banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Hướng dẫn khai thác SQL Injection đối với MySQL  XML
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 29/07/2009 23:45:39 (+0700) | #61 | 187977
sovietw0rm
Member

[Minus]    0    [Plus]
Joined: 14/02/2008 18:05:38
Messages: 7
Offline
[Profile] [PM]

joaqujn wrote:
Cho mình hỏi với MySQL v3 liệu có cách nào khai thác ko? 


mysql v3 có cách khai thác, với mysql v3 không dùng union được vì nó không có vì vậy kỹ thuật inband sqli có lẽ là không dùng được, nhưng blind thì được ...
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 31/07/2009 12:51:16 (+0700) | #62 | 188186
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
@StarGhost: em chỉ muốn thâm nhập chứ ko dám hack mà bác. làm như bác hư hết "hàng hóa" smilie
@sovietw0rm: why ?
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 31/07/2009 13:38:05 (+0700) | #63 | 188191
pdah
Member

[Minus]    0    [Plus]
Joined: 26/06/2006 20:44:03
Messages: 47
Offline
[Profile] [PM]
Tôi để ý từ lần đầu tiên bạn constructor_87 post bài ở topic này đến bây giờ là tròn 2 tuần rồi, anh em đã nhắc bạn phải học SQL cho thật đàng hoàng rồi hãy tiếp tục nói chuyện rồi cơ mà.
Thời gian 2 tuần là quá đủ để bạn biết những thứ sơ đẳng về SQL và những thứ xung quanh nó (nếu bạn thực sự nghiêm túc) và tránh hàng tá câu phát ngôn + hỏi bừa bãi như trên.
Sorry bạn nếu bài viết này hơi nặng lời.
Tui tư duy nên tui tồn tại
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 01/08/2009 00:07:44 (+0700) | #64 | 188217
constructor_87
Member

[Minus]    0    [Plus]
Joined: 30/06/2007 00:53:47
Messages: 23
Offline
[Profile] [PM]
thứ nhất: đã học SQL thì cũng hiểu phần nào chứ sao có thể hiểu hết đc sql injection
thứ hai: dựa vào kiến thức tự mình tìm hiểu đc mình thấy các bác phản bác câu hỏi của mình vô lý mình phải hỏi ngược lại cho ra nhẽ (bổ sung luôn lỗ hỗng của mình)
chứ có gì lại bảo về ôm sách mà đọc thì ....
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 01/08/2009 00:39:47 (+0700) | #65 | 188224
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

constructor_87 wrote:
thứ nhất: đã học SQL thì cũng hiểu phần nào chứ sao có thể hiểu hết đc sql injection
thứ hai: dựa vào kiến thức tự mình tìm hiểu đc mình thấy các bác phản bác câu hỏi của mình vô lý mình phải hỏi ngược lại cho ra nhẽ (bổ sung luôn lỗ hỗng của mình)
chứ có gì lại bảo về ôm sách mà đọc thì ....  


---> sao cứ nhập nhằng chuyện kiến thức sql và chuyện sql injection mãi thế? Muốn hiểu được sql injection thì trước tiên phải thấu đáo sql statement (cụ thể cho từng loại database). Ngay cả một câu sql đơn giản bị báo lỗi mà còn không biết lý do tại sao thì làm sao mà "inject"?

Khi nào nắm vững sql statements, khi ấy tự nhiên sẽ ngộ ra sql injection là cái gì thôi. Chưa đi được thì đừng cố chạy.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 01/08/2009 00:52:51 (+0700) | #66 | 188225
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Khổ quá, ở HVA (cụ thể là anh conmale) chỉ muốn truyền đạt cho mọi người mấy cái chân lý "vô cùng đơn giản" thế này thôi:

- Dùng cái gì thì đọc tài liệu về cái đó
- Muốn 'hack' cái gì thì phải hiểu thật rõ cái đó
- Luôn luôn phải xây cái "móng" trước và xây cho thật vững, đừng cố đốt cháy giai đoạn
- Luôn luôn thể hiện mình đã mày mò, tìm tòi trước khi hỏi
...

Bạn nào "ngộ" ra được mấy cái chân lý này thì sẽ nhanh tiến bộ (và có khi lại từ bỏ ý định hack hiếc này nọ, quay về cày quốc kiếm $ nuôi vợ con) còn bạn nào không hiểu hoặc cố tình không hiểu thì đành chịu vậy.

PS: Còn thiếu cái "chân lý" nào ai bổ sung giúp mình với.
Let's build on a great foundation!
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 01/08/2009 06:37:08 (+0700) | #67 | 188249
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]
Còn, em . smilie

Có công mài cây sắt có ngày thành cây .... xà beng smilie
Không ai chỉ, cho hay bán cho bạn "bí kiếp" để thành công ngoài việc bạn thành công bằng chính sự nổ lực, nghiên cứu tìm tòi của chính bản thân của bạn .

Mạo muội vài dòng 8
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 22/08/2009 17:01:45 (+0700) | #68 | 190820
[Avatar]
yeucodon
Member

[Minus]    0    [Plus]
Joined: 22/03/2008 11:25:51
Messages: 39
Offline
[Profile] [PM]
em nghĩ bác admin nên mở riêng 1 topic cho ae bên này chứ em thấy hướng dẫn mà đọc mỏi mắt toàn thấy các bác ấy "đi lạc chủ đề" thôi ạ
sống trong đời sống, cần có một tấm lòng
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 03/01/2010 11:43:26 (+0700) | #69 | 202418
momiado_9x
Member

[Minus]    0    [Plus]
Joined: 28/12/2009 21:03:35
Messages: 5
Offline
[Profile] [PM]
Mấy bác cho em hỏi tí, đối với các shop mà khi bắt lỗi như trên thì nó báo thế này : No products match your search. thì phải dùng cách nào hả mấy bác ???
P/S :sao em không đánh được tiếng việt trong forum ta nhỉ?
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 19/01/2010 16:19:48 (+0700) | #70 | 203579
caotrienx
Member

[Minus]    0    [Plus]
Joined: 24/02/2007 16:21:27
Messages: 9
Offline
[Profile] [PM]
Mình hack được user/pass: admin:57c4b03b07d5b098b92a0205dcca66d5 chuỗi md5 này ko giải mã được

Theo 1 bài viết có cách hướng dẫn đổi pass hoặc record 1 newuser/newpass(newpass được đã được giải mã) khi biết được các table va column
Để thay đổi password , có thể làm như sau:
http://yoursite.com/index.php?id=10 UPDATE 'admin_login' SET 'password'= 'newpass' WHERE login_name='admin'--

Hoặc nếu bạn muốn một record mới(tạo một newuser/newpass) vào table:
http://yoursite.com/index.php?id=10 INSERT INTO 'admin_login'('login_id', 'login_name', 'password') VALUES(`1`,'admin1','newpass')--

mình thử nhưng ko được kể cả khi chuyển login_name sang hex newuser=admin1=61646d696e31

INSERT INTO 'admin_login' ('login_id', 'login_name', 'password') VALUES
(`1`, `0x61646d696e31`, `bf15876b12c0a194dcb842c3ec9cb078`)--

Ai cho mình biết sai ở đâu ko!
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 12/03/2010 16:58:12 (+0700) | #71 | 206728
hacker_lo_mo
Member

[Minus]    0    [Plus]
Joined: 11/03/2010 21:20:50
Messages: 2
Offline
[Profile] [PM]
Các bạn cho mình hỏi. Sau khi lấy biết được các bảng nhạy cảm như admin, (tbl_admin), nhưng password đã bị băm. Vậy đến đây thì ngoài việc đi giải băm MD5 (mà gần như mình chưa thấy trang nào hỗ trợ tìm clear-text từ MD5), thì có kỹ thuật nào để tiếp tục tấn công khôg các bác ?
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 29/09/2010 10:30:44 (+0700) | #72 | 221756
[Avatar]
heocaca
Member

[Minus]    0    [Plus]
Joined: 17/09/2010 11:15:05
Messages: 6
Location: dak lak
Offline
[Profile] [PM] [WWW] [Yahoo!] [ICQ]

nbthanh wrote:
Bài viết rất hay và xúc tích! Đây là 1 ví dụ kinh điển nhất cho
- "muốn hack thì phải GIỎI những thứ CĂN BẢN / NỀN TẢNG trước như lập trình, SQL, v.v..."
- và "khi đã GIỎI những thứ CĂN BẢN / NỀN TẢNG rồi thì tự nhiên sẽ biết hack"

Chẳng hạn như không biết lập trình, không biết SQL, không biết những thứ nền tảng này thì có biết site bị lỗi cũng không biết đường nào mà khai thác. 

Bạn ơi, người VN hay giấu nghề lắm, các pro giờ muốn bỏ rơi các noobie, nên nói vậy đó, một noopbi luôn có câu hỏi làm sao biết 1 web site lỗi SQL, mình sẽ cho bạn 1 thủ thuật có thế quét lỗi bất kì một trang web nào thông qua công cụ SQL Inject Me , có lẽ sẽ thoả mãn câu hỏi của bạn. smilie (click vô link dưới đây)


Cách quét lỗi SQL với mọi Website => http://my.opera.com/heocacavltk1/blog/show.dml/18190232 smilie
[i]
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 20/10/2010 07:14:12 (+0700) | #73 | 223184
jizuba
Member

[Minus]    0    [Plus]
Joined: 05/11/2009 01:08:02
Messages: 1
Offline
[Profile] [PM]
các bác làm ơn cho em mạo muội hỏi 1 câu này nhá:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC Microsoft Access Driver] Data type mismatch in criteria expression.
như bên trên là sao vậy smilie .em chưa biết gì
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 20/10/2010 07:41:14 (+0700) | #74 | 223187
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

jizuba wrote:
các bác làm ơn cho em mạo muội hỏi 1 câu này nhá:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC Microsoft Access Driver] Data type mismatch in criteria expression.
như bên trên là sao vậy smilie .em chưa biết gì 


Là qua bên mục "Windows" và mở một chủ đề mới về "vỡ lòng MS SQL".
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Hướng dẫn khai thác SQL Injection đối với MySQL 04/11/2010 13:29:55 (+0700) | #75 | 224211
khucyeuthuong2
Member

[Minus]    0    [Plus]
Joined: 05/09/2010 05:00:48
Messages: 1
Offline
[Profile] [PM]
cho em hỏi "Đầu tiên với URL: http://seamoun.com/phpevents/event.php?id=1", ta có thể tìm được link này với bất kỳ trang web nào không?và bằng cách nào vậy?anh em giúp cho.em mới học nên còn kém lắm.thanks
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 04/11/2010 21:27:17 (+0700) | #76 | 224251
[Avatar]
Mr.uot
Member

[Minus]    0    [Plus]
Joined: 16/08/2010 12:56:29
Messages: 2
Location: x-cafe
Offline
[Profile] [PM] [WWW] [Yahoo!]

khucyeuthuong2 wrote:
cho em hỏi "Đầu tiên với URL: http://seamoun.com/phpevents/event.php?id=1", ta có thể tìm được link này với bất kỳ trang web nào không?và bằng cách nào vậy?anh em giúp cho.em mới học nên còn kém lắm.thanks 


cái này muốn tìm thì vào google search
inurl: products.php?id= 

rồi check từng site bạn à:">
[size=+1]Hạnh Phúc Nhất Cuộc Đời Mình Là Được Cầm Tay smilie Người Ấy Dù Chỉ Một Lần smilie [/size]
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 17/03/2011 14:15:41 (+0700) | #77 | 233338
wkiamiuemth
Member

[Minus]    0    [Plus]
Joined: 13/11/2010 13:44:55
Messages: 17
Offline
[Profile] [PM]
em vừa gặp một trang dùng mySQL mà em đã tiến hành khai thác nó. đã ra cái username và pass của admin (pass không mã hoá) nhưng mà sao em ko thể dùng cái acc này để đăng nhập được như những acc thông thường (toàn báo sai username hoặc pass). vậy các anh có thể chỉ cho em là tại sao như thế không ạ. em là newbie mong các anh nhẹ nhàng góp ý.
ps: lúc đăng nhập trang này ngoài yêu cầu name và pass còn thêm phần mã ảnh để đăng nhập, các anh giải thích giùm em luôn là mã ảnh đó để làm j nữa.thanks
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 25/03/2011 18:59:17 (+0700) | #78 | 233951
NT08
Member

[Minus]    0    [Plus]
Joined: 20/01/2011 21:22:23
Messages: 4
Offline
[Profile] [PM]
Sau khi biết đc tên database và user nhưng nó dấu link admin (hoặc chặn ip truy cập vào Admin) thì làm thế nào các bác?
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 05/04/2011 10:25:35 (+0700) | #79 | 234725
nqthangonline
Member

[Minus]    0    [Plus]
Joined: 03/12/2004 16:45:44
Messages: 3
Offline
[Profile] [PM]
@all newbie : google kiếm ebook hacking cc của hieuitpc mà đọc mà ngẫm cho kĩ nếu vẫn không hiểu thì đừng vào đây hỏi nữa nqthangonline cũng vào đây từ lâu lắm rồi mà chẳng giám hỏi gì nè hj hj
@seamon : được gặp thầy ở đây hjhj
[Up] [Print Copy]
  [Article]   Re: Hướng dẫn khai thác SQL Injection đối với MySQL 03/06/2011 10:24:33 (+0700) | #80 | 238613
[Avatar]
classical
Member

[Minus]    0    [Plus]
Joined: 02/06/2011 22:39:07
Messages: 1
Location: HN
Offline
[Profile] [PM]

h0ainiemdauyeu wrote:
lỗi này bây giờ đã fix hết rồi ,kiếm site bị lỗi kiểu này thực tập khó quá smilie 

E cũng nghĩ thế! Nhưng e thấy bài viết này hữu ích quá smilie Biết cách còn đề phòng smilie
Ai đừng một dạ 2 lòng
Đừng chê chân ngắn, đừng than chân dài
Chân dài là của đại gia!
Đùi to, chân ngắn mới là vợ anh. smilie
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 19/06/2011 20:16:20 (+0700) | #81 | 241419
[Avatar]
minhhath
Member

[Minus]    0    [Plus]
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
[Profile] [PM]
bài viết chỉ hướng dẫn Khai thác SQL Injection trong Basic PHP Events Lister 1.0 nhưng còn trong ASP.net viết bằng ngôn ngữ C# thì em thấy áp dụng cách trên không có tác dụng gì anh nào pro chỉ em cái nha.
Thanks đã đọc bài viết này
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 24/06/2011 12:24:07 (+0700) | #82 | 241970
Yun.s2IM
Member

[Minus]    0    [Plus]
Joined: 05/06/2011 07:08:54
Messages: 1
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 29/07/2011 08:56:51 (+0700) | #83 | 244429
nguyendhus
Member

[Minus]    0    [Plus]
Joined: 20/07/2009 10:18:26
Messages: 1
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 12/09/2011 15:51:28 (+0700) | #84 | 246933
hachoa59
Member

[Minus]    0    [Plus]
Joined: 11/09/2011 23:49:01
Messages: 9
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 18/11/2011 22:19:35 (+0700) | #85 | 250103
rongxau
Member

[Minus]    0    [Plus]
Joined: 11/04/2008 21:53:35
Messages: 1
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 20/11/2011 01:26:30 (+0700) | #86 | 250138
[Avatar]
tvv
Member

[Minus]    0    [Plus]
Joined: 03/06/2011 07:41:21
Messages: 55
Location: TP HCM
Offline
[Profile] [PM] [WWW]
Cảm ơn bài viết của anh Seamoun .Nhờ bài viết của anh em mới phần nào hiểu được cách thức hoạt động của mấy cái tool SQL Injection .Hy vọng là xẽ có nhiều bài như vậy nữa smilie .
Chỉnh lại chút : Đọc xong bài này có nhiều câu hỏi và câu trả lời vui thật .Em đọc giữa khuya mà cười ko chịu nổi .Thank tất cả !
http://www.youtube.com/channel/UCDeTtfediXlQmnw1kdOeHEw?feature=mhee
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 21/11/2011 17:15:08 (+0700) | #87 | 250184
[Avatar]
he0k0n
Member

[Minus]    0    [Plus]
Joined: 02/11/2011 01:07:17
Messages: 42
Offline
[Profile] [PM]
tuy e mới vào forum nhưng theo e biết thì diễn đàn này được lập ra là để a e học tập là chính chứ không phải phá hoại! mong a e đừng có nhờ hack cái site này hay là deface cái site kia!(có sai gì mong a e bỏ qua cho thank! )
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 01/03/2012 09:36:51 (+0700) | #88 | 256385
[Avatar]
Yona
Member

[Minus]    0    [Plus]
Joined: 27/02/2012 07:58:43
Messages: 3
Offline
[Profile] [PM]
Cám ơn các anh em đang rất thích cái món này ! Hix thank các anh ha !
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 01/03/2012 21:42:11 (+0700) | #89 | 256525
[Avatar]
punkrock
Member

[Minus]    0    [Plus]
Joined: 22/03/2007 19:15:25
Messages: 9
Offline
[Profile] [PM] [Email]
hihi. hôm nay mới hack đc forum BB công ty mình nhờ cái sql injection này smilie. hacking thật là thú vị.
[Up] [Print Copy]
  [Article]   Hướng dẫn khai thác SQL Injection đối với MySQL 02/03/2012 20:16:39 (+0700) | #90 | 256687
zeropoint
Member

[Minus]    0    [Plus]
Joined: 14/02/2012 08:11:31
Messages: 24
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|