12/02/2006 21:31:45
Sin
היי זאת אני שוב חזרתי להציק ולעצבן יש לי שאלה והיא נשראה מאותן השאלות שאף אחד לא עוזר עליהן!!!!!!!!! או לפחות מנסה ולא מצליח ><. בקיצור גיליתי sql injection באיזה אתר שאני לא אמסור את שמו כדי שילדים אחרים לא ינסו את מזלם (אני מאלה שאכן רק רוצים ללמוד!!! *חיוך שטני אך תמים*) אז בקיצור מישהו יכול לתת לי פקודה אשר איתה אוכל לקבל גישה למוסד הנתונים או לסיסמתו של האדמין האתר בנוי מ asp וסתם הקוד שגיליתי הוא כזה: (bla =השם האמיתי והתיקיה האמיתית... *יאני צינזור*) ]http://wwwblabla.net/x/bla/application/Login.asp?t=[sql injectiom או בעוד מקום שגיליתי wwwblabla.net/x/bla/nodeweb.asp?t=[sql injecion] z (אל תתיחסו לz זה למען הסדר הטוב.) עכשיו מישהו יכול בבקשה לתת לי איזה הזרקה טובה שאיתה אוכל לחסוף את הסיסמא של האדמין וכיוצא בזה? רב תודות
12/02/2006 22:52:22
antivirus
אני כבר עניתי לך sin ... אין כזה דבר לקחת סיסמה מכל אתר עם אותה פקודה כי את צריכה לפני זה על ידי ההזרקה לגלות את שם העמודות ושם הטבלה ולמשל למשל אם שם הטבלה ppt ושם העמודה של השמות name ושם העמודה של הסיסמאות pass אזזז יש על מה לדבר והמשפט ככה select * from pass where name ="admin" אםם שם המשתמש של האדמין הוא admin ואהה כן שכחתי להסביר אז אני אערוך... המשפט אומר בשפת sql פשוטה לבחור את כל התוכן של העמודה "סיסמאות" איפה שהשם משתמש הוא אדמין... עכשיו בשורה של האדמין תחת העמודה סיסמאות נמצאת הסיסמה של האדמין ולכן זה יחזיר לך אותה... הבעיה שלך שאת צריכה לגלות את העמודות ושם הטבלה ולכן תלמדי קודם את הנושא כי שיש המון דרכים שונות ומשתנים ללמוד כדי לעשות את זה... ואני אתן לך גם קישור מעולה לפי דעתי האתר של ניר אדר - מאמר הזרקות [ההודעה נערכה על-ידי antivirus ב-12/02/2006 22:57:44]
12/02/2006 23:02:30
Sin
>< מה שאמרת זה בכלליות איך אני מגלה את השמות (לא של האדמין של הטבלה ^_^) -.- תודה על עזרתך
12/02/2006 23:18:22
devil kide
בשביל לגלות טבלה שלמה *.*
13/02/2006 02:05:13
antivirus
תראי יש כל מיני שיטות לגלות ולכן הבאתי לך את המאמר של ניר הוא מאוד מאוד קל ופשוט...העיקרון הוא שעל ידי הכנסת גרש... את מקבלת לפעמים שגיאה שאמורה לגלות לפחות שם טור אחד ומימנו להמשיך הלאה... ואם ואני מאמין שזה מה שיקרה לך לרוב.. תקבלי שגיאה אחרת כמו שגיאה 500 או שהאתר יחזיר אותך לעמוק הראשי פתאום יש גם הזרקה עיברת...וזה מאוד מעניין לכי ותקראי מה שנתתי לך אני בטוח שאחרי זה תביני
13/02/2006 04:34:03
cp77fk4r
אפשר לגלות עמודות אחרות ע"י סידור (ORDER) העמודות לפי עמודה שאת כבר יודעת את שמה, וככה לקבל את השגיאות עם שאר העמודות.
שם העמודה שממנה את מתחילה הסידור יהיה העמודה שאליה השאילתא שמצאת בא את הבאג מנסה להכניס, פשוט תכניסי תווים או ביטויים לא חוקיים לשאילתא.
והטקסט של UNDERWAR וNOTKOK בהחלט מומלץ.
13/02/2006 19:28:19
Cyber-Knight
http://he.wikipedia.org/wiki/%D7%94%D7%96%D7%A8%D7%A7%D7%AA_SQL
http://planet.nana.co.il/cp77/SqlInjection.html
קרדיט ליוצרים!!! תהני!!!
14/02/2006 07:43:38
type_o
I assume what the boys are trying to say is: You cannot use sql injection technique unless you know sql. first learn sql, then understand the differences between sql in various DBs (oracle, SQL server, etc.) then go back to having fun
16/02/2006 16:46:23
Sin
תכלס זה ספאם!!!! ותודה על התגובות L: מצאתי כבר באג אחר שם ^_^ בIISActions.asp ^_^. אז תודה על הכול
עמודים:
1
