Titre: Aide Sql injection Posté par: klez le 19 Septembre 2006 à 16:53:11 Bonjour , voila je tente une sql injection sur le site d'un pot :lol:
login: blabla pass: ' or 1=1 et la j'ai en retour Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /page.php on line 40 :rolleyes: si quelqu'un pouvez m'aider car je suis vrément noob en php/mysql d'**orthographe !** il m'a di le nom de sa table , c'est passadmin... bye Titre: Aide Sql injection Posté par: lilxam le 19 Septembre 2006 à 16:56:28 Essaye 'or 1=1# ou 'or 1=1-- !
Titre: Aide Sql injection Posté par: klez le 19 Septembre 2006 à 17:46:45 lol exact du coup sa marche mieu
Merci a toi :lol: Titre: Aide Sql injection Posté par: lilxam le 19 Septembre 2006 à 18:53:15 derien !
Titre: Aide Sql injection Posté par: Folcan le 19 Septembre 2006 à 22:17:07 Mais a quoi servent donc les si belles epreuves de NC ????
Voila un bel exemple de la question qui m'a été posé l'autre soir : "Est ce que mettre des commentaires a la fin sert vraiment à grand chose ?" Titre: Aide Sql injection Posté par: klez le 20 Septembre 2006 à 10:23:18 Citation de: Folcan Mais a quoi servent donc les si belles epreuves de NC ???? lol est bien justement j'arrive pas a la passer cette épreuve :?Voila un bel exemple de la question qui m'a été posé l'autre soir : "Est ce que mettre des commentaires a la fin sert vraiment à grand chose ?" Titre: Aide Sql injection Posté par: lilxam le 20 Septembre 2006 à 12:50:13 Oui a cette epreuve il faut faire attention au espaces et a ne pas mettre de majuscules
Titre: Aide Sql injection Posté par: klez le 21 Septembre 2006 à 13:08:22 erf a enfin merci pour le conseil sa marche mieu maintenant :D
Merci encore a toi ... ta signature dit bien la vérité :lol: Titre: Aide Sql injection Posté par: Fantastikos le 06 Janvier 2007 à 14:45:38 Moi j'ai trouvé un tuto pas mal sur l'injection SQL.
http://venom630.free.fr/tutoriaux/hacking/injection_sql/ Par contre je ne comprend pas où on doit injecter notre code SQL. Dans la zone de saisie du formulaire ? --> Ca ne marche pas. Merci de votre aide. Titre: Aide Sql injection Posté par: akhenathon le 06 Janvier 2007 à 15:11:19 alors la je crois que toi tu as tout compris :rolleyes:
Titre: Aide Sql injection Posté par: Fantastikos le 06 Janvier 2007 à 15:23:10 Merci pour cette réponse inutile qui ne fait pas avancer le problème :evil:
Une aide un peu plus constructive serait la bienvenue.... Titre: Aide Sql injection Posté par: akhenathon le 06 Janvier 2007 à 15:35:05 Citation de: Fantastikos Par contre je ne comprend pas où on doit injecter notre code SQL. c'est bien dans la zone de saisie mais il faut faire la bonne injectionDans la zone de saisie du formulaire ? --> Ca ne marche pas. Merci de votre aide. Titre: Aide Sql injection Posté par: Fantastikos le 06 Janvier 2007 à 15:44:28 Bah c'est sacrément bizzar !! Il existe pleins d'injections.
D'après le tuto il faut injecter des données vrais . Mais ça ne fonctionne pas. D'où mon post :D Titre: Aide Sql injection Posté par: the lsd le 06 Janvier 2007 à 17:40:09 Ahh la la ! J'adore quand les gens remontent des topics pourssierreux et pas tellement utiles...
Enjoy The lsd Titre: Aide Sql injection Posté par: Fantastikos le 06 Janvier 2007 à 18:50:19 J'y crois pas :shock: !!
Encore une réponse qui ne serre à rien. De plus je prend les vieux topics pour éviter d'en faire un autre ! C'est pas moi qui est inventé les règles... Titre: Aide Sql injection Posté par: Zmx le 06 Janvier 2007 à 19:32:14 Citation de: Fantastikos Moi j'ai trouvé un tuto pas mal sur l'injection SQL. ça ne marche JAMAIS si le site est protégé contre ça.http://venom630.free.fr/tutoriaux/hacking/injection_sql/ Par contre je ne comprend pas où on doit injecter notre code SQL. Dans la zone de saisie du formulaire ? --> Ca ne marche pas. Merci de votre aide. C'est aussi tres difficile des que magic_quote est activé... Tu crois quoi ? que suffit de lire un tut pour hacker tous les formulaire du net ? Titre: Aide Sql injection Posté par: Fantastikos le 06 Janvier 2007 à 20:28:28 Citation de: Zmx Citation de: Fantastikos Moi j'ai trouvé un tuto pas mal sur l'injection SQL. ça ne marche JAMAIS si le site est protégé contre ça.http://venom630.free.fr/tutoriaux/hacking/injection_sql/ Par contre je ne comprend pas où on doit injecter notre code SQL. Dans la zone de saisie du formulaire ? --> Ca ne marche pas. Merci de votre aide. C'est aussi tres difficile des que magic_quote est activé... Tu crois quoi ? que suffit de lire un tut pour hacker tous les formulaire du net ? Titre: Aide Sql injection Posté par: Zmx le 06 Janvier 2007 à 21:21:06 Hardeures, hardeuses ....
Ps: vu qu'on est pas dans le section prévu pour l'aide des epreuves, je pensais "naivement" que tu voulais utilisé ton tuto "on the web", et pas "on NC" donc a la rigueur, poste au bon endroit !!! Titre: Aide Sql injection Posté par: Nebelmann le 07 Janvier 2007 à 13:28:52 Citation Calme t'es hardeures. Arrête un peu de causer comme ça aux gens, tu es en train de te faire détester de tout le monde...Ce n'est pas en prenant les gens de haut que tu vas devenir mieux qu'un boulet. Titre: Aide Sql injection Posté par: Nms le 07 Janvier 2007 à 14:22:10 Le problème Fantastikos c'est que la plupart des sites sont protégés contre les injections SQL basiques tels que celles qui sont présentées dans le tuto que tu as lu. En effet, sur la plupart des serveurs, PHP est servi avec magic_quotes_gpc qui a le bon goût (ou le mauvais suivant le côté où on se place) d'ajouter des backslash \ devant les quotes et les doubles quotes. Un simple quote ' devient donc \' et un double " devient \" . Ceci empêche la plupart des injections SQL car cela empêche de "sortir" des champs entre quotes (ou double quotes) de la requête : un quote précédé de \ sera considéré comme le caractère ' par SQL alors que si tu mets une simple quote, tu peux dans une requête comme SELECT * FROM users WHERE login='$login' sortir de l'espace normalement réservé à $login (entre les quotes) et donc modifier la requête comme bon te semble.
Le seul bon conseil que je puisse te donner est de tester par toi même sur un script fait par tes soins (en local ou sur un hébergeur comme free par exemple en n'oubliant pas que free a magic_quotes_gpc d'activé) : tu te fais un formulaire qui envoie les données vers un script php qui contient une requête SQL. Si là où tu testes, les magic_quotes sont activées, tu verras que tu ne pourras rien faire, en revanche si soit tu les désactives soit tu mets un stripslashes sur les données au début du script alors là tu pourras tester les effets de l'injection SQL. Et entraine toi sur les requêtes SQL, voir ce qu'il est possible de faire, car il faut bien maitriser le langage SQL pr arriver à qqchose. Prend ton tps surtout, ce n'est pas trivial lorsqu'on débute. |