Realizando una pequeña injección SQL [k0ws]

k0ws · Junio 26, 2012, 04:06:00 PM

Hoy aprenderemos a realizar una injección SQL

~¿Que son?~

CitarEl origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro

~Tutorial~

Bien, una vez sabemos que son, os preguntareis. ¿Como las encontramos de forma rapida? Aqui teneis 8500 dorks sacados de PasteBin:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vez escojamos un dork lo introducimos en google:

¡Bravo! Encontramos una web vulnerable:

Para provocar el error solo deberemos realizar una consulta erronea, por ejemplo: ' ó -777.

Ahora podemos sacar un par de datos mas sin llegar mas lejo en la inyeccion, yo saque la version de PHP utilizado por el servidor (Podeis sacar el usuario y más):

Bueno, una inyeccion manual lleva algo de tiempo, asi que a partir de aqui podemos usar Havij si queremos llegar a las bases de datos.Podreis encontrar un tutorial bastante bueno aqui: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de la mano del gran ANTRAX!

Esto ha sido todo por hoy, espero que os haya gustado.

-Saludos-

PD:Esta injeccion no llego mas lejos, solo se quedo en esa pequeña consulta. No me hago cargo de como se utilize este conocimiento.

EDITADO SANKO : Si no te importa añadiré el video con el que yo aprendi a realizar una SQLi y asi nos dejamos de problemas y lo acabo de completar.
Si te importa solo dimelo y yo vuelvo a dejartelo como estaba bro.
Es un tutorial de Sh4dow que hace tiempo subi para no perderlo , me dejo muy claras las cosas en su momento.

Saludos.

blood_rec · Junio 26, 2012, 04:44:44 PM

deberias cambiar el titulo a "tutorial de SQLI usando un DORK de google inurl:viewevent.php?EventID="

por que yo como un usuario nuevo si quiero aprender a hacer un SQLI me meto a este post y asumo que es un tutorial de como hacer un SQLI desde 0, pero me equivoque de post esto es un tutorial de como usar un Dork

-_-

salu2

k0ws · Junio 26, 2012, 04:57:18 PM

Creo que debes leer un poco y mejorar tu expresión, ya que podrias tocar un poco los huevos

.

En este tutorial se explica:

-¿Que es una injeccion?
-¿Como encontrarla?
-¿Como realizarla?

Finalmente, si quieres acceder a las bases de datos, usa Havij.Dispones de 8500 dorks direferentes si el que usé no te gusta.

-Saludos-

PD:Quizas antes de aprender a realizar una inyeccion sql, deberias aprender que esta misma no tiene poque llegar a las bases de datos.Antes de todo esto aprende mejor a leer

blood_rec · Junio 26, 2012, 05:11:04 PM

se ve que no notastes el sarcasmo de mi respuesta!

el Titulo de tu post no esta claro Dice Tutorial de Sqli [c0w] xD...

Yo no quiero acceder a ninguna base de datos ni con Havij ni nungun otro software automatizado
No tengo que aprender a leer nada amiguito
aprende a leer TU (dije que si fuera un usuario nuevo y busco como hacer una inyeccion de 0) esto no aportaria nada
claramente no entendiste el sarcasmo
DORKS? como un usuario en un foro aprende usando DORKS
Vuelvo y repito los foros no son lo que eran hacen 6 a~os atras!!
llevas poco en la red?
en ningun momento pregunte a como se llega a una base de datos
trabajo como auditor de servidores para Atlantic Software (certificado) so asumo que no se de nada verdad?
Restructura tu Titulo de post por que un Novato se confundiria y creeria que hacer una inyeccion es buscar un DORK y listo
el hacking consta en Investigacion,Analisis,Resultados,Posibles soluciones, Ejecucion y reporte (solo si lo desean)
Alguien menciono DORKS? ok no escribo mas nada solo que me acabo de hacer otra nueva firma...

salu2

PD:Quizas antes de intentar de hacer un tutorial de como hacer una inyeccion SQL , deberias aprender 1ro que es SQL comandos y bases de datos , ya que OBVIO ni tenes idea del asunto y finalmente Antes de todo esto APRENDE MEJOR A LEER ...

k0ws · Junio 26, 2012, 05:25:52 PM

Te pediria que respetaras mi nick ya ques es k0ws y no c0w...

-Te doy la razon en cambiar el titulo.
-Nunca te llame ignorante, solo dije si tenias claro el concepto.
-No sabia que tuvieses ese "rango" en la vida real.
-Llevo en la red como unos 5 años.

Amigo, esto se podria haber solucionado de una forma mas simple, asi que cambiare el titulo, ya que en ESO tienes razon.

¿PAZ?

blood_rec · Junio 26, 2012, 05:45:53 PM

>.< claro... hermano solo era una sugerencia por que los usuarios que queremos ayudar se confundirian.

solo intento tambien darle un empuje a la comunidad hay que cambiar esa "costumbre" de encaminar al usuario a buscar en donde no...

digamos que el 40% de los usuarios que vienen a aprender se les da la oportunidad de trabajar en una empresa GRANDE de desarrollo, te exigen certificacion CEH,Oswe,OSEE,security + etc , la media de registro en los foros de ahora son muchachos de 14 a 21 y muchos de ellos se convertiran en auditores , desarrolladores consultadores IT etc, los foros deberian cambiar eso...

ya que aqui podemos darle una preparacion inclusive mucho mejor que la misma universidad, si los encaminamos por el camino correcto , hace 3 a~os atras nosotros teniamos un foro (ANTRAX y yo) que lo encaminabamos asi a traer buena info y cosas para formalizarmos, me acuerdo cuando ANTRAX empezo , que eramos yo, taliban, Darvein y unos cuantos mas que encaminabamos a los usuarios nuevos, incluyendonos..

esto es un camino largo a recorrer, pero me explico ... solo sugeria hay que encaminar y empujar los tutoriales , manuales y cosas en el foro para empujar la participacion de los usuarios en el foro.

a poco no te preguntas que el foro muestra abajo "muchas visitas" pero no hay actividad real? , entonces lo mejor seria crear ambientes de aprendizaje, practica y funcion, entendible.

solo es una sugerencia me registre en este foro por que ANTRAX me invito , y solo e observado a bajo perfil por ahi a ver que es lo que ocurre...

tu amigo K0ws tienes buenas ideas , y mucho interes en colaborar en el foro y con algunas cosas. y eso se agradece yo personalmente lo agradezco, pero si entiendes a lo que me refiero, para una mejor comunidad , empujemos esto como usuarios , revivamos la ETICA hacker que hace mucho desaparecio.

sea el camino que escojan como expertos en seguridad (blancos) o hackers (negros) hagamoslo eticamente, y de manera , efectiva solo eso..

claro que Paz

salu2

k0ws · Junio 26, 2012, 06:00:58 PM

Todo solucionado bro

-Saludos-

metal8 · Junio 26, 2012, 08:15:55 PM

muy buen tutorial segui asi y se agradece el buen dialogo que tuvieron los dos se ve que son 2 personas que si quieren enseñar

gracias y saludos

Dedalo · Junio 26, 2012, 08:21:39 PM

No entiendo a que quieres llegar con este post, no es productivo, en todo caso ya hay tutoriales de sqli injection y también hay tutoriales de como usar Google Dorks.

Saludos,
Dedalo

[CIERRO TEMA]

Sanko · Junio 26, 2012, 08:43:54 PM

Ahi edite , si te parece mal dimelo y te lo dejo como estaba bro.

Realizando una pequeña injección SQL [k0ws]

k0ws

Junio 26, 2012, 04:06:00 PM Ultima modificación: Julio 28, 2014, 12:57:16 PM por Expermicid

blood_rec

Junio 26, 2012, 04:44:44 PM #1

k0ws

Junio 26, 2012, 04:57:18 PM #2 Ultima modificación: Junio 26, 2012, 05:00:24 PM por k0ws

blood_rec

Junio 26, 2012, 05:11:04 PM #3

k0ws

Junio 26, 2012, 05:25:52 PM #4 Ultima modificación: Junio 26, 2012, 05:27:30 PM por k0ws

blood_rec

Junio 26, 2012, 05:45:53 PM #5

k0ws

Junio 26, 2012, 06:00:58 PM #6

metal8

Junio 26, 2012, 08:15:55 PM #7

Dedalo

Junio 26, 2012, 08:21:39 PM #8

Sanko

Junio 26, 2012, 08:43:54 PM #9