|
Titre: Injection SQL avec Order by ? Posté par: kevinator le 18 Avril 2008 à 16:34:11 Bon voila , avec l'accord du webmaster, je recherche des failles sur son site.
J' en ai déjà trouvé des tonnes ( Upload, xss persistante, non persistante,...) je ne citerait donc pas l'adresse du site en question =) Je soupçonne maintenant un injection SQL par modification d' URL: ---Rien du tout--- Il est facile de faire planter cette requête SQL, le resultat apparait sur le site... ---Rien du tout--- Je tente donc une union et la il me sort: ---et encore rien du tout--- EDIT: Je repare mes erreurs...désolé ! Titre: Re : Injection SQL avec Order by ? Posté par: john81 le 18 Avril 2008 à 17:41:22 Tiens, marrant, ça ressemble à des épreuves de hacking de nc ça :lol:
--zappé all by myself -- Titre: Re : Injection SQL avec Order by ? Posté par: kevinator le 18 Avril 2008 à 17:51:04 OK donc c'est donc impossible...
Effectivement cela ressemble ressemble au épreuve du site, le site que je teste regroupe dailleur presque la totalité des failles présentent dans ces épreuves ! Le pire que j'ai eu c'est la faille Upload... Je suis étonné que le site soit encore indemne... :/ Le pire c'est que le webmaster en question possède quatre sites, avec exactement les mêmes failles sur chaqu'un d'eux... P.S: J'espère que tu n'as pas cru que je trichais ? ( Sinon je t'envoie le site par MP ) Titre: Re : Re : Injection SQL avec Order by ? Posté par: Al3x le 18 Avril 2008 à 18:17:51 Tiens, marrant, ça ressemble à des épreuves de hacking de nc ça :lol: Sinon, ton erreur provient du fait que pour avoir un order by et un union il faut faire : (select machin from truc where bidule order by x) union (select machin2 from truc2 where bidule2 order by x2) sans oublier les parenthèses pour les 2 select. Donc, dans ton cas, le union est impossible (en tout cas, c'est ce que j'avais lu !) Pas besoin des parenthèses pour un UNION. Titre: Re : Injection SQL avec Order by ? Posté par: the lsd le 18 Avril 2008 à 20:11:52 Ca correspond effectivement à une épreuve d'apres mes souvenirs... J'apprécie pas trop le fait de demander de l'aide (et qu'on y reponde) pour une épreuve, surtout en cachant cette demande !!!
Donc bon... Enjoy The lsd Titre: Re : Injection SQL avec Order by ? Posté par: kevinator le 18 Avril 2008 à 20:20:51 Voila the Isd, je viens de t'envoyer un message privé stipulant l'adresse du site en question, direct sur la faille en question. Jamais je ne réclamerais de l'aide de cette manière fourbe et malhonnête, jamais !
Titre: Re : Re : Re : Injection SQL avec Order by ? Posté par: john81 le 18 Avril 2008 à 20:46:43 -- zappé aussi --
Et pour Kevinator, j'veux bien te croire, mais bon, ça ressemble quand même super drolement à une épreuve de hack. Donc à la limite, essaye d'en dire moins, sinon ce topic deviendra le topic de l'aide pour l'épreuve en question. Titre: Re : Injection SQL avec Order by ? Posté par: kevinator le 18 Avril 2008 à 20:51:08 Désolé je pense qu'il faudrait effectivement fermer ce topic....
J'ai fourni à John81 et à the Isd des preuves que j'espère convaincantes... |