Injección SQL ~ www.es.fondsk.ru

  • 8 Respuestas
  • 4525 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Zekro

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Injección SQL ~ www.es.fondsk.ru

  • en: Noviembre 30, 2012, 04:19:55 pm


Web: You are not allowed to view links. Register or Login

Injección SQL: You are not allowed to view links. Register or Login'

Estado: No Reportado.
No he fracasado,he encontrado 10.000 soluciones que no funcionan.

Desconectado elshotta

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    20%
  • Reputación 0
    • Ver Perfil

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Noviembre 30, 2012, 04:23:30 pm
no la entiendo mucho
es SQL pero no tiene que salir un mensaje de que error
y que lea el manual de SQL
o algo haci
saludos
es que nio se mucho de desfacing   :)

Desconectado Zekro

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Noviembre 30, 2012, 07:39:39 pm
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.
No he fracasado,he encontrado 10.000 soluciones que no funcionan.

Conectado Tulkalex

  • *
  • Colaborador
  • *
  • Mensajes: 854
  • Actividad:
    33.33%
  • Country: 00
  • Reputación 5
    • Ver Perfil
    • MI github
    • Email

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Noviembre 30, 2012, 09:41:37 pm
You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

Desconectado q3rv0

  • *
  • Underc0der
  • Mensajes: 207
  • Actividad:
    0%
  • Reputación 1
  • %ERRORLEVEL%
    • Ver Perfil
    • q3rv0
    • Email

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Noviembre 30, 2012, 10:20:47 pm
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar
Web: You are not allowed to view links. Register or Login

Twitter: You are not allowed to view links. Register or Login

Conectado Tulkalex

  • *
  • Colaborador
  • *
  • Mensajes: 854
  • Actividad:
    33.33%
  • Country: 00
  • Reputación 5
    • Ver Perfil
    • MI github
    • Email

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Noviembre 30, 2012, 10:26:57 pm
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar

si pero repito, en ningun lado dice que es un error de consulta sql, solo dice que hay errores en la forma de tratar objetos, no parece ser injectable, igual solo me guio por la imagen, no probé en la web.

saludos!

Desconectado Okol

  • *
  • Underc0der
  • Mensajes: 83
  • Actividad:
    0%
  • Reputación 0
  • Imaginando Programando & Avanzando!
    • Ver Perfil
    • Email

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Diciembre 01, 2012, 04:27:38 am
No he probado aún pero no parecen ser errores en la consulta, simplemente en la imagen parecen ser noticias.
Nose si se realizaría bien la injección ya que no veo ningún error sql.
Saludos.
Underc0de Manager!

Desconectado Adastra

  • *
  • Underc0der
  • Mensajes: 42
  • Actividad:
    0%
  • Reputación 0
  • Endless Learner
    • Ver Perfil
    • thehackerway
    • Email

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Diciembre 01, 2012, 06:49:25 pm
Hola [email protected]
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

"Nunca discutas con un idiota, podria no notarse la diferencia"
Kant.

Conectado Tulkalex

  • *
  • Colaborador
  • *
  • Mensajes: 854
  • Actividad:
    33.33%
  • Country: 00
  • Reputación 5
    • Ver Perfil
    • MI github
    • Email

Re:Injección SQL ~ www.es.fondsk.ru

  • en: Diciembre 01, 2012, 10:18:19 pm
You are not allowed to view links. Register or Login
Hola [email protected]
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.

gracias por la aclaración.

saludos!

 

Injección SQL ~ CalderonaBike

Iniciado por Zekro

Respuestas: 2
Vistas: 2317
Último mensaje Noviembre 29, 2012, 06:49:58 pm
por baron.power
Injección SQL ~ www.mtbclubdecampo.com

Iniciado por Zekro

Respuestas: 0
Vistas: 2006
Último mensaje Noviembre 30, 2012, 11:20:43 am
por Zekro