banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Hướng dẫn khai thác SQL Injection đối với MySQL  XML
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 17/07/2009 18:53:32 (+0700) | #31 | 186573
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
nói như admin thì theo em hiểu khai thác SQL Injection bây h 99.99999% thu được password được "mã hóa" ? không lẽ cách thâm nhập này đã lỗi thời? newbie có zi ko đúng xin thứ lỗi.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 17/07/2009 18:57:54 (+0700) | #32 | 186574
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

constructor_87 wrote:
nói như admin thì theo em hiểu khai thác SQL Injection bây h 99.99999% thu được password được "mã hóa" ? không lẽ cách thâm nhập này đã lỗi thời? newbie có zi ko đúng xin thứ lỗi. 


Cách thâm nhập nào thuộc dạng step-by-step và người thâm nhập không hiểu cấu trúc của ứng dụng mình đang thâm nhập thì lúc nào cũng lỗi thời cả. Ngay cả khi cái "step-by-step" ấy vừa được ra đời, nó đã... lỗi thời.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 17/07/2009 21:31:52 (+0700) | #33 | 186578
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
em nghĩ rằng SQL Injection là bug trong mySQL và mình khai thác nó, tất nhiên sử dụng code mySQL để thâm nhập rồi. ngoài ra còn phải hiểu cấu trúc gì thêm ?
anh nói : "cấu trúc của ứng dụng mình đang thâm nhập" ở đây là gì? có thể nói rõ hơn 1 chút không ạ?
mong được chỉ giáo thêm. cám ơn!
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 17/07/2009 23:39:40 (+0700) | #34 | 186593
lyhuuloi
Elite Member

[Minus]    0    [Plus]
Joined: 04/04/2003 11:29:17
Messages: 90
Location: TP HCM
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]

constructor_87 wrote:
em nghĩ rằng SQL Injection là bug trong mySQL và mình khai thác nó, tất nhiên sử dụng code mySQL để thâm nhập rồi. ngoài ra còn phải hiểu cấu trúc gì thêm ?
anh nói : "cấu trúc của ứng dụng mình đang thâm nhập" ở đây là gì? có thể nói rõ hơn 1 chút không ạ?
mong được chỉ giáo thêm. cám ơn! 

Bạn nói đúng smilie Nhưng vấn đề bạn lấy được mã md5 rồi mà không biết phải làm gì với nó thì đó là lúc mà bạn phải tìm hiểu về cấu trúc của website đang thâm nhập smilie

Bạn phải hiểu được cách tạo ra mã md5 đó, ví dụ được md5 mấy lần, mã md5 này có liên quan đến một chuỗi nào đó để tạo ra nó không,... etc.

và quan trọng là hack thì phải biết mình cần cái gì,.. giống như kiểu muốn ăn thì lăn vào bếp vậy smilie

I'm only a newbie, dont hurt me, plz smilie
http://lyhuuloi.com smilie
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 18/07/2009 00:38:13 (+0700) | #35 | 186604
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

constructor_87 wrote:
em nghĩ rằng SQL Injection là bug trong mySQL và mình khai thác nó, tất nhiên sử dụng code mySQL để thâm nhập rồi. ngoài ra còn phải hiểu cấu trúc gì thêm ?
anh nói : "cấu trúc của ứng dụng mình đang thâm nhập" ở đây là gì? có thể nói rõ hơn 1 chút không ạ?
mong được chỉ giáo thêm. cám ơn! 


Bồ nên hiểu thêm thế nào là sql injection và không nên "nghĩ" mà không rõ tính chất của nó.

mySQL hoặc bất cứ CSDL nào chỉ là CSDL. Ta truy vấn cái gì, nó trả lời cái nấy. Ta truy vấn sai, nó từ chối cung cấp thông tin. SQL injection xảy bởi vì ứng dụng web "bị" dùng để truy vấn những thứ lẽ ra không nên truy vấn. Đây là lỗi của ứng dụng web chớ chẳng phải lỗi của CSDL bởi vì nó không kiểm soát "cái gì" được dùng để truy vấn đến CSDL.

Riêng khoản "cấu trúc của ứng dụng mình đang thâm nhập" thì khoản này khá rộng. Ví dụ, bồ đang thử SQL inject để "mò" lấy thông tin của cột chứa mật khẩu và bồ biết rằng ứng dụng web bồ đang tấn công là vBulletin Forum chẳng hạn. Để hiểu cấu trúc của nó, trước tiên bồ cần có source của vBulletin và nghiên cứu cơ chế tạo và lưu mật khẩu. Nếu biết trước rằng vBulletin hash mật khẩu hai lần bằng MD5 thì có lẽ bồ không phải tốn thời gian để thực hiện SQL Injection để thâu lượm được một mới MD5 hash kia.

Điều căn bản nhất cần ghi nhớ: muốn exploit cái gì thì phải nắm vững cái ấy.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 18/07/2009 02:35:38 (+0700) | #36 | 186610
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
@lyhuuloi: mới đọc mấy bài của bác bên phần lập trình web ^^! ma em có commen bên blog của bác rồi. mong bác sớm hồi âm smilie

@conmale: cám ơn bác (ko biết em đủ tuổi chưa smilie ) conmale nhiều! em đã thông thoáng hơn rồi smilie và em cũng đã và đang thực hiện "Điều căn bản nhất cần ghi nhớ" của bác dặn đây (trong đó nhờ công của bác nhiều đấy ạ ^^! )
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 18/07/2009 02:55:05 (+0700) | #37 | 186612
lyhuuloi
Elite Member

[Minus]    0    [Plus]
Joined: 04/04/2003 11:29:17
Messages: 90
Location: TP HCM
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]

constructor_87 wrote:
@lyhuuloi: mới đọc mấy bài của bác bên phần lập trình web ^^! ma em có commen bên blog của bác rồi. mong bác sớm hồi âm smilie 

Hi, mình đã trả lời lại trên Blog, thanks bạn đã comment, and hope you like it smilie

Hello HVA smilie
http://lyhuuloi.com smilie
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 18/07/2009 08:11:51 (+0700) | #38 | 186651
tinios
Member

[Minus]    0    [Plus]
Joined: 27/02/2009 18:00:44
Messages: 22
Offline
[Profile] [PM]
mọi người cho em hỏi trong blind SQL thì làm sao phân biệt được MSSQL và MYSQL vì thường lỗi không xuất ra màn hình
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 22/07/2009 12:53:05 (+0700) | #39 | 187118
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
nhìn vào lỗi truy vấn làm sao biết dc web sử dụng loại database nào? đối với mỗi loại database thì lệnh truy vấn sẽ khác nhau phải ko nhỉ? ví dụ như mySQL và SQLserver code truy vấn trên url sẽ khác nhau?
lỗi xuất hiện khi thêm ' sau id :

SQL query : SELECT * FROM hn_aboutuS WHERE AU_ID=8\'

SQL Error : (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

File : AboutUs.php
Line : 100
vậy web đã vá lỗi hay chưa?
xin chỉ giáo. cám ơn!
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 22/07/2009 17:44:39 (+0700) | #40 | 187123
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

constructor_87 wrote:
nhìn vào lỗi truy vấn làm sao biết dc web sử dụng loại database nào? đối với mỗi loại database thì lệnh truy vấn sẽ khác nhau phải ko nhỉ? ví dụ như mySQL và SQLserver code truy vấn trên url sẽ khác nhau?
lỗi xuất hiện khi thêm ' sau id :

SQL query : SELECT * FROM hn_aboutuS WHERE AU_ID=8\'

SQL Error : (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

File : AboutUs.php
Line : 100
vậy web đã vá lỗi hay chưa?
xin chỉ giáo. cám ơn! 


---> quá rõ.

Lỗi gì mà vá? Nếu lỗi do mình tạo câu truy vấn sai cú pháp thì... vá cái gì?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 22/07/2009 22:13:20 (+0700) | #41 | 187148
[Avatar]
c0ngit
Member

[Minus]    0    [Plus]
Joined: 21/07/2009 19:26:10
Messages: 11
Location: C:/
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
msa sao khi muốn test lại lỗi vậy, có phải mạng của mình có vấn đề hay là do site nhỉ smilie
• I-SHIFT.VN •
Be Yourself
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 22/07/2009 22:24:43 (+0700) | #42 | 187151
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

c0ngit wrote:
msa sao khi muốn test lại lỗi vậy, có phải mạng của mình có vấn đề hay là do site nhỉ smilie 


Tại sao hỏi một câu không có đầu đũa và vô nghĩa như vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 23/07/2009 00:02:24 (+0700) | #43 | 187175
Monkey.D.Luffy
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 10:18:18
Messages: 9
Location: @
Offline
[Profile] [PM]

tinios wrote:
mọi người cho em hỏi trong blind SQL thì làm sao phân biệt được MSSQL và MYSQL vì thường lỗi không xuất ra màn hình  


Cái này thì theo kinh nghiệm của mình thì đa phần thằng nào xài PHP là dùng MySQL còn ASP, ASP.NET thì MSSQL, còn không thì bác có thể đoán qua function version() (MYSQL) hay @@version (MSSQL).
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 23/07/2009 05:43:54 (+0700) | #44 | 187205
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]

constructor_87 wrote:
nhìn vào lỗi truy vấn làm sao biết dc web sử dụng loại database nào? đối với mỗi loại database thì lệnh truy vấn sẽ khác nhau phải ko nhỉ? ví dụ như mySQL và SQLserver code truy vấn trên url sẽ khác nhau?
-----------------------------------------------------------------------------------------------------------------------------------
lỗi xuất hiện khi thêm ' sau id :

SQL query : SELECT * FROM hn_aboutuS WHERE AU_ID=8\'

SQL Error : (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

File : AboutUs.php
Line : 100
vậy web đã vá lỗi hay chưa?
xin chỉ giáo. cám ơn! 


bác conmale ơi! câu hỏi của em chia thành 2 câu riêng biệt, phần trên và dưới gạch ngang ko a/h gì đến nhau ạ!
mà trong câu hỏi dưới thì lỗi xuất hiện khi em thêm ' sau id trên url (tại sao lại là truy vấn sai?) cám ơn bác nhiều!
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 23/07/2009 05:48:15 (+0700) | #45 | 187206
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

constructor_87 wrote:

constructor_87 wrote:
nhìn vào lỗi truy vấn làm sao biết dc web sử dụng loại database nào? đối với mỗi loại database thì lệnh truy vấn sẽ khác nhau phải ko nhỉ? ví dụ như mySQL và SQLserver code truy vấn trên url sẽ khác nhau?
-----------------------------------------------------------------------------------------------------------------------------------
lỗi xuất hiện khi thêm ' sau id :

SQL query : SELECT * FROM hn_aboutuS WHERE AU_ID=8\'

SQL Error : (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

File : AboutUs.php
Line : 100
vậy web đã vá lỗi hay chưa?
xin chỉ giáo. cám ơn! 


bác conmale ơi! câu hỏi của em chia thành 2 câu riêng biệt, phần trên và dưới gạch ngang ko a/h gì đến nhau ạ!
mà trong câu hỏi dưới thì lỗi xuất hiện khi em thêm ' sau id trên url (tại sao lại là truy vấn sai?) cám ơn bác nhiều! 


2 câu riêng biệt nhưng phần 2 trả lời cho phần 1.

Tại sao truy vấn sai? Đọc trang http://dev.mysql.com/doc/.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 23/07/2009 11:45:48 (+0700) | #46 | 187242
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
thế bác cho em bỏ câu thứ 2 đi! em chỉ muốn tìm hiểu thế này "nhìn vào lỗi truy vấn làm sao biết dc web sử dụng loại database nào? đối với mỗi loại database thì lệnh truy vấn sẽ khác nhau phải ko nhỉ? ví dụ như mySQL và SQLserver code truy vấn trên url sẽ khác nhau?" trăm sự nhờ bác ^^! mà link bác cho die ròi >"<
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 23/07/2009 18:29:19 (+0700) | #47 | 187265
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

constructor_87 wrote:
thế bác cho em bỏ câu thứ 2 đi! em chỉ muốn tìm hiểu thế này "nhìn vào lỗi truy vấn làm sao biết dc web sử dụng loại database nào? đối với mỗi loại database thì lệnh truy vấn sẽ khác nhau phải ko nhỉ? ví dụ như mySQL và SQLserver code truy vấn trên url sẽ khác nhau?" trăm sự nhờ bác ^^! mà link bác cho die ròi >"<
 


Học để biết SQL là gì rồi hẵng nói đến chuyện SQL Injection.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 24/07/2009 00:54:42 (+0700) | #48 | 187309
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
thôi thì bác chiếu cố bật mí cho em tí. chứ em cũng đang mày mò SQL đâu phải hỏi chơi đâu ạ , huu
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 24/07/2009 03:11:30 (+0700) | #49 | 187335
lyhuuloi
Elite Member

[Minus]    0    [Plus]
Joined: 04/04/2003 11:29:17
Messages: 90
Location: TP HCM
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]

constructor_87 wrote:
thôi thì bác chiếu cố bật mí cho em tí. chứ em cũng đang mày mò SQL đâu phải hỏi chơi đâu ạ , huu 

Bác conmale nói đúng mà smilie Nếu đúng là đang mò SQL thật, thì chắc hẳn nhìn câu 2 đã trả lời cho câu 1 rồi, học đi trước khi học chạy nhé bạn smilie

PS: Em thích câu trả lời của bác conmale lắm smilie
http://lyhuuloi.com smilie
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/07/2009 04:22:04 (+0700) | #50 | 187452
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]

lyhuuloi wrote:

constructor_87 wrote:
thôi thì bác chiếu cố bật mí cho em tí. chứ em cũng đang mày mò SQL đâu phải hỏi chơi đâu ạ , huu 

Bác conmale nói đúng mà smilie Nếu đúng là đang mò SQL thật, thì chắc hẳn nhìn câu 2 đã trả lời cho câu 1 rồi, học đi trước khi học chạy nhé bạn smilie

PS: Em thích câu trả lời của bác conmale lắm smilie 

hỏi là cách học tập nhanh nhất mà.... em đang học chứ có chơi đâu bác lyhuuloi smilie
[Up] [Print Copy]
  [Discussion]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/07/2009 05:00:55 (+0700) | #51 | 187461
seamoun
Advisor

Joined: 04/01/2002 14:05:10
Messages: 357
Offline
[Profile] [PM]

constructor_87 wrote:

lyhuuloi wrote:

constructor_87 wrote:
thôi thì bác chiếu cố bật mí cho em tí. chứ em cũng đang mày mò SQL đâu phải hỏi chơi đâu ạ , huu 

Bác conmale nói đúng mà smilie Nếu đúng là đang mò SQL thật, thì chắc hẳn nhìn câu 2 đã trả lời cho câu 1 rồi, học đi trước khi học chạy nhé bạn smilie

PS: Em thích câu trả lời của bác conmale lắm smilie 

hỏi là cách học tập nhanh nhất mà.... em đang học chứ có chơi đâu bác lyhuuloi smilie  

Theo seamoun thì bạn nên học từ cái căn bản nhất, rồi hãy tính đến chuyện security, hack hiếc này nọ, chứ đừng đụng cái gì cũng hỏi, phải học và làm đi, khi đó nếu có trở ngại thì mới hỏi. Đề nghị không hỏi vu vơ trong chủ đề này nữa ! smilie smilie
--vickigroup.com--
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/07/2009 05:15:51 (+0700) | #52 | 187462
MrKenichi
Member

[Minus]    0    [Plus]
Joined: 10/11/2007 14:12:49
Messages: 7
Offline
[Profile] [PM]
constructor_87 nên so sánh coi khi CSDL là mysql thì nó hiện thông báo lỗi là thế nào , mssql hoặc jet thì thế nào nhưng trước hết muốn sql injection thì phải học căn bản đã SQL là gì ?.
Seamoun có cách tip nào hay thủ thuật có thể blind mysql để đoán thông tin table ... nhanh chóng hơn không smilie . Cảm ơn nhiều
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/07/2009 05:59:43 (+0700) | #53 | 187468
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
@seamoun: vừa học nhưng cũng vừa ....(hehe...) cho nó đỡ nhạt bác à hii
@MrKenichi: chưa biết lỗi của từng loại database như thế nào thì sao mà so sánh hả bác smilie
tiện cho em test kiến thức về SQL chút smilie
Code:
SQL query : SELECT * FROM hn_train WHERE N_ID=26 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

SQL Error : (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–' at line 1

File : Trainning.php
Line : 100


=> datbase là SQL server, lỗi là do truy vấn
UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–
sai trường và table.
em kết luận vấy chuẩn chưa ạ?
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/07/2009 07:51:57 (+0700) | #54 | 187477
seamoun
Advisor

Joined: 04/01/2002 14:05:10
Messages: 357
Offline
[Profile] [PM]

constructor_87 wrote:
@seamoun: vừa học nhưng cũng vừa ....(hehe...) cho nó đỡ nhạt bác à hii
@MrKenichi: chưa biết lỗi của từng loại database như thế nào thì sao mà so sánh hả bác smilie
tiện cho em test kiến thức về SQL chút smilie
Code:
SQL query : SELECT * FROM hn_train WHERE N_ID=26 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

SQL Error : (1064) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the [color=#444444][color=red]right syntax to u[/color]se near '1 [/color]TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–' at line 1

File : Trainning.php
Line : 100


=> datbase là SQL server, lỗi là do truy vấn
UNION SELECT [color=red]TOP 1[/color] TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–
sai trường và table.
em kết luận vấy chuẩn chưa ạ?  


Tôi đã nói là bạn hãy học kỹ SQL đối với từng loại database rồi hãy hỏi.
--vickigroup.com--
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/07/2009 10:25:09 (+0700) | #55 | 187494
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
thực sự em mò mẫm SQL và em đã hiểu các lệnh truy vấn của nó nhưng SQL đối với từng loại database thì em ko tìm đâu ra tài liệu. mong mấy bác tư vấn dùm các thắc mắc của em nha'... hu...
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/07/2009 13:55:54 (+0700) | #56 | 187514
joaqujn
Member

[Minus]    0    [Plus]
Joined: 25/07/2009 01:22:56
Messages: 1
Offline
[Profile] [PM]
Cho mình hỏi với MySQL v3 liệu có cách nào khai thác ko?
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 29/07/2009 01:32:09 (+0700) | #57 | 187873
phamlenhan555
Member

[Minus]    0    [Plus]
Joined: 20/07/2009 11:25:30
Messages: 14
Offline
[Profile] [PM]
mún làm thử thì dow cái testermysql của ông ML về chạy thử tui cũng đang học cái này đây
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 29/07/2009 12:01:54 (+0700) | #58 | 187951
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]

conmale wrote:

constructor_87 wrote:
thì mình không hề nhờ giải mã mà smilie ý mình ở đây là mình làm theo hướng dẫn nhưng không ra password bình thường mà lại ra password đã bị mã hóa. và mình không hiểu lý do tại sao lại vậy. không lẽ kết quả đạt được lại mang tính hên xui .... (xui thì ra pw đã bị mã hóa như mình) 


Nếu mật khẩu được "mã hóa" và lưu trong CSDL ở dạng "mã hóa" thì bồ "lấy" nó ra, nó cũng ở dạng "mã hóa" chớ có gì đâu mà khó hiểu?

99.99999% các ứng dụng thời buổi này không lưu mật khẩu ở dạng cleartext mà thường được "mã hóa". Đây là chuyện thông thường mà thôi. Chẳng có gì hên xui cả. 


hầu như password thu đc thời buổi này đều đc "mã hóa" như bác nói. có lẽ sql injection "lỗi thời" thật rồi bác à!

mà các câu truy vấn tùy thuộc theo code của web chứ loại database đâu có a/h gì đến truy vấn của sql ịnection đâu bác nhỉ?
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 29/07/2009 15:37:27 (+0700) | #59 | 187963
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
@constructor_87: thế còn những queries như DROP, INSERT, UPDATE thì có lỗi thời không bạn? Sao lại thấy cái gì cứ mã hóa là chịu thua vậy?
Mind your thought.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 29/07/2009 23:40:24 (+0700) | #60 | 187975
sovietw0rm
Member

[Minus]    0    [Plus]
Joined: 14/02/2008 18:05:38
Messages: 7
Offline
[Profile] [PM]

constructor_87 wrote:

conmale wrote:

constructor_87 wrote:
thì mình không hề nhờ giải mã mà smilie ý mình ở đây là mình làm theo hướng dẫn nhưng không ra password bình thường mà lại ra password đã bị mã hóa. và mình không hiểu lý do tại sao lại vậy. không lẽ kết quả đạt được lại mang tính hên xui .... (xui thì ra pw đã bị mã hóa như mình) 


Nếu mật khẩu được "mã hóa" và lưu trong CSDL ở dạng "mã hóa" thì bồ "lấy" nó ra, nó cũng ở dạng "mã hóa" chớ có gì đâu mà khó hiểu?

99.99999% các ứng dụng thời buổi này không lưu mật khẩu ở dạng cleartext mà thường được "mã hóa". Đây là chuyện thông thường mà thôi. Chẳng có gì hên xui cả. 


hầu như password thu đc thời buổi này đều đc "mã hóa" như bác nói. có lẽ sql injection "lỗi thời" thật rồi bác à!

mà các câu truy vấn tùy thuộc theo code của web chứ loại database đâu có a/h gì đến truy vấn của sql ịnection đâu bác nhỉ?
 


sai lầm lớn nhất là câu này "mà các câu truy vấn tùy thuộc theo code của web chứ loại database đâu có a/h gì đến truy vấn của sql ịnection đâu bác nhỉ?"
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|