Tråd bedømmelse:
  • 1 Stemmer - 3 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
[STUT] SQLi (SQL Injection)
28-06-2013, 11:11
#11
RE: [STUT] SQLi (SQL Injection)
Fokes! Har siddet og fundet en masse sites i kan øve jer på her:
http://www.shellsec.pw/showthread.php?tid=569
There is 3 rules for a life.
1. fuck.
2. Dont give a fuck.
3. Dont be fucked over
Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-07-2013, 12:29
#12
RE: [STUT] SQLi (SQL Injection)
Citer:En typisk måde at se om den modtager nogle ting er ved at kigge i URL'en efter POST parametre. POST parametre er dem som vises efter .php som f.eks
www.target.com/news.php?id=23
Pedantisk detalje, men det er et GET parameter.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-07-2013, 12:35
#13
RE: [STUT] SQLi (SQL Injection)
(17-07-2013, 12:29)flyingsonyy Skrev: Pedantisk detalje, men det er et GET parameter.

Lol. Tænk at jeg har overset det :(
Retter det lige. Tak :)
Følg mig på twitter: https://twitter.com/Morph3s
Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-07-2013, 13:04 (Denne besked var sidst ændret: 17-07-2013, 13:16 af iTick.)
#14
RE: [STUT] SQLi (SQL Injection)
Man kan selvfølgelig også bruge en proxy som f.eks. Burp Suite, til at fange traffik mellem webserver og browser.
Nogle web admins er så uforskammet naive, at de kan finde på at bruge snavs som <input type=hidden.. til at bære priser på varer osv. med.
Så er det jo meget nærlæggende, liiige at sænke prisen lidt. ;) Man kunne måske også tænke lidt over, hvad der sker hvis man sætter en negativ værdi ind, i stedet for den normale varepris. Man skal bare nå at ændre værdien, inden forbindelsen timer ud.
Godt sammen med googlehacking: intitle:shop "<input" 'type="hidden"' OR "type=hidden" eller noget i den stil.

Eller måske er denne bedre:
intitle:shop "<input" 'type="hidden"' OR "type=hidden" "name=price" OR 'name="price"'
Man burde læse lidt op på det. Hehe.
EDIT: Men det har selvfølgelig ikke rigtig noget med SQL Injections at gøre.
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-07-2013, 14:24
#15
RE: [STUT] SQLi (SQL Injection)
eller tamper requesten?

itick forstår ikke lige hvad din post har med noget at gøre? (:.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-07-2013, 14:47
#16
RE: [STUT] SQLi (SQL Injection)
(17-07-2013, 14:24)sabu Skrev: eller tamper requesten?

itick forstår ikke lige hvad din post har med noget at gøre? (:.

Det er i relation til POST og GET. :)
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
18-07-2013, 01:01
#17
RE: [STUT] SQLi (SQL Injection)
Nice tut... BTW jeg tror der er noget SQLI her http://624.dk/default.asp?pageid=1780
Methaqualon 4 life
Find alle beskeder fra denne bruger
Citer denne besked i et svar
23-07-2013, 10:37
#18
RE: [STUT] SQLi (SQL Injection)
(23-02-2013, 15:21)Morph3s Skrev: [color=#FF4500]NOTE:
Kode:
www.target.com/news.php?id=23 union select 1,2,3,4,5,6
Eller
www.target.com/news.php?id=-23 union select 1,2,3,4,5,6
(Det er forskelligt hvad der virker, prøv dem begge.)

Det kan også se sådan her ud:
Kode:
www.target.com/news.php?id=23 union select 1,2,3,4,5,6--
Lige hvis der er nogen der sidder fast et sted Happy
There is 3 rules for a life.
1. fuck.
2. Dont give a fuck.
3. Dont be fucked over
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)