber los datos del Admin
como lo que son email, password, etc..

Tabla = Usuario, ID = Admin y que me genere todos los datos o algun acercamiento

Ojo la injeccion es por Direccion:
web.com/vulnerable.ap"SQL"
Como podria hacer una injeccion sql?.

Solo quiero hacer la consulta y que se vean los datos.
« Última modificación: Octubre 02, 2006, 01:18:57 por computin » En línea
computin
Visitante
« Respuesta #1 en: Octubre 05, 2006, 09:08:00 »
gracias por su ayuda Huh
En línea
arquimedes
Visitante
« Respuesta #2 en: Octubre 05, 2006, 09:48:52 »
as intentao con algo como:

UNION SELECT ID, PASSWD,EMAIL,, FROM USUARIO TABLES--
o algo del estilo?
En línea
computin
Visitante
« Respuesta #3 en: Octubre 05, 2006, 01:41:10 »
si e intentado pero no me a salido muy bien lo que pido es una forma en direccion osea

Union Select ID from User

pero como hago la injeccion en la web, para que me muestre los datos que quiero como son.

Password, Email, etc.

Ex.
Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion

como haria la injeccion forma
En línea
arquimedes
Visitante
« Respuesta #4 en: Octubre 06, 2006, 07:36:01 »
lo primero de todo es, estas seguro de:
Citar
Tabla: Usuario
Campos: ID, EMAIL, Password

porque se es correcto la injeccion (q no estoy mu seguro) seria algo similar a :


Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion UNION SELECT ,null,null,null,ID,null from user

aunque puede aber muxas convinaciones 

tambien puedes intentar


Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion ' OR '1'='1' --         ->haber q obtienes
En línea
computin
Visitante
« Respuesta #5 en: Octubre 07, 2006, 08:55:24 »
ahora me e puesto dudoso si es que existe o no aquel bug por lo que necesito una ayudita de ustedes.

Como seria la consultar para saber el usuario de la Base de datos con eso confirmaria todo ..

gracias  Tongue
En línea
computin
Visitante
« Respuesta #6 en: Octubre 08, 2006, 03:14:12 »
Yo se que el bug se hace con Union Select pero no se la forma para que me haga la consulta y me muestre la informacion del user que quiero, sabiendo la tabla

Yo quiero saber la info del Admin como hago una consulta para que me muestre los datos de este,

con Union Select

los datos estan arriba

Tabla: Usuario
Campos: ID, EMAIL, Password
En línea
arquimedes
Visitante
« Respuesta #7 en: Octubre 09, 2006, 08:06:31 »
select [nombre de la columna] From [tabla] Where* [columns] [operdador]

*where= el where puede utilizarse para sacar info de alguien en especial (x ejm el admin).

ejm de sql:
Código:
Select Edad From Empleados Where nombre = 'Rita' AND Apellido = 'pollera';
En línea
computin
Visitante
« Respuesta #8 en: Octubre 10, 2006, 10:18:10 »
Hola mira yo quiero hacer la injeccion de esta forma como lo podria hacer esta bien?


/**/UNION/**/SELECT/**/Password/**/FROM/**/user/**/where/**/ID ='Admin';/**/

se que me equivoque pero no se en que :S
En línea
arquimedes
Visitante
« Respuesta #9 en: Octubre 10, 2006, 11:18:01 »
seria mejor que quitases todos esas * y / =>
Código:
UNION ALL SELECT ,password(o tambien pwd),FROM user Where ID='admin'/*
En línea
Páginas: [1] Ir Arriba Imprimir 
Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  HacK GeneraL  |  Defacing  |  Tema: SQL INJECTION AYUDA « anterior próximo »
Ir a:  


Ranking-Hits
Powered by SMF 1.1.7 | SMF © 2006-2007, Simple Machines LLC