[SOLUCIONADO] SQLi en pagina sin tabla usuario..

Iniciado por BeraROOT, Junio 11, 2013, 06:16:49 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 11, 2013, 06:16:49 PM Ultima modificación: Agosto 20, 2014, 08:49:17 PM por Expermicid
Hola a todos under!

Como anda la gente yo aca aprendiendo un poco, bueno basicamente estoy asiendome un mapa de la base de datos de una web con SQLi .. y aprendiendo un poco cuanta informacion se puede obtener y de que manera.
Hasta ahora no me ha ido tan mal.. no use ningun programa q me de la info de la pagina, solo prueba y error, obteniendo conocimiento.. :)

bueno mi objetivo era en si conseguir user y pass del administrador pero estoy confundido.. me salen muchas tablas pero ninguna me dice un nombre de usuario o cosas asi .. o yo no me doy cuenta no soy un experto y es una de las primeras veces q hago estas cosas me gustan y lei bastantes manuales, pero aun asi debe haber algo q yo debo estar pasando por alto..

Ademas.. si quiero cambiar index, que se usa UPDATE ?.. se puede borrar tablas con DROP o delete ?

bueno llege a esta altura

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

pero no se como seguir. encontre informacion la cantidad de tablas como se llaman, y ademas las columnas pero ninguna se llama users .. o pass... solo hay user_priveleges. y unas cosas mas..

espero puedan ayudarme MUCHAS gracias :)

-------
PD: nose trate de modificar el titulo a una mejor aducacion XD..
La vida busca instruirte!
Junio 11, 2013, 06:22:50 PM #1
Nadie querrá responder tu duda mientras tengas ese título de tema.
La gente estará encantada de ayudarte a realizar consultas sql para una inyección mientras que esa inyección tenga un fin didáctico y no delictivo.
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD
Junio 11, 2013, 06:38:28 PM #2
eh disculpen si no lo aclare bien no es el fin hacerlo delictivo, solo queria saber como utilizar los comandos para obtener esos objetivos, no me interesa ir cambiando index por todos lados, pero al menos saber hacerlo, o pasar algunos wargame :S tampoco soy tan lamelon.. XD
que se yo si no quieren ayudar esta todo bn aya cada uno con su pensamiento..
la onda es aprender..

abrazo
La vida busca instruirte!
Junio 11, 2013, 09:08:44 PM #3
BeraROOT, esa pagina no tiene tabla de usuarios, por lo tanto lo mas probable es que el panel de admin sea a traves de un acceso por php. Es decir, el user y pass del acceso se obtienen desde el php del login de la pagina ya que se encuentran ahi.
Si quieres entrar, deberas buscar otra pagina ya que esta no te servira.

Y como dice Sanko, con ese titulo nadie te respondera.

Saludos!
ANTRAX

Junio 11, 2013, 09:17:23 PM #4
Usage quiere decir que ese usuario no tiene ningun privilegio :) por lo cual no puedes ejecutar consultas del tipo DROP, UPDATE ;)
Ahora como puedes usar information_schema entonces puedes sacar los datos, otra cosa es que no todas las paginas tienen admin panel por lo que no tienen los datos de usuario en la db :D saludos
Pentest - Hacking & Security Services

Contact me: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 12, 2013, 12:18:19 AM #5
Bueno desde ya, disculpen por lo del titulo.. no lo veia tan mal pero bue lo cambie.
Y gracias por las respuestas, que por sierto me han generado mas dudas.

Mis dudas son, tengo alguna forma de conseguir acceso al panel de admin?? de esa pagina.
despues hay alguna forma de conseguir un mayor privilegio con la informacion que tengo?? .. (no me digan que es solo consiguiendo ser admin.).

bue.. en todo caso tratare de cortar otro arbol..

ahh y bue ya q estoy consulto.. estoy medio desorientado al cortar el arbol por ejemplo, en este reto llego a saber cuantas tablas tiene y cual es la vulnerable.. paso a conseguir el usuario .. :S pero ahi no se como conseguir mas info ..

.php?id=-1 union select 1,user(),3--

como puedo sacar mas info si no te deja usar information_schema.. :S

Desde ya muchas gracias gente.
La vida busca instruirte!
Junio 12, 2013, 02:11:52 AM #6
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno desde ya, disculpen por lo del titulo.. no lo veia tan mal pero bue lo cambie.
Y gracias por las respuestas, que por sierto me han generado mas dudas.

Mis dudas son, tengo alguna forma de conseguir acceso al panel de admin?? de esa pagina.
despues hay alguna forma de conseguir un mayor privilegio con la informacion que tengo?? .. (no me digan que es solo consiguiendo ser admin.).

bue.. en todo caso tratare de cortar otro arbol..

ahh y bue ya q estoy consulto.. estoy medio desorientado al cortar el arbol por ejemplo, en este reto llego a saber cuantas tablas tiene y cual es la vulnerable.. paso a conseguir el usuario .. :S pero ahi no se como conseguir mas info ..

.php?id=-1 union select 1,user(),3--

como puedo sacar mas info si no te deja usar information_schema.. :S

Desde ya muchas gracias gente.

Yo te recomiendo que te des una pasada por aqui: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y leas algunos articulos ;) salu2
Pentest - Hacking & Security Services

Contact me: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Diciembre 26, 2013, 02:42:21 PM #7
sAludos , bueno  yo te recomendaria  buscar cuantas BD mas existen   consulta la bd  en information_schema.schema
cuando quieres accerder a un sitio web,,, si no encuentras maneras por la web que elejiste puede probar con alguna web "vecina" que comparta el mismo hosting. y busca algun fallo sqlinjection alguna debe  a ver.

espero create mas dudas , tener dudas es bueno. 
Imprimir
Ir Arriba Páginas1
Acciones del Usuario