Versión para impresora

Haz click aquí para ver este tema en su formato original

Foro _ Seguridad _ No lo consigo

Publicado por: DeepInside el 19/02/2007 21:54

Se que la cosa debe ser lo mas facil del mundo, pero llevo 1 semana con esto del hacking y no logro entender mucho.
He probado una sentencia pero solo consigo logearme como staff. A partir de ahi ya no se como seguir.
He leido sobre sql injection y todos van por el mismo estilo, y supongo que con la injection que he hecho debe aver suficiente sin necesidad de HAVING, porque no me lo acepta y busca como usuario.

Como debo seguir? Me he de bajar la pagina y modificarla, o simplemente con una injeccion ya bastaria?
Suponiendo que cuando me logueo como estaff, aun estoy logueado como DeepInside, debo salir y intentarlo como Staff? Ya que con la injeccion solo puedo ver los datos de staff.

Publicado por: musashi el 19/02/2007 22:53

Bueno, yo ni aqui llego...
No se como inyectar nada alli...
Supongo que vas por buen camino.

Saludos

Publicado por: ailnlv el 19/02/2007 22:59

a mi ni siquiera me funciona ver si los campos son vulnerables; no tengo idea ni de como te logueaste como staff

Publicado por: androm el 20/02/2007 17:56

No te preocupes yo estoy igual, jajjaja

He verificado que con SQL injection basico no va nada, así que supongo que sera algo propio del IPB.

Publicado por: DeepInside el 20/02/2007 19:41

Pues eso que es ultra facil.
Nadie tiene ninguna respuesta o ayuda?
Se que es una tonteria, pero es practicamente el primer reto que hago.

Publicado por: musashi el 20/02/2007 19:43

Si, parece que filtra los caracteres en el form... basico, basico no es... o no lo se ver

Saludos

<Edit>
DeepInside, tu ya tienes almenos la idea de como inyectar algo, no se, intenta modificar tu inyeccion para que el usuario con el que te loguee no sea de staff, canvia donde la id o el username...

(no tengo ni idea de como es tu inyeccion, asi que no me hagas mucho caso...)

Publicado por: DeepInside el 20/02/2007 21:40

La injeccion es algo como *OR *=*--

Publicado por: Alexhk_23 el 20/02/2007 23:21

Es una inyeccón real....lean lo básico sobre SQL Injection laugh.gif

Publicado por: izrrah el 21/02/2007 01:29

No logro ver nada por el momento.

Los caracteres ' (Comilla Simple) ...... Son Filtrados Incluso en Hexa . Bueno por lo menos en el Campo UserName .

Tampoco puedo con / , * , % , ) ........


Creo que hay que hacerle un ByPass a los INPUT del Form

:help:

Publicado por: PescaoDeth el 21/02/2007 05:12

jejeje primeron piensen en como puede ir la inyeccion.
si logras logearte con algun user, lo demás es por sentido común.
no busquen errores pq no los van a encontrar, es a ciegas.
luego a medida que sube los retos se debe conocer la estructura, para eso es la pista del IPB2...
en los 4 primeros no neceitan saber el nombre de la tabla ni bd XDDDDDDD.
en el 2 necitan saber parte del ipb para resolverlo e ingenio para conseguir los datos necesarios.

Publicado por: androm el 21/02/2007 08:40

El primer reto es el sql injection de toda la vida, lo triste es que yo no lo haya probado lo primero. jajaja.

Publicado por: Paisterist el 21/02/2007 17:36

Parece que cuando lleguen al 6 van a llorar mucho xD :HappyDance2:

Publicado por: ailnlv el 27/02/2007 21:07

A ver; no he podido hacer que me salga algun error metiendo comillas simples en ninguno de los dos campos. Para mí la inyección básica es meter en el campo de password

CÓDIGO
' or 1=1--


o algo por el estilo, pero no me funciona. Probé cambiar la comilla simple por doble, reemplazarla por
CÓDIGO
%27 y por %2527
pero nada parece funcionar. No puedo hacer que me muestre un error ni nada por el estilo. Y no he conseguido loguearme como ningun usuario.

Publicado por: _cirrus_ el 27/02/2007 22:03

no te compliques la vida :okz:

Publicado por: PescaoDeth el 27/02/2007 22:21

es una Blind Sql, nunca te van a salir errores.
como consejo escriban la consulta en el notepad para que entiendan que necesitan hacer.

Publicado por: musashi el 27/02/2007 22:26

CITA(ailnlv @ Feb 27 2007, 10:07 PM) *
Para mí la inyección básica es meter en el campo de password


Si esa es la mas basica, pero eso si el password va a la consulta en texto llano.

Saludos

Publicado por: ailnlv el 27/02/2007 22:51

y que se puede hacer entonces?
hay algun user/pass que funcione para ver si se pasa alguna variable por get una vez logueado?

Publicado por: garcez el 28/02/2007 00:14

Como dijo PescaoDeth, imagina como puede ser la consulta, escribela en el block de notas, la vas modificando con la variable que puedes controlar y verás que fácil puede ser. ;)

Publicado por: ailnlv el 28/02/2007 01:42

AAAHHHH!!!!!
son muy malos para dar pistas, no repitan lo mismo que dicen arriba. Mi problema es que no puedo hacer que me salga un error de sql metiendo comillas simples en ninguno de los dos campos. Básicamente no se DONDE puedo inyectar sentencias sql. Alguna ayuda con eso?
:sql:

Publicado por: PescaoDeth el 28/02/2007 03:24

tu problema eske nunca haz usado SQL.
el 1 es muy fácil si sabes lo que vas a hacer.
primero estudia los tipos de consultas, o mejor dicho la consulta probable que se hace en el código php que puse.

sin eso no lo vas a poder pasar y eso te lo doy firmado.
salvo que sea por suerte.

Publicado por: Antares el 28/02/2007 03:26

Este es un caso tipico de blind sql lo cual significa que procesan cualquier error que ocurra y siempre te muestran la misma pagina o el mismo mensaje... cuando te das cuenta que la inyeccion esta correcta... cuando te muestre algo diferente a lo que te ha estado mostrando.

Publicado por: ailnlv el 28/02/2007 07:06

CITA(Antares @ Feb 28 2007, 12:26 AM) *
Este es un caso tipico de blind sql lo cual significa que procesan cualquier error que ocurra y siempre te muestran la misma pagina o el mismo mensaje... cuando te das cuenta que la inyeccion esta correcta... cuando te muestre algo diferente a lo que te ha estado mostrando.

AAAAAAAhhhh!!!!! ahi esta todo!!!! ya, gracias, esa era la duda específicamente. Gracias.

Y pescao, sí he usado SQL varias veces, lo que no he usado es SQL injection.

edit: se me ocurrió cual puede ser el problema; probablemente en el campo del password se está comparando solamente un hash; la consulta debe ser como

CÓDIGO
mysql_query('select * from `tabla` where user like \''.$user.'\' and pass_hash like \''.md5(md5($salt).$pass).'\' limit 1');

o algo por el estilo; entonces al inyectar en el password me queda un hash en vez del "or 1=1". Si dije demasiado tengan la bondad de borrarlo y perdón. Si no va por ahí, por favor que alguien me diga.

Otro edit: sí, por ahí iba la cosa. Dejo esto acá arriba como ayuda pero si encuentran que es mucho por favor borrenlo.

Publicado por: PescaoDeth el 28/02/2007 10:09

La idea del code es la misma.
si fuera como tu dices no funcionaría tu inyección.
como pista te puedo decir que la inyeccion que te funcione allí tb te vá a funcionar en la web XDDDDDDDDD.

pero te aclaro que NO ES LA MISMA CONSULTA.
pero a modo general funciona si tomas ese como referencia.

pd: ahora solo te flata entender que es una inyeccion.
usa esa misma inyección en tu código y vé como queda. y verá pq no te funciona.
pero no lo postees aquí.

ya son demaciadas pistas.

^^.png aunque las verdaderas inyecciones se ven dp, esta solo es para calentar

Publicado por: ailnlv el 28/02/2007 18:16

eh... gracias pero lo pasé antes de hacer el ultimo edit;

Publicado por: edum el 21/03/2007 13:41

Hola, estoy usando Opera 9.01 y al validar el login me dice "Referencia no Valida". Pero si accedo desde Internet Explorer u Opera 8.53 me dice "Lo siento las credenciales para...". Alguien sabe a que se debe esto? Con que lo pruebo?
Saludos y Gracias

Publicado por: PescaoDeth el 22/03/2007 01:45

sip, tas filtrando los referer.
solo se permiten referers desde la misma web.
el opera quizás lo tengan en algún modo anónimo o algo por el estilo

Publicado por: EnYgMa el 25/03/2007 17:53

Hola comunidad... hace meses que no andaba por aqui..
veo que la pagina se ve mejor.. Los Admin si que saben administrarla.. mis respetos :D

Bueno.. al punto..

Ando precisamente en este reto... no utilice las tipicas inyecciones, sino que pense que el reto por ser tentativo decia no usar bruteforce.. y debiamos de usarlo.. aunque bueno.. tengo un mensaje de "que estabas intentando".. es parte del reto?.. o en realidad no deberiamos usarlo.. por que despues probe otra tecnica no bruteforce y entré y podia ejecutar ya sabes que... pero dentro de hay me aparce tambien ese mensaje... :(

me equivoque en algo??
o debo esperar a que se me quite la advertencia??

siento estar tan cercas.. :D

Saludos. tongue.gif

Publicado por: _cirrus_ el 25/03/2007 18:22

bueno como dice el mensaje no puedes usar brute force xD

Publicado por: EnYgMa el 27/03/2007 03:18

El mensaje de advertencia sigue aun activo y no puedo completar el reto... :(
yo que queria empezar con el sql injection 2..

Hay alguna forma de restaurar el reto??

Ojala y si..

Gracias por todo.

:D

Publicado por: PescaoDeth el 29/03/2007 21:19

la inyección se hace en el form que se te dá en el reto (una url).
cuando la inyeccion te sale true en el reto, te dá una respuesta para validar la prueba ;).
recuerda que se puede evadir el antiflood ;)

Publicado por: P3ll3 el 01/09/2007 09:39

:glare: , que mal , me logueo como staff pero no logro averiguar de que manera loguearme como Alluz ...
Si alguien me pudiera orientar se lo agradeceria.



Saludos.................:ninja:

Publicado por: raulete el 01/09/2007 13:34

we,muy bueno el reto. Es simple, pero me han enseñado lo básico. Desde luego las respuestas del foro solo se entienden cuando pasas el reto...(creo que esto es extensible a todos los retos).


Os doy las gracias por tener estos retos, sin duda un buen lugar de pruebas donde aprender.

Publicado por: kaposoyyo el 04/09/2007 20:34

tengo una duda.
En el inicio de la web salen varios tutoriales y uno de ellos es SQL Injection, como lo que sale es este tutorial es posible pasar ese reto.
Ya que le leí varias veces y he estado haciendo pruebas locales y aun lo me he dedicado a ver como pasar este reto

Publicado por: raulete el 06/09/2007 15:31

pruebas locales?? si lo sacas así seras el puto amo.



Si te refieres a pruebas locales bajarte la pagina en intentar inyectar algo... dejalo, si te das cuenta, es php, o sea que ese form se procesa en servidor y tu cuando te bajas la pagina no te bajas el codigo php.

Publicado por: HaDeS el 19/12/2007 06:51

Mira si te ayuda de algo:
http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/

Aunque lo mejor es conocer bien la programación con bases de datos, y saber que es lo que hace cada sentencia. (http://www.mysqlya.com.ar)
Saludos!

Publicado por: xXLeoNaR el 04/01/2008 04:32

Uaaahh no puedooo diosss!
Me estoy muriendoo ya tengo dias tratando de pasar el reto!
He leido de todo!

Pero nose estoy confundidoo!
Algunaa ayudaa!

¿ Hay q evadir el antiflood?

La inyeccion la tengo q poner en el campo de usuario y password, o en la url??

PD: Es q este temaa es nuevoo para mi, nunk he usado sql inyeccion! XD!.

Algun consejo?

Salu2!

Publicado por: garcez el 04/01/2008 15:56

CITA(xXLeoNaR @ 04/01/2008 04:32) *
PD: Es q este temaa es nuevoo para mi, nunk he usado sql inyeccion! XD!.


¿Pero has utilizado alguna vez SQL?, sino te recomiendo que leas algún tutorial para aprender lo básico, luego tendrás que profundizar en el tema a medida que vayas resolviendo este tipo de retos. Cuando logres entender un poco el SQL, algo que debes tener bien claro es imaginar la consulta que se realiza que en este caso es bien simple, también las variables que tú estás ingresando (Nombre y Contaseña) y que ayudan a estructurar esa consulta, podrás entender que si estás controlando el contenido de esas variables entonces puedes alterar la consulta que se realiza logrando hacer que dicha consulta retorne o haga lo que tú quieras.

Publicado por: xXLeoNaR el 05/01/2008 02:40

Buenoo yo me lei un poco acerca de lo q hace cada sentencia en http://www.mysqlya.com.ar, Y buee no me parecio muy complicado q se digaa!
Tambien me he leidoo cosas q he encontrado en otros foros, etc etc..

Ah y tampoco he utilizado sql, apenas es q me estoy aprendiendo sobre este tema informatica/hack..

Y buee ahora voy a empezar a buscar " sql " ..
Graciass..

Salu2!

PD: Yo pense q sql inyeccion y sql era lo mismooo! LOOOOOOLLL xDDDDDDDD!

<EDIT> Buee lei acerca de sql, y no me parecio muyy dificiil! En esta web http://www.mysqlya.com.ar y http://es.wikipedia.org/wiki/SQL#Or.C3.ADgenes_y_Evoluci.C3.B3n la infoo es bastante bueenaa, y se entiende mejoor ya q tienes q hacer ejemploss! :D:D..
Ahora voyy por sql inyeccion! xD

Publicado por: garcez el 05/01/2008 17:05

Para este primer reto solo necesitas leer y entender esto:
http://www.mysqlya.com.ar/temarios/descripcion.php?cod=6&punto=7%3Cscript%3Ealert(/Este%20es%20el%20que%20necesitas%20xD/)%3C/script%3E
Luego imagina que el campo usuario puede tener caracteres que te ayudarán a modificar la consulta.

PD: Aunque el sitio también es vulnerable a SQL Injection y a XSS, pero ya les avisé :P

Publicado por: xXLeoNaR el 05/01/2008 18:27

Buee man graciass!
Eso lo entiendoo bieen!

Donde no di con la tecla es en esta parte!

CITA(garcez @ 05/01/2008 17:05) *
Luego imagina que el campo usuario puede tener caracteres que te ayudarán a modificar la consulta.


Salu2!..

PD: Sip yac q son demasiadas pistaa, pero nose q me passaa! Ultimamente estoy como caido de la mataa! Oseaaa como dicen estoy awuebooniaaaooo! xDDDDDD..

< EDIT> .. Despues de 3 dias y millones d intento pasadoo!
Gracias a algunos user q me dieron buenas pistass! :D:D:D:D

Publicado por: Mystic_XxX el 14/03/2008 17:17

Sigo sin poder encontrar la solución y mira que llevo ya un par de días leyendo y releyendo manuales de inyección sql y me he leído ya unas 100 veces ste hilo del foro xDDD.
Como orientación, lo que estoy haciendo es hacer una select normal sustituyendo los campos de usuario y pass del form por una inyección del estilo '* OR '*'='*'-- para lograr que me lo reconozca como verdadero.
Tan mal voy? OO.png

Publicado por: perverthso el 14/03/2008 21:35

jeje estas seguro deq probaste todas las posibilidades??? y bueno como dato te digo q es mejor saber como esq se formulan las sentencias sql y cual es tu arquitectura de las mismas y como gran pista te digo q hagas lo q dice pescaodeth usa el bloc te notas ^^.png salu2 heavy.gif

Publicado por: Mystic_XxX el 17/03/2008 00:10

Weno, poco a poco voy haciendo algo (despues de tntos dias metiendo codigos ya era hora xDDD).
De momento he logrado logearme como Nitrix, a ver q tal ahora :P

Jeje, weno porfin lo pase. Gracias x las ayudas. Ns vemos en el siguiente tema jojo ladrillazos.gif

Publicado por: kicking people el 04/06/2008 15:01

Buenas... logre loggearme, pero como otro usuario que no es el que necesito (a pesar de haber puesto el nombre del usuario objetivo en el user)... Alguna ayuda para loggearme como el usuario objetivo??

Publicado por: perverthso el 05/06/2008 00:00

bueno mira bien com esq estas injecctando codigo porq q raro deq poniendo el user q te piden entre como otro revisalo bien ^^.png saludos

Publicado por: KLAN el 03/08/2008 19:58

no PUEDO!!!! :(....alguna otra pista? :S

necesito algo como no se, algo sobre SQL, ya me ley todo y no entiendo :S, soy nuevo en esto de el SQL, esta interesante, y comprendo casi a la perfeccion:

select nombre, clave from usuarios where nombre='.. ';


pero no se que mas :S

alguna page donde me digan como se inyecta?...ni idea tengo sobre esto :(,

esta *.php?... select- Mi pregunta que va en los puntos suspensivos?

va un "?id=0" :s o que es lo que va?


y como paso de eso al "select..." :S

Publicado por: PerverthsO el 04/08/2008 16:02

bueno te recomendaria q instales algun gestor de base de datos y practiques ahi bueno te recomiendo q instales si usas win32 el appserv q tiene incorporado el mysql para q hagas pruebas ahi asi entenderas las injecciones de codigo sql ;) saludos heavy.gif

Publicado por: RandomLoG el 12/01/2009 14:05

jode... me he leido media inet y he encontrado exploits, pero al probarlos solo me devuelve la misma web con la que empiezo....

Publicado por: PescaoDeth el 14/01/2009 23:30

para ningún reto es necesario un exploit.
solo debes enteder lo que haces ;)

Publicado por: rochotoon el 18/04/2009 17:57

el pass es tratado como hash en la query???

.......changos....¬¬.gif

Publicado por: PescaoDeth el 19/04/2009 00:51

averígualo XD

Publicado por: Band el 21/04/2009 07:03

CITA(rochotoon @ 18/04/2009 18:57) *
el pass es tratado como hash en la query???

.......changos....¬¬.gif



Para este primer reto, solo necesitas INYECCIÓN BÁSICA ^^.png
Aunque está bien saber si el pass es tratado como hash en la query, en este reto no te hace falta saberlo ^^.png

Solo necesitas saber un poco de SQL (nivel novato de usuario), y aprender a inyectar instrucciones básicas, no hay que complicarse demasiado.

Publicado por: ALABAZATAM el 04/06/2009 19:53

Jeje, no habia comenzado la prueba cuando la pagina me dio el mensaje:

Baneado por flood XDDDDDDD


Triste, eso me pasa por no leer las instrucciones antes de actuar wacko.gif

Publicado por: Dc_dR_aND1000 el 05/06/2009 20:53

^U^.png genial el mensaje al abrir el url del MySQL y devo admitir de que san google da mucho mejores pistas que cualquier otro aqui ( sin desmerecer a nadie ya que esto cuesta y la idea es que aprendamos por lo que no nos pueden regalar los ejercicios), pero bue... gracias a Pescaodeth entendi me baje el programa y estube como todo un puto lamer ingresando todo codigo que google me metia y al final entendi lo basico puse una prueba en el usuario y como pescaodeth dijo que era blin sql no me apareseria el tipico mensaje de error y la weaita asi que le pregunte a san google y a pescaodeth y al fin me funciono y lo comprendi a si que al agua pato!!!

gracias!!!! 8-))).gif

Publicado por: Dc_dR_aND1000 el 06/06/2009 18:30

bue... desde que ayer deje el podt anterior e webiado cn este primero pruevo cn el appserv que me recomendo pescaodeth (por sierto gracias) y despues me tiro a la inyeccion pero me di cuenta de algo:

tenemos el url http://www.yashira.org/ReTos/All/INYECCION/index.php siert?
bueno pongo la inyeccion basica para saber si es suseptible a la inyeccion con '(el codigo que ia sabemos) 1=! y nos muestra error de credenciales para tanto(el codigo que enrealidad es ').

pero sia al url http://www.yashira.org/ReTos/All/INYECCION/index.php descrito le agregamos algo como por ejemplo ?= para cualquier cosa, este no nos manda el "error" de que es suseptible y ¿por que sucede estto?

otra cosa tambn es que cuando ago alguna modificacion en el url de la prueva me devuelve a la pagina inicial de yashira ¿porque?

parecere un poco "estupido" o no se lo que se les venga a la mente a los que si saben verdaderamente de esto (me refiero a que se peinan con la inyeccion y ya van en la 6 o la pasaron)
pero para mi no lo es y quiero saber por que pasa

sin nada mas que decir (para suerte de los que se dieron la paja de leer esto) aioozzz y gracias!!!

Publicado por: PescaoDeth el 06/06/2009 20:11

Aprende a hacer consultas básicas, juega en el phpmyadmin.
ingresa las consultas como si estuvieras inyectando y como supones que internamente está la consulta y como quedaría con tu inyección.
estudia un poco de lógica (and y or)

Publicado por: Dc_dR_aND1000 el 06/06/2009 21:35

ok, eso no lo discuto de hecho juego cn el php y eso reponde una de mis preguntas pero la otra ¿por que cuando modifico el url "jugando" me devuelve a yashira.org? quiero saber eso naa mas

Publicado por: Sky el 06/06/2009 22:18

Supongo que sea porque los errores 404 de yashira estan redireccionados al index

Publicado por: Dc_dR_aND1000 el 07/06/2009 00:05

gracias por la respuesta!!!

Publicado por: kaposoyyo el 13/06/2009 05:55

Estoy igual que homero...sin pelo tanto que me resco la cabeza pudiendo buscar la solucion a este reto.
No creo que sea tan "facil" como dicen ya que igual hay que tener conocimientos para poderlo solucionar, sobre todo cuando es blind sql injetions.
Estos dias he leido de todo relacionado con el tema y sale de todos tipos de injetions, basicas, medias y advance.

Suponiendo que sea una consulta basica tendria que ser asi...

CITA
$query = mysql_query("SELECT * FROM usuarios WHERE usuario=$UserName AND password=$PassWord", $conexion);


Ahora, tengo que buscar una forma de injectar codigo sql para dar como validos los parametros que me esta solicitando...
Yo se que al final lo voy a hacer pero como dijeron por ahi...changos que es complicado

Publicado por: garcez el 14/06/2009 17:30

CITA(kaposoyyo @ 13/06/2009 05:55) *
$query = mysql_query("SELECT * FROM usuarios WHERE usuario=$UserName AND password=$PassWord", $conexion);

Esa es en esencia la consulta que se realiza y podría basarse en ella cuando resuelva un pequeño detalle en la construcción de las condiciones del WHERE.

Publicado por: kaposoyyo el 19/06/2009 19:48

NNNoooooooo LLLLLoooooooooo LLLLLLLLLoooooooogggggggrrrrrrroooooooooooo


estoy como 1 semana en esto y aun no lo puedo pasar...alguna otra pista?

Publicado por: kaposoyyo el 19/06/2009 22:45

CITA(kaposoyyo @ 19/06/2009 20:48) *
NNNoooooooo LLLLLoooooooooo LLLLLLLLLoooooooogggggggrrrrrrroooooooooooo


estoy como 1 semana en esto y aun no lo puedo pasar...alguna otra pista?


De tanto me pude logear como Nitric, voy a seguir intentandolo a ver que mas puedo conseguir vuuuupppiiii

"Ya Tengo el Poder..." jjaja

Publicado por: nahuel90 el 09/09/2009 20:45

yo tampoco lo consigo pero estoy practivando y me da este error....

CITA
Warning: mktime() expects parameter 6 to be long, string given in /home/public_html/index.php on line 313

Publicado por: HenryByt3s el 12/08/2010 14:09

Hola a todos, soy nuevo en esto del Hacking y sobre todo en ISQL, supongo que debo seguir un hilo por tema aunque sea antiguo, si no es así borren/muevan mi post.

Bueno ya leí todas las ayudas que dan en este tema y e tratado con todas, en una de esas leí una que decía que si el sistema me mostraba algo diferente iva por buen camina, en eso me di cuenta que probando con alguna de esas opciones me mostraba algo diferente. lo que hice fue codearme un sistema de autentificacion y que me mostrara ante tal tipo de instruccion un mensaje como el de la pag. y bueno logre explotarlo y autentificarme con cualquier usuario pero lo pruebo aqui y no puedo =( OO.png si hubiera algun alma encarecida que me ayude le podria mandar por privado el codigo sql con elq ue estava seguro funcionaria pero no funciona para que me pueda guiar T_T.
Salud 2.

Publicado por: Saurom el 17/08/2010 16:37

CITA(HenryByt3s @ 12/08/2010 15:09) *
Hola a todos, soy nuevo en esto del Hacking y sobre todo en ISQL, supongo que debo seguir un hilo por tema aunque sea antiguo, si no es así borren/muevan mi post.

Bueno ya leí todas las ayudas que dan en este tema y e tratado con todas, en una de esas leí una que decía que si el sistema me mostraba algo diferente iva por buen camina, en eso me di cuenta que probando con alguna de esas opciones me mostraba algo diferente. lo que hice fue codearme un sistema de autentificacion y que me mostrara ante tal tipo de instruccion un mensaje como el de la pag. y bueno logre explotarlo y autentificarme con cualquier usuario pero lo pruebo aqui y no puedo =( OO.png si hubiera algun alma encarecida que me ayude le podria mandar por privado el codigo sql con elq ue estava seguro funcionaria pero no funciona para que me pueda guiar T_T.
Salud 2.
Aunque te hagas un code que te funcione en local no tiene porque coincidir para nada con el del reto. Puedes suponer como es, pero si no te funciona, sera porque estas equivocado.

No se compliquen (los problemas vienen con los posteriores retos de la serie), lean lo mas basico sobre sql injection y seguro que en casi todos los tutoriales que encuentren viene la respuesta que les hara pasar el reto. A veces, hacemos mas dificiles las cosas de lo que son.

Saludos.


Publicado por: kaito el 25/10/2010 23:06

CITA(Saurom @ 17/08/2010 13:37) *
Aunque te hagas un code que te funcione en local no tiene porque coincidir para nada con el del reto. Puedes suponer como es, pero si no te funciona, sera porque estas equivocado.

No se compliquen (los problemas vienen con los posteriores retos de la serie), lean lo mas basico sobre sql injection y seguro que en casi todos los tutoriales que encuentren viene la respuesta que les hara pasar el reto. A veces, hacemos mas dificiles las cosas de lo que son.

Saludos.


e estado 1 semana ya viendo esto de sql 1, pero con tu post de que leyera lo mas basico, me ayudo bastante, alfinal termine haciendo consultas tan complejas y no era tan dificil despues de todos ^^.png!, gracias :B

Publicado por: MemoDMorgan el 08/08/2011 19:58

Hola

en este reto me aparece esto

Baneado por flood XDDDDDDD

es un error?

pues recuerdo que empeze a realizarlo hace una semana y me cargaba la pagina del reto sin problema

Gracias por cualquier respuesta.

EDIT: Arreglado y pasado, gracias !

Publicado por: furd90 el 22/08/2011 16:13

Hola, me encuentro "Baneado por flood XDDDDDDD", ¿podrian ayudarme con eso?.

Gracias!

Publicado por: g30rg3_x el 23/08/2011 23:07

Hola,

Si tienes una IP dinamica se debe solucionar tu problema si no entonces por favor comunícate conmigo a través de un mensaje personal donde nos hagas llegar tu dirección IP al momento para desbanearte.

Saludos