No lo consigo, 128 - [SQL] inyeccion I Opciones

[PescaoDeth]

averígualo XD

[Band]

el pass es tratado como hash en la query???

.......changos....(IMG:http://www.yashira.org/style_emoticons/Yashira/¬¬.gif)

Para este primer reto, solo necesitas INYECCIÓN BÁSICA (IMG:http://www.yashira.org/style_emoticons/Yashira/^^.png)
Aunque está bien saber si el pass es tratado como hash en la query, en este reto no te hace falta saberlo (IMG:http://www.yashira.org/style_emoticons/Yashira/^^.png)

Solo necesitas saber un poco de SQL (nivel novato de usuario), y aprender a inyectar instrucciones básicas, no hay que complicarse demasiado.

[ALABAZATAM]

Jeje, no habia comenzado la prueba cuando la pagina me dio el mensaje:

Baneado por flood XDDDDDDD

Triste, eso me pasa por no leer las instrucciones antes de actuar (IMG:http://www.yashira.org/style_emoticons/Yashira/wacko.gif)

[Dc_dR_aND1000]

(IMG:http://www.yashira.org/style_emoticons/Yashira/^U^.png) genial el mensaje al abrir el url del MySQL y devo admitir de que san google da mucho mejores pistas que cualquier otro aqui ( sin desmerecer a nadie ya que esto cuesta y la idea es que aprendamos por lo que no nos pueden regalar los ejercicios), pero bue... gracias a Pescaodeth entendi me baje el programa y estube como todo un puto lamer ingresando todo codigo que google me metia y al final entendi lo basico puse una prueba en el usuario y como pescaodeth dijo que era blin sql no me apareseria el tipico mensaje de error y la weaita asi que le pregunte a san google y a pescaodeth y al fin me funciono y lo comprendi a si que al agua pato!!!

gracias!!!! (IMG:http://www.yashira.org/style_emoticons/Yashira/8-))).gif)

[Dc_dR_aND1000]

bue... desde que ayer deje el podt anterior e webiado cn este primero pruevo cn el appserv que me recomendo pescaodeth (por sierto gracias) y despues me tiro a la inyeccion pero me di cuenta de algo:

tenemos el url AQUI siert?
bueno pongo la inyeccion basica para saber si es suseptible a la inyeccion con '(el codigo que ia sabemos) 1=! y nos muestra error de credenciales para tanto(el codigo que enrealidad es ').

pero sia al url AQUI descrito le agregamos algo como por ejemplo ?= para cualquier cosa, este no nos manda el "error" de que es suseptible y ¿por que sucede estto?

otra cosa tambn es que cuando ago alguna modificacion en el url de la prueva me devuelve a la pagina inicial de yashira ¿porque?

parecere un poco "estupido" o no se lo que se les venga a la mente a los que si saben verdaderamente de esto (me refiero a que se peinan con la inyeccion y ya van en la 6 o la pasaron)
pero para mi no lo es y quiero saber por que pasa

sin nada mas que decir (para suerte de los que se dieron la paja de leer esto) aioozzz y gracias!!!

[PescaoDeth]

Aprende a hacer consultas básicas, juega en el phpmyadmin.
ingresa las consultas como si estuvieras inyectando y como supones que internamente está la consulta y como quedaría con tu inyección.
estudia un poco de lógica (and y or)

[Dc_dR_aND1000]

ok, eso no lo discuto de hecho juego cn el php y eso reponde una de mis preguntas pero la otra ¿por que cuando modifico el url "jugando" me devuelve a yashira.org? quiero saber eso naa mas

[sky]

Supongo que sea porque los errores 404 de yashira estan redireccionados al index

[Dc_dR_aND1000]

gracias por la respuesta!!!

[kaposoyyo]

Estoy igual que homero...sin pelo tanto que me resco la cabeza pudiendo buscar la solucion a este reto.
No creo que sea tan "facil" como dicen ya que igual hay que tener conocimientos para poderlo solucionar, sobre todo cuando es blind sql injetions.
Estos dias he leido de todo relacionado con el tema y sale de todos tipos de injetions, basicas, medias y advance.

Suponiendo que sea una consulta basica tendria que ser asi...

$query = mysql_query("SELECT * FROM usuarios WHERE usuario=$UserName AND password=$PassWord", $conexion);

Ahora, tengo que buscar una forma de injectar codigo sql para dar como validos los parametros que me esta solicitando...
Yo se que al final lo voy a hacer pero como dijeron por ahi...changos que es complicado

[garcez]

$query = mysql_query("SELECT * FROM usuarios WHERE usuario=$UserName AND password=$PassWord", $conexion);

Esa es en esencia la consulta que se realiza y podría basarse en ella cuando resuelva un pequeño detalle en la construcción de las condiciones del WHERE.

[kaposoyyo]

NNNoooooooo LLLLLoooooooooo LLLLLLLLLoooooooogggggggrrrrrrroooooooooooo


estoy como 1 semana en esto y aun no lo puedo pasar...alguna otra pista?

[kaposoyyo]

NNNoooooooo LLLLLoooooooooo LLLLLLLLLoooooooogggggggrrrrrrroooooooooooo


estoy como 1 semana en esto y aun no lo puedo pasar...alguna otra pista?

De tanto me pude logear como Nitric, voy a seguir intentandolo a ver que mas puedo conseguir vuuuupppiiii

"Ya Tengo el Poder..." jjaja

[nahuel90]

yo tampoco lo consigo pero estoy practivando y me da este error....

Warning: mktime() expects parameter 6 to be long, string given in /home/public_html/index.php on line 313

[GozuByt3s]

Hola a todos, soy nuevo en esto del Hacking y sobre todo en ISQL, supongo que debo seguir un hilo por tema aunque sea antiguo, si no es así borren/muevan mi post.

Bueno ya leí todas las ayudas que dan en este tema y e tratado con todas, en una de esas leí una que decía que si el sistema me mostraba algo diferente iva por buen camina, en eso me di cuenta que probando con alguna de esas opciones me mostraba algo diferente. lo que hice fue codearme un sistema de autentificacion y que me mostrara ante tal tipo de instruccion un mensaje como el de la pag. y bueno logre explotarlo y autentificarme con cualquier usuario pero lo pruebo aqui y no puedo =( (IMG:http://www.yashira.org/style_emoticons/Yashira/OO.png) si hubiera algun alma encarecida que me ayude le podria mandar por privado el codigo sql con elq ue estava seguro funcionaria pero no funciona para que me pueda guiar T_T.
Salud 2.

[Saurom]

Hola a todos, soy nuevo en esto del Hacking y sobre todo en ISQL, supongo que debo seguir un hilo por tema aunque sea antiguo, si no es así borren/muevan mi post.

Bueno ya leí todas las ayudas que dan en este tema y e tratado con todas, en una de esas leí una que decía que si el sistema me mostraba algo diferente iva por buen camina, en eso me di cuenta que probando con alguna de esas opciones me mostraba algo diferente. lo que hice fue codearme un sistema de autentificacion y que me mostrara ante tal tipo de instruccion un mensaje como el de la pag. y bueno logre explotarlo y autentificarme con cualquier usuario pero lo pruebo aqui y no puedo =( (IMG:http://www.yashira.org/style_emoticons/Yashira/OO.png) si hubiera algun alma encarecida que me ayude le podria mandar por privado el codigo sql con elq ue estava seguro funcionaria pero no funciona para que me pueda guiar T_T.
Salud 2.

Aunque te hagas un code que te funcione en local no tiene porque coincidir para nada con el del reto. Puedes suponer como es, pero si no te funciona, sera porque estas equivocado.

No se compliquen (los problemas vienen con los posteriores retos de la serie), lean lo mas basico sobre sql injection y seguro que en casi todos los tutoriales que encuentren viene la respuesta que les hara pasar el reto. A veces, hacemos mas dificiles las cosas de lo que son.

Saludos.

[kaito]

Aunque te hagas un code que te funcione en local no tiene porque coincidir para nada con el del reto. Puedes suponer como es, pero si no te funciona, sera porque estas equivocado.

No se compliquen (los problemas vienen con los posteriores retos de la serie), lean lo mas basico sobre sql injection y seguro que en casi todos los tutoriales que encuentren viene la respuesta que les hara pasar el reto. A veces, hacemos mas dificiles las cosas de lo que son.

Saludos.

e estado 1 semana ya viendo esto de sql 1, pero con tu post de que leyera lo mas basico, me ayudo bastante, alfinal termine haciendo consultas tan complejas y no era tan dificil despues de todos (IMG:http://www.yashira.org/style_emoticons/Yashira/^^.png) !, gracias :B

[MemoDMorgan]

Hola

en este reto me aparece esto

Baneado por flood XDDDDDDD

es un error?

pues recuerdo que empeze a realizarlo hace una semana y me cargaba la pagina del reto sin problema

Gracias por cualquier respuesta.

EDIT: Arreglado y pasado, gracias !

Mensaje modificado por MemoDMorgan el 22/08/2011 03:55

[furd90]

Hola, me encuentro "Baneado por flood XDDDDDDD", ¿podrian ayudarme con eso?.

Gracias!

[g30rg3_x]

Hola,

Si tienes una IP dinamica se debe solucionar tu problema si no entonces por favor comunícate conmigo a través de un mensaje personal donde nos hagas llegar tu dirección IP al momento para desbanearte.

Saludos