Resultados blind SQLi - datos erroneos?

Buenas underc0deanos, hoy les vengo con una duda que no he podido resolver.

Con ganas de practicar un poco de SQLi me puse a buscar webs vulnerables, a lo que me encontré una con blind SQLi en la sección de noticias.
http://www.paginavuln.com/noticia.php?id=114

Rapidamente encontré la tabla usuarios con http://www.paginavuln.com/noticia.php?id=114 and (SELECT 1 from usuarios)=1
y procedí a encontrar los campos usuario y pass, de donde saqué el user "admin" y pass "admin"

Hasta aqui todo bien, pero mi problema comienza cuando voy a probar las credenciales en el panel de administración que encontré en: http://paginavuln.com/admin/ y para mi sorpresa, no funcionaban.


Entonces decidí usar sqlmap para ver que más había en la DB.

available databases [3]:
* information_schema
* paginavuln
* test


Donde test estaba vacía y paginavuln tenía la tabla usuarios

Table: usuarios
[4 columns]
+---------+---------+
| Column  | Type    |
+---------+---------+
| email   | text    |
| id      | int(60) |
| pass    | text    |
| usuario | text    |
+---------+---------+

con solo 1 entrada y los datos que ya tenía

Table: usuarios
[1 entry]
+-------------------+------------+-------+---------+
| email                               | id | pass  | usuario |
+-------------------+------------+-------+---------+
| xxxx@paginaexterna.com | 1  | admin | admin   |
+-------------------+------------+-------+---------+

Entonces mi pregunta es: ¿Por qué no funcionan las credenciales que encontré?
Se me ocurre que puedan ser para otro login, pero no logro encontrar ninguno. Y de ser asi ¿Dónde estan alojados los datos del login que me tira error? ¿Qué es lo que estoy haciendo mal?

Saludos! gracias por su tiempo

¡Hola!

Puede ser por muchas razones, por ejemplo:

* El panel admin que encontraste es falso y guarda un registro de todos los intentos de login (es una técnica muy común de los webmasters).
* La tabla que encontraste es falsa y fue creada para despistar. (En este caso el login del panel admin sería con una contraseña en una variable en el código).
* Que la contraseña de la tabla solo sea "una parte" de la contraseña (Y que el resto de la contraseña esté en una variable del código).

En definitiva hay muchísimas posibilidades de porque una contraseña de una tabla no funcione.

Saludos.

Interesante!

En dichos casos:

* ¿Quedarían los logs en algún archivo dentro del servidor? ¿Debiese haber otro panel real, probablemente con un nombre raro, por ahí?
* ¿La pass quedaría en algún archivo (php en este caso) dentro del servidor?
* Lo mismo que el caso anterior basicamente, ¿Qué uso podría tener dividir la pass entre la db y el código?

Saludos!

Interesante!

En dichos casos:

* ¿Quedarían los logs en algún archivo dentro del servidor? ¿Debiese haber otro panel real, probablemente con un nombre raro, por ahí?
* ¿La pass quedaría en algún archivo (php en este caso) dentro del servidor?
* Lo mismo que el caso anterior basicamente, ¿Qué uso podría tener dividir la pass entre la db y el código?

Saludos!

Buenas, te contesto por puntos:

* ¿Quedarían los logs en algún archivo dentro del servidor? Si, los logs siempre quedan a no ser que esté mal configurado (por defecto se guardan, para no guardar logs se tiene que hacer a posta). o los borres ¿Debiese haber otro panel real, probablemente con un nombre raro, por ahí? Es posible, pero no es obligatorio, prueba a tirar algún admin finder.
* ¿La pass quedaría en algún archivo (php en este caso) dentro del servidor?  De ser así, es posible, o bien, que esté configurado con otro usuario y es por eso que no ves la tabla real, o bien, que esté en texto en el propio código. No descartes lo que ya te dijero, quizás, la contraseña esté incompleta y se complete con la otra parte que esté en el código.
* Lo mismo que el caso anterior basicamente, ¿Qué uso podría tener dividir la pass entre la db y el código? No lo estás viendo? No puedes loguear

PD: Has intentado utilizar el típico 'or '1' = '1?

Un saludo.

Buena buena, habrá que borrarlos entonces 

Probaré con un admin finder entonces, aunque parece que la web tiene protección, ya que cada vez que pruebo directorios:
www.paginavuln.com/administrador/
www.paginavuln.com/cpanel/
etc
etc
me muestra una página en blanco en vez de un error.

Respondiendo a tu pregunta: si, fué lo primero que intenté, pero sin suerte :

Gracias, saludos!

Mientras te muestre una pagina en blanco y no te banee, todo bien
Tirale dirb y revisa el robots.txt
Tambien proba loguearte con el email como usuario
Tirale sqlmap con --dbs --tables para estar seguro de que no hay otra tabla con usuarios

Si todo eso falla, podes tratar de leer y escribir archivos por la sqli. Te interesa pasarle a sqlmap --os-shell y --file-read. Si queres ver como se hace a mano, busca sobre load_file() y into outfile

Buena!

Voy a probar con el dirb y comento. El robots.txt no logré encontrarlo, voy a probar con el mismo dirb siesque se puede.
Ya probé con el mail sin suerte :-/
Y el sqlmap ya saque todas las dbs y tables, pero no encontré nada.

Suena interesante lo de lectura y escritura con sqli, voy a leer un poco.

Saludos, gracias!

Recordemos que si la página es vulnerable a sqlinj el creador no es un experto en la materia por lo tanto descartaría la opción paranoica de que revisarla los Logs, aún así no bajes la Guardia en este caso estoy casi seguro que los datos del formulario se encuentran en el mismo archivo XD, si puedes darle un vistazo al archivo php creo que lo tendrías solicionado

Enviado desde mi HTC One mediante Tapatalk