SQL injection UNION attack, retrieving data from other tables (PortSwigger PRACTITIONER)

darkexploit · 14 Tem 2024

Herkese Merhaba Arkadaşlar Bugün Sizlerle PortSwiggerdaki ctfimizi çözeceğiz

Ctf İsteği/Açıklaması:
Bu laboratuvar, ürün kategorisi filtresinde bir SQL ekleme güvenlik açığı içeriyor. Sorgunun sonuçları uygulamanın yanıtında döndürülür, böylece diğer tablolardan veri almak için UNION saldırısını kullanabilirsiniz. Böyle bir saldırı oluşturmak için önceki laboratuvarlarda öğrendiğiniz bazı teknikleri birleştirmeniz gerekir.

Veritabanı, kullanıcı adı ve parola adı verilen sütunlara sahip, kullanıcılar adı verilen farklı bir tablo içerir.

Laboratuvarı çözmek için, tüm kullanıcı adlarını ve şifreleri alan bir SQL enjeksiyon UNION saldırısı gerçekleştirin ve bu bilgileri yönetici kullanıcı olarak oturum açmak için kullanın.

1.ADIM
websitesinin anasayfasına bakalım

gifts bölümüne girelim

evet gördüğünüz gibi yukarıda bi sorgu dizesi var buranın sonuna tırnak koyarak kontrol sağlayalım sql açığı varmı yokmu

Hata verdiğine göre burda sql açığı var kolon sayısı kaçmış onu öğrenelim

order by'ı sorgu dizesine dahil edip değerleri 1 ve 2 yaptık hata almadık fakat 3 te hata veriyor demekki 2 tane kolon var

DAHA SONRA BUNA UYGUN Bİ UNİON SALDIRISI OLUŞTURUYORUZ

Kod:

'+UNION+SELECT+username,+password+FROM+users--

DAHA SONRA SAĞ YUKARIDAKİ LOGİN KISMINDAN BU ŞİFRE VE USER İLE GİRİŞ YAPIYORUZ

VE CTF TAMAMLANIYOR BENİ DİNLEDİĞİNİZ İÇİN TEŞEKKÜR EDERİM

NMSHacking · 17 Tem 2024

darkexploit' Alıntı:
Herkese Merhaba Arkadaşlar Bugün Sizlerle PortSwiggerdaki ctfimizi çözeceğiz

Ctf İsteği/Açıklaması:
Bu laboratuvar, ürün kategorisi filtresinde bir SQL ekleme güvenlik açığı içeriyor. Sorgunun sonuçları uygulamanın yanıtında döndürülür, böylece diğer tablolardan veri almak için UNION saldırısını kullanabilirsiniz. Böyle bir saldırı oluşturmak için önceki laboratuvarlarda öğrendiğiniz bazı teknikleri birleştirmeniz gerekir.

Veritabanı, kullanıcı adı ve parola adı verilen sütunlara sahip, kullanıcılar adı verilen farklı bir tablo içerir.

Laboratuvarı çözmek için, tüm kullanıcı adlarını ve şifreleri alan bir SQL enjeksiyon UNION saldırısı gerçekleştirin ve bu bilgileri yönetici kullanıcı olarak oturum açmak için kullanın.

1.ADIM
websitesinin anasayfasına bakalım

gifts bölümüne girelim

evet gördüğünüz gibi yukarıda bi sorgu dizesi var buranın sonuna tırnak koyarak kontrol sağlayalım sql açığı varmı yokmu

Hata verdiğine göre burda sql açığı var kolon sayısı kaçmış onu öğrenelim

order by'ı sorgu dizesine dahil edip değerleri 1 ve 2 yaptık hata almadık fakat 3 te hata veriyor demekki 2 tane kolon var

DAHA SONRA BUNA UYGUN Bİ UNİON SALDIRISI OLUŞTURUYORUZ

Kod:

'+UNION+SELECT+username,+password+FROM+users--

DAHA SONRA SAĞ YUKARIDAKİ LOGİN KISMINDAN BU ŞİFRE VE USER İLE GİRİŞ YAPIYORUZ

VE CTF TAMAMLANIYOR BENİ DİNLEDİĞİNİZ İÇİN TEŞEKKÜR EDERİM

Yararlı, elinize sağlık.

'TE0MAN · 17 Tem 2024

darkexploit' Alıntı:
Herkese Merhaba Arkadaşlar Bugün Sizlerle PortSwiggerdaki ctfimizi çözeceğiz

Ctf İsteği/Açıklaması:
Bu laboratuvar, ürün kategorisi filtresinde bir SQL ekleme güvenlik açığı içeriyor. Sorgunun sonuçları uygulamanın yanıtında döndürülür, böylece diğer tablolardan veri almak için UNION saldırısını kullanabilirsiniz. Böyle bir saldırı oluşturmak için önceki laboratuvarlarda öğrendiğiniz bazı teknikleri birleştirmeniz gerekir.

Veritabanı, kullanıcı adı ve parola adı verilen sütunlara sahip, kullanıcılar adı verilen farklı bir tablo içerir.

Laboratuvarı çözmek için, tüm kullanıcı adlarını ve şifreleri alan bir SQL enjeksiyon UNION saldırısı gerçekleştirin ve bu bilgileri yönetici kullanıcı olarak oturum açmak için kullanın.

1.ADIM
websitesinin anasayfasına bakalım

gifts bölümüne girelim

evet gördüğünüz gibi yukarıda bi sorgu dizesi var buranın sonuna tırnak koyarak kontrol sağlayalım sql açığı varmı yokmu

Hata verdiğine göre burda sql açığı var kolon sayısı kaçmış onu öğrenelim

order by'ı sorgu dizesine dahil edip değerleri 1 ve 2 yaptık hata almadık fakat 3 te hata veriyor demekki 2 tane kolon var

DAHA SONRA BUNA UYGUN Bİ UNİON SALDIRISI OLUŞTURUYORUZ

Kod:

'+UNION+SELECT+username,+password+FROM+users--

DAHA SONRA SAĞ YUKARIDAKİ LOGİN KISMINDAN BU ŞİFRE VE USER İLE GİRİŞ YAPIYORUZ

VE CTF TAMAMLANIYOR BENİ DİNLEDİĞİNİZ İÇİN TEŞEKKÜR EDERİM

Elinize emeğinize sağlık hocam güzel bi seri severek takip edip devamını bekliyoruz.. İyi forumlar.

NMSHacking · 17 Tem 2024

darkexploit' Alıntı:
Herkese Merhaba Arkadaşlar Bugün Sizlerle PortSwiggerdaki ctfimizi çözeceğiz

Ctf İsteği/Açıklaması:
Bu laboratuvar, ürün kategorisi filtresinde bir SQL ekleme güvenlik açığı içeriyor. Sorgunun sonuçları uygulamanın yanıtında döndürülür, böylece diğer tablolardan veri almak için UNION saldırısını kullanabilirsiniz. Böyle bir saldırı oluşturmak için önceki laboratuvarlarda öğrendiğiniz bazı teknikleri birleştirmeniz gerekir.

Veritabanı, kullanıcı adı ve parola adı verilen sütunlara sahip, kullanıcılar adı verilen farklı bir tablo içerir.

Laboratuvarı çözmek için, tüm kullanıcı adlarını ve şifreleri alan bir SQL enjeksiyon UNION saldırısı gerçekleştirin ve bu bilgileri yönetici kullanıcı olarak oturum açmak için kullanın.

1.ADIM
websitesinin anasayfasına bakalım

gifts bölümüne girelim

evet gördüğünüz gibi yukarıda bi sorgu dizesi var buranın sonuna tırnak koyarak kontrol sağlayalım sql açığı varmı yokmu

Hata verdiğine göre burda sql açığı var kolon sayısı kaçmış onu öğrenelim

order by'ı sorgu dizesine dahil edip değerleri 1 ve 2 yaptık hata almadık fakat 3 te hata veriyor demekki 2 tane kolon var

DAHA SONRA BUNA UYGUN Bİ UNİON SALDIRISI OLUŞTURUYORUZ

Kod:

'+UNION+SELECT+username,+password+FROM+users--

DAHA SONRA SAĞ YUKARIDAKİ LOGİN KISMINDAN BU ŞİFRE VE USER İLE GİRİŞ YAPIYORUZ

VE CTF TAMAMLANIYOR BENİ DİNLEDİĞİNİZ İÇİN TEŞEKKÜR EDERİM

Türkçesiyle 2. konu güzel olur

darkexploit · 17 Tem 2024

NMSHacking' Alıntı:
Türkçesiyle 2. konu güzel olur

'TE0MAN' Alıntı:
Elinize emeğinize sağlık hocam güzel bi seri severek takip edip devamını bekliyoruz.. İyi forumlar.

NMSHacking' Alıntı:
Yararlı, elinize sağlık.

Teşekkürler hocam

antanax · 18 Tem 2024

darkexploit' Alıntı:
Herkese Merhaba Arkadaşlar Bugün Sizlerle PortSwiggerdaki ctfimizi çözeceğiz

Ctf İsteği/Açıklaması:
Bu laboratuvar, ürün kategorisi filtresinde bir SQL ekleme güvenlik açığı içeriyor. Sorgunun sonuçları uygulamanın yanıtında döndürülür, böylece diğer tablolardan veri almak için UNION saldırısını kullanabilirsiniz. Böyle bir saldırı oluşturmak için önceki laboratuvarlarda öğrendiğiniz bazı teknikleri birleştirmeniz gerekir.

Veritabanı, kullanıcı adı ve parola adı verilen sütunlara sahip, kullanıcılar adı verilen farklı bir tablo içerir.

Laboratuvarı çözmek için, tüm kullanıcı adlarını ve şifreleri alan bir SQL enjeksiyon UNION saldırısı gerçekleştirin ve bu bilgileri yönetici kullanıcı olarak oturum açmak için kullanın.

1.ADIM
websitesinin anasayfasına bakalım

gifts bölümüne girelim

evet gördüğünüz gibi yukarıda bi sorgu dizesi var buranın sonuna tırnak koyarak kontrol sağlayalım sql açığı varmı yokmu

Hata verdiğine göre burda sql açığı var kolon sayısı kaçmış onu öğrenelim

order by'ı sorgu dizesine dahil edip değerleri 1 ve 2 yaptık hata almadık fakat 3 te hata veriyor demekki 2 tane kolon var

DAHA SONRA BUNA UYGUN Bİ UNİON SALDIRISI OLUŞTURUYORUZ

Kod:

'+UNION+SELECT+username,+password+FROM+users--

DAHA SONRA SAĞ YUKARIDAKİ LOGİN KISMINDAN BU ŞİFRE VE USER İLE GİRİŞ YAPIYORUZ

VE CTF TAMAMLANIYOR BENİ DİNLEDİĞİNİZ İÇİN TEŞEKKÜR EDERİM

Elinize Sağlık Hocam Yararlı Konu

'pump · 18 Tem 2024

NMSHacking' Alıntı:
Türkçesiyle 2. konu güzel olur

NMSHacking · 18 Tem 2024

'pump' Alıntı:

Hmmm.

darkexploit · 30 Tem 2024

antanax' Alıntı:
Elinize Sağlık Hocam Yararlı Konu

teşekkürler

SQL injection UNION attack, retrieving data from other tables (PortSwigger PRACTITIONER)

darkexploit

Üye

NMSHacking

Uzman üye

'TE0MAN

Moderatör

NMSHacking

Uzman üye

darkexploit

Üye

antanax

Yeni üye

'pump

Uzman üye

NMSHacking

Uzman üye

darkexploit

Üye

Sosyal medya sayfalarımız