logo Homepage
+  NewbieContest
|-+  Divers» Hacking» Injection SQL avec evasion de filtre
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Injection SQL avec evasion de filtre  (Lu 1561 fois)
VY Canis Majoris

Profil challenge

Classement : 1430/49804

Néophyte
*
Hors ligne Hors ligne
Messages: 15


Voir le profil
« le: 11 Avril 2012 à 11:16:23 »

Bonjour a tous,

Un mec m'a montré ce site: http://hackit.sh4ka.fr/ fait par un gars de l'ESEC où le premier niveau est une injection SQL avec évasion de filtre. Je suis plutot débutant en injection SQL alors j'ai essayé ce que je pouvais pour finalement comprendre que le filtre perso qu'il a disposé bloque les espaces.

En tapant "filter evasion SQL" dans tout google j'ai trouvé pas mal de techniques pour bypasser ce problème. Notamment j'ai cru qu'en utilisant la fonction CHAR(32,...) j'y arriverai, mais meme si je ne déclenche plus le filtre, on m'a expliqué que ça traduira simplement en string mais que ça ne sera pas pris comme du SQL.

Bref, j'ai essayé tout ce que j'ai trouvé, des +, des /**/, des paranthèses, des %20, %09; %0a etc...
Je pense que mon manque d'expérience m'empeche de voir une autre piste qui doit pourtant exister.

Si quelqu'un voit un peu de quoi il pourrait s'agir, je suis preneur
Journalisée

Tant qu'on n'a pas tout donné, on n'a rien donné
Asteriksme
Modérateur Global

Profil challenge

Classement : 27/49804

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 784

.


Voir le profil WWW
« #1 le: 11 Avril 2012 à 11:31:04 »

Bonjour,

Moi je serais pas content si je voyais qu'un mec vient quémander de l'aide pour mes épreuves sur un autre site de challenge... alors peut être que c'est aussi le cas du créateur de l'épreuve en question !
Donc je pense pas que ce soit approprié de te donner une réponse, à part "cherche par toi-même, c'est le but". Enfin, je ne suis pas allé voir le site, mais si c'est le même genre de mentalité que Newbiecontest, c'est la meilleure réponse que je puisse te donner.

Asteriksme
Journalisée

"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
VY Canis Majoris

Profil challenge

Classement : 1430/49804

Néophyte
*
Hors ligne Hors ligne
Messages: 15


Voir le profil
« #2 le: 11 Avril 2012 à 13:48:27 »

Ouais c'est peut etre pas très éthique de ma part de demander une piste, après dans le hacking, tous les coups sont permis, c'est pourquoi je me suis dit qu'aucune arme n'était à négliger. Jusqu'à ce challenge, j'avais seulement réalisé 2 injections SQL basiques, et le but était de réussir celle-ci le plus rapidement possible.
Je me suis dit que comme j'avais épuisé les tutos, il devait s'agir d'un petit truc qu'on apprend a force de pratiquer, or je n'avais pas le temps de condenser des années d'experience en SQL en quelques jours.

L'auteur est sur NewbieContest aussi je crois, il m'attrapera et me punira si jamais ça lui déplait
Journalisée

Tant qu'on n'a pas tout donné, on n'a rien donné
the lsd
Administrateur

Profil challenge

Classement : 161/49804

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3034

poulping for fun & profit


Voir le profil WWW
« #3 le: 11 Avril 2012 à 13:53:51 »

Il va te fouetter, j'vais lui passer un des mes instruments de torture (un petit fouet avec des sortes de hameçons à trois piques. Rouillés, bien évidemment !)

Plus sérieusement, le but du jeu (sur NC ou les autres sites de chall), c'est de trouver par soi même. C'est comme l'histoire du mec à qui on apprend à pécher (pèche, hameçon fouet, tu vois le rapport . 'fin bref, si tu veux vraiment de l'aide tu trouveras surement quelqu'un à droite à gauche, mais ça perd son intérêt !

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Pages: [1]
  Imprimer  
 
Aller à: