MS SQL - inject + vlastní sql

HackForum

MS SQL - inject + vlastní sql#
mel bych dotaz.... potrebuju v jenom serveru udelat malou upravu data ..... "update Zverejneno='2001-11-15 00:00:00' where IdVykaz=30" ... ale nevede se mi to ... mam injecnuty pres sqlmap. Nevite jak na to dal ? snazim se pres SQL-Shell ... a nic :(

ma nekdo navod jak na to ?

dekuji
(odpovědět)
Mischa18.2.2013 13:25
re: MS SQL - inject + vlastní sql#
Mischa: Podívej se někde na správnou syntax příkazu UPDATE:

UPDATE table SET zverejneno='' WHERE idVykaz=30

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP18.2.2013 14:57
re: MS SQL - inject + vlastní sql#
jj promin, mel jsem to jen spatny napsany (uvedomil jsem si to pri odkliknuti "odeslat" :) ... ale dotaz jsem poslal pres sqlmap spravne ....

problem je, ze me to nechce akceptovat ... :( tak nevim jakym programem to upravit ... nebo jak to zprovoznit :(
(odpovědět)
Mischa18.2.2013 15:22
re: MS SQL - inject + vlastní sql#
Mischa: Jakou konkrétní hlášku ti to vrací?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP18.2.2013 15:28
re: MS SQL - inject + vlastní sql#
web server operating system: Windows Vista
web application technology: Apache, ASP.NET, ASP, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2008
[15:53:11] [WARNING] execution of custom SQL queries is only available when stacked queries are supported
UPDATE Enex.tbVykaz SET Vyhotoveni='2011-11-15 11:15:11' WHERE IdVykaz=32015: None
(odpovědět)
Mischa18.2.2013 15:33
re: MS SQL - inject + vlastní sql#
Misha: Podle chybové hlášky to vypadá, že máš přístup do databáze díky SQL injekci přes nějaký SELECT. Protože není na serveru povoleno skládání více příkazů oddělených středníkem (viz.chybová hláška), tak nemůžeš použít tvůj UPDATE.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP18.2.2013 17:38
re: MS SQL - inject + vlastní sql#
sakra :( a jak docilit toho, aby se to uspesne provedlo ? :( je nejaky reseni ?
(odpovědět)
Mischa18.2.2013 18:03
re: MS SQL - inject + vlastní sql#
pohledat pres sql hesla admina a jit klasickou cestou :-)
(odpovědět)
brambor | 88.101.119.*19.2.2013 9:22
re: MS SQL - inject + vlastní sql#
hesla mam, ale nemam nic na louskani :( jinak bych sel klasickou cestou radeji :)
(odpovědět)
Mischa20.2.2013 7:29
re: MS SQL - inject + vlastní sql#
pres sql zjistit heslo admina a pak to same heslo zkusit pri administraci
co se tyce louskani tak tu je ten projekt Online Password Hash
(odpovědět)
brambor | 88.101.119.*20.2.2013 17:56
re: MS SQL - inject + vlastní sql#
pres sqlmaip jsem ziskal nejaky ucty a je tam napr. heslo v ruznych info, ale s MS SQL nejsem kamarad ... :)

password hash: 0x01000dc9950c949cfcd89adb4ca1393b0e2619040
448729570e2
header: 0x0100
salt: 0dc9950c
mixedcase: 949cfcd89adb4ca1393b0e2619040448729570e2
(odpovědět)
Mischa21.2.2013 13:08
re: MS SQL - inject + vlastní sql#
tak supsup k dokumentaci mssql a zjisti co to znamena. ptat se umi kazdy debil
(odpovědět)
nonono | 85.17.222.*21.2.2013 13:25
re: MS SQL - inject + vlastní sql#
no tim ze se clovek pta, tak se dovi vice nez z dokumentaci ... :)
a vadi ti hodne ze se ptam? tak vetsinou se nauci clovek vice nez cteni manualu ... taky ses jako maly dete ptal ... a nerikali ti debile precti si to ... :)
(odpovědět)
Mischa21.2.2013 13:28

Zpět
 
 
 

 
BBCode