Realizando una pequeña injección SQL [k0ws]

  • 9 Respuestas
  • 4381 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado k0ws

  • *
  • Underc0der
  • Mensajes: 145
  • Actividad:
    0%
  • Reputación 0
  • I'm Back
  • Skype: k0wsit0
    • Ver Perfil

Realizando una pequeña injección SQL [k0ws]

  • en: Junio 26, 2012, 04:06:00 pm
Hoy aprenderemos a realizar una injección SQL

~¿Que son?~

Citar
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro

~Tutorial~

Bien, una vez sabemos que son, os preguntareis. ¿Como las encontramos de forma rapida? Aqui teneis 8500 dorks sacados de PasteBin:

http://pastebin.com/1c0mvpJJ

Una vez escojamos un dork lo introducimos en google:



¡Bravo! Encontramos una web vulnerable:



Para provocar el error solo deberemos realizar una consulta erronea, por ejemplo: ' ó -777.



Ahora podemos sacar un par de datos mas sin llegar mas lejo en la inyeccion, yo saque la version de PHP utilizado por el servidor (Podeis sacar el usuario y más):



Bueno, una inyeccion manual lleva algo de tiempo, asi que a partir de aqui podemos usar Havij si queremos llegar a las bases de datos.Podreis encontrar un tutorial bastante bueno aqui: http://underc0de.org/foro/bugs-y-exploits/sqli-automatizado-con-havij/ de la mano del gran ANTRAX!

Esto ha sido todo por hoy, espero que os haya gustado.

-Saludos-

PD:Esta injeccion no llego mas lejos, solo se quedo en esa pequeña consulta. No me hago cargo de como se utilize este conocimiento.

EDITADO SANKO : Si no te importa añadiré el video con el que yo aprendi a realizar una SQLi y asi nos dejamos de problemas y lo acabo de completar.
Si te importa solo dimelo y yo vuelvo a dejartelo como estaba bro.
Es un tutorial de Sh4dow que hace tiempo subi para no perderlo , me dejo muy claras las cosas en su momento.




Saludos.
« Última modificación: Julio 28, 2014, 12:57:16 pm por Expermicid »

Desconectado blood_rec

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • From no0b to ro0t in 5 seconds :)
    • Ver Perfil
    • H4x0r Security Group

Re:Tutorial SQLi [k0ws]

  • en: Junio 26, 2012, 04:44:44 pm
deberias cambiar el titulo a "tutorial de SQLI usando un DORK de google inurl:viewevent.php?EventID="

por que yo como un usuario nuevo si quiero aprender a hacer un SQLI me meto a este post y asumo que es un tutorial de como hacer un SQLI desde 0, pero me equivoque de post esto es un tutorial de como usar un Dork

-_-

salu2
  • you're so n00b and still reading this lmaoo!!
  • observo mucho creido y no se saben ni limpiar ni el culillo
Mi Blog Entra

Desconectado k0ws

  • *
  • Underc0der
  • Mensajes: 145
  • Actividad:
    0%
  • Reputación 0
  • I'm Back
  • Skype: k0wsit0
    • Ver Perfil

Re:Tutorial SQLi [k0ws]

  • en: Junio 26, 2012, 04:57:18 pm
Creo que debes leer un poco y mejorar tu expresión, ya que podrias tocar un poco los huevos  ;).

En este tutorial se explica:

-¿Que es una injeccion?
-¿Como encontrarla?
-¿Como realizarla?

Finalmente, si quieres acceder a las bases de datos, usa Havij.Dispones de 8500 dorks direferentes si el que usé no te gusta.

-Saludos-

PD:Quizas antes de aprender a realizar una inyeccion sql, deberias aprender que esta misma no tiene poque llegar a las bases de datos.Antes de todo esto aprende mejor a leer  ;D
« Última modificación: Junio 26, 2012, 05:00:24 pm por k0ws »

Desconectado blood_rec

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • From no0b to ro0t in 5 seconds :)
    • Ver Perfil
    • H4x0r Security Group

Re:Tutorial SQLi [k0ws]

  • en: Junio 26, 2012, 05:11:04 pm
se ve que no notastes el sarcasmo de mi respuesta!

el Titulo de tu post no esta claro Dice Tutorial de Sqli [c0w] xD...

  • Yo no quiero acceder a ninguna base de datos ni con Havij ni nungun otro software automatizado[/li]
  • No tengo que aprender a leer nada amiguito [/li]
  • aprende a leer TU (dije que si fuera un usuario nuevo y busco como hacer una inyeccion de 0) esto no aportaria nada[/li]
  • claramente no entendiste el sarcasmo[/li]
  • DORKS? como un usuario en un foro aprende usando DORKS[/li]
  • Vuelvo y repito los foros no son lo que eran hacen 6 a~os atras!![/li]
  • llevas poco en la red?[/li]
  • en ningun momento pregunte a como se llega a una base de datos[/li]
  • trabajo como auditor de servidores para Atlantic Software (certificado) so asumo que no se de nada verdad?[/li]
  • Restructura tu Titulo de post por que un Novato se confundiria y creeria que hacer una inyeccion es buscar un DORK y listo[/li]
  • el hacking consta en Investigacion,Analisis,Resultados,Posibles soluciones, Ejecucion y reporte (solo si lo desean)[/li]
  • Alguien menciono DORKS? ok no escribo mas nada solo que me acabo de hacer otra nueva firma...[/li][/list]

    salu2

    PD:Quizas antes de intentar de hacer un tutorial de como hacer una inyeccion SQL , deberias aprender 1ro que es SQL comandos y bases de datos , ya que OBVIO ni tenes idea del asunto y finalmente Antes de todo esto APRENDE MEJOR A LEER ...
  • you're so n00b and still reading this lmaoo!!
  • observo mucho creido y no se saben ni limpiar ni el culillo
Mi Blog Entra

Desconectado k0ws

  • *
  • Underc0der
  • Mensajes: 145
  • Actividad:
    0%
  • Reputación 0
  • I'm Back
  • Skype: k0wsit0
    • Ver Perfil

Re:Tutorial SQLi [k0ws]

  • en: Junio 26, 2012, 05:25:52 pm
Te pediria que respetaras mi nick ya ques es k0ws y no c0w...

-Te doy la razon en cambiar el titulo.
-Nunca te llame ignorante, solo dije si tenias claro el concepto.
-No sabia que tuvieses ese "rango" en la vida real.
-Llevo en la red como unos 5 años.

Amigo, esto se podria haber solucionado de una forma mas simple, asi que cambiare el titulo, ya que en ESO tienes razon.

¿PAZ?
« Última modificación: Junio 26, 2012, 05:27:30 pm por k0ws »

Desconectado blood_rec

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • From no0b to ro0t in 5 seconds :)
    • Ver Perfil
    • H4x0r Security Group

Re:Realizando una pequeña injección SQL [k0ws]

  • en: Junio 26, 2012, 05:45:53 pm
>.< claro... hermano solo era una sugerencia por que los usuarios que queremos ayudar se confundirian.

solo intento tambien darle un empuje a la comunidad hay que cambiar esa "costumbre" de encaminar al usuario a buscar en donde no...

digamos que el 40% de los usuarios que vienen a aprender se les da la oportunidad de trabajar en una empresa GRANDE de desarrollo, te exigen certificacion CEH,Oswe,OSEE,security + etc , la media de registro en los foros de ahora son muchachos de 14 a 21 y muchos de ellos se convertiran en auditores , desarrolladores consultadores IT etc, los foros deberian cambiar eso...

ya que aqui podemos darle una preparacion inclusive mucho mejor que la misma universidad, si los encaminamos por el camino correcto , hace 3 a~os atras nosotros teniamos un foro (ANTRAX y yo) que lo encaminabamos asi a traer buena info y cosas para formalizarmos, me acuerdo cuando ANTRAX empezo , que eramos yo, taliban, Darvein y unos cuantos mas que encaminabamos a los usuarios nuevos, incluyendonos..

esto es un camino largo a recorrer, pero me explico ... solo sugeria hay que encaminar y empujar los tutoriales , manuales y cosas en el foro para empujar la participacion de los usuarios en el foro.

a poco no te preguntas que el foro muestra abajo "muchas visitas" pero no hay actividad real? , entonces lo mejor seria crear ambientes de aprendizaje, practica y funcion, entendible.

solo es una sugerencia me registre en este foro por que ANTRAX me invito , y solo e observado a bajo perfil por ahi  a ver que es lo que ocurre...

tu amigo K0ws tienes buenas ideas , y mucho interes en colaborar en el foro y con algunas cosas. y eso se agradece yo personalmente lo agradezco, pero si entiendes a lo que me refiero, para una mejor comunidad , empujemos esto como usuarios , revivamos la ETICA hacker que hace mucho desaparecio.

sea el camino que escojan como expertos en seguridad (blancos) o hackers (negros) hagamoslo eticamente, y de manera , efectiva solo eso..

claro que Paz

salu2
  • you're so n00b and still reading this lmaoo!!
  • observo mucho creido y no se saben ni limpiar ni el culillo
Mi Blog Entra

Desconectado k0ws

  • *
  • Underc0der
  • Mensajes: 145
  • Actividad:
    0%
  • Reputación 0
  • I'm Back
  • Skype: k0wsit0
    • Ver Perfil

Re:Realizando una pequeña injección SQL [k0ws]

  • en: Junio 26, 2012, 06:00:58 pm
Todo solucionado bro  ;)

-Saludos-

Desconectado metal8

  • *
  • Underc0der
  • Mensajes: 126
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Realizando una pequeña injección SQL [k0ws]

  • en: Junio 26, 2012, 08:15:55 pm
muy buen tutorial segui asi y se agradece el buen dialogo que tuvieron los dos se ve que son 2 personas que si quieren enseñar

gracias y saludos

Desconectado Dedalo

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • Ver Perfil
    • Twitter Personal

Re:Realizando una pequeña injección SQL [k0ws]

  • en: Junio 26, 2012, 08:21:39 pm
No entiendo a que quieres llegar con este post, no es productivo, en todo caso ya hay tutoriales de sqli injection y también hay tutoriales de como usar Google Dorks.


Saludos,
Dedalo


[CIERRO TEMA]

Desconectado Sanko

  • *
  • Underc0der
  • Mensajes: 541
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • ¿Puedes?
    • Ver Perfil
    • Underc0de

Re:Realizando una pequeña injección SQL [k0ws]

  • en: Junio 26, 2012, 08:43:54 pm
Ahi edite , si te parece mal dimelo y te lo dejo como estaba bro.
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD