Sql injection

HackForum

Sql injection | Lame#
Na webe

[link]

sa mi podarilo vyvolat chybovú hlašku>

[link]'

a ďalej žieden ten "prikaz" nezaberá. čo stým? je to nejak ošetrené? prípadne jak to obíjsť?.
(odpovědět)
KempeR13.2.2012 19:07
re: Sql injection#
A na co se jako ptáš? Ne, není to ošetřené... Obejít to jde tak, jak je potřeba...

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP13.2.2012 19:44
re: Sql injection#
by ma zaujimalo ze vobec jakym prikazom zacnem pre zobrazenie tabuliek...

lebo union all select 1,2,3,4,5-- nezaberá...




(odpovědět)
KempeR13.2.2012 20:47
re: Sql injection#
KempeR: Chybu máš v tom odkomentování (--), zde se na to musí jinak. Zkus se došprtat další způsoby komentářů v SQL a PHP.

BTW: Jak jsi přišel na to, že je tam 5 sloupců? Je to skutečně tak.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP13.2.2012 21:31
re: Sql injection#
ne nejsem si jistej ze je 5 sloupcu...

ale kdyz dávam ORDER BY muzu jit do 999 aj tak nic.. tomu nechapu... cche to jinou techniku?
(odpovědět)
KempeR14.2.2012 19:15
re: Sql injection#
Vzdyt jsem ti odpovedel. Technika je dobra, ale chce to jinej zpusob zakomentovani.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP14.2.2012 19:40
re: Sql injection#
Jestli vyhovuje Havij, tak pouzij svuj SQLi ..

Data Base Found: information_schema
Data Base Found: vx172900db

Tables found: oznamy
Count(column_name) of information_schema.columns where table_schema=0x76783137323930306462 and table_name=0x6F7A6E616D79 is 5

Columns found: id_clanku,nadpis,podnadpis,text,datum

(odpovědět)
Koala | 96.44.163.*13.2.2012 23:08
re: Sql injection#
Tím jsi ale KempeRovi moc neporadil... Havij tě nenaučí způsobu ukončení SQL příkazu... Je to nástroj někoho kdo tomu rozumí a dotyčný útočník může mít nulové znalosti. To ale přeci nechceme, ne? ;-)
(odpovědět)
kuleriks18.2.2012 1:21
re: Sql injection#
Zkousel jsem nejake order by 1,2,3,4,5 ..aj. , ale nepovedlo se me dostat z toho zadne chybove hlasky..
Tak proto to urychleni pres Havij :)
(odpovědět)
Koala | 204.45.133.*18.2.2012 22:17
re: Sql injection#
To znamená jediné: Nepochopil jsi princip útoku a hlavně - neznáš SQL. Jinak bys s tím neměl žádný problém, protože se jedná o naprosto triviální případ SQL Injection. Místo studia "Jak spustit Havij" věnuj svůj čas pochopení problému. Havij a jemu podobné tooly fungují jen jako pomocná berlička usnadňující práci. Pokud pochopíš princip, napíšeš si klidně takovou berličku i sám.
(odpovědět)
Duck | 85.71.165.*19.2.2012 11:52
re: Sql injection#
No pr8ve preto pisem sem abz som to pochopil...... nechcem to robit s Havijom ale rucne...
(odpovědět)
KempeR21.2.2012 16:16
re: Sql injection#
A ty to jeste nemas?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP21.2.2012 19:13

Zpět
 
 
 

 
BBCode