Pokaż wyniki 1 do 5 z 5

Temat: sql injection

  1. #1
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie sql injection

    jest zapytanie:

    Kod:
    select `1`,`2`,`3` from `baza`.`tabela` where `id` = ($_GET['a']) order by `2` desc
    union select mozna bezproblemowo podczepic, ale co z tego. Nazwy tabel tez znam, ale jedyne co mnie moze insteresowac to haslo admina, ktore jest zahashowane. Sory, ale nie mam super komputera/gigabotnetu zeby to lamac, a wiem ze hasla typu #$%56hu9g45G%65474;y45Y$LG45498fg54$^ (nie, nie regex ) to standard u tego kolesia.
    baza to mysql

    kiedys udalo mi sie dopisac zapytanie po ; albo po and. Niestety bylo to dawno, i o sqlu nie mialem wtedy zadnego pojecia Wiec nie pamietam czy to byl mysql, czy mssql (chyba ms, bo bylo .asp). Chodzi mi o dopisanie update albo insert, na 127.0.0.1 probowalem na wszystkie mozliwe sposoby, ale nie idzie tego zrobic (a jak pisalem 1 mi sie udalo...).


    I kolejna sprawa, mam 3 bazy:
    1. customers
    2. forum
    3. information_schema

    I jakis skrypt. Mozecie mi powiedziec, czemu dostaje odmowe dostepu jak union selectuje cos z innej bazy? Polaczenie z baza nastapilo z kata admina, a wiec powinien miec dostep wszedzie. A moze osobny user jest na forum, customers i schema? Jakies nowe zabezpieczenie? Bo raczej autor skryptu by tego nie wymyslil popelniajac takie bledy.

  2. #2
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    Prawdopodobnie ograniczenia na userów nałożone - autor skryptu nie - admin serwera tak - sie nie raz zdarzało ze dobre ustawienia w MySQL ratowały tyłek przed wyciekiem

    a możesz cokolwiek z information_schema wyciągnąć z tego usera co masz ?
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  3. #3
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie

    no nic nie moge, nawet z innej bazy !!
    sa 2 (albo wiecej baz), forum i ta 2. z tej 2 (customers) moge wyciagnac co chce, ale tam nic niema, ale do forum jak i information_schema mam access denied =(

  4. #4
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    czyli user nie ma uprawnienia do bawienia się tamtymi bazami :P
    walnij forum moze tamten user bedzie miał
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  5. #5
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie

    Tyle ze moge kozystac tylko z 1 usera (1 skrypt dziurawy), i tu jest problem. A on ma dostep do tabel w ktorych nic ciekawego niema

Podobne wątki

  1. Sql Injection
    By xbitdesigns in forum Inne metody
    Odpowiedzi: 2
    Autor: 01-03-2015, 10:06
  2. sql injection na real.pl
    By michalski007 in forum Hacking
    Odpowiedzi: 17
    Autor: 02-05-2008, 23:12
  3. SQL injection, grrr!
    By 31337 in forum Hacking
    Odpowiedzi: 2
    Autor: 06-16-2007, 09:47
  4. sql injection
    By ble34 in forum Security
    Odpowiedzi: 7
    Autor: 06-13-2007, 16:45
  5. ADOdb a SQL Injection
    By prawie jak haker in forum Hacking
    Odpowiedzi: 1
    Autor: 06-10-2007, 12:35

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52