viernes, 29 de octubre de 2010

Y siguen los SQLi

Si... otro SQLi en una web de la universidad. Esta vez en la pagina principal:

http://www.unmsm.edu.pe

Para encontrar el SQLi utilice una de las mas grandes herramientas de hackers jamas creadas: Google.

En Google ponemos:

site:www.unmsm.edu.pe inurl:id

Y nos saldrán resultados como este:

http://www.unmsm.edu.pe/?id=1193

Que si entramos nos mostrara alguna noticia. Pues bien, las noticias de la web están almacenadas en una base de datos y el numero 1193 es en este caso el identificador de la noticia dentro de la base de datos. Por lo que para obtener la noticia, se concatenara en la orden SQL ese numero.

Lo que haremos sera simplemente cambiar el numero que aparece en "id" por una comilla simple ( ' ) :

http://www.unmsm.edu.pe/?id='

Y...

Error DBselectAllWhere.[SELECT titulo,ID,contenido,volada,gorro,fecha_inicio,gorro_autor FROM entradas WHERE ID=''' AND estado=1 ORDER BY fecha_inicio desc, hora desc] MYSQL dice : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' AND estado=1 ORDER BY fecha_inicio desc, hora desc' at line 1

Ahí lo tenemos, un error de sintaxis xD

Incluso se puede ver la orden completa y el nombre de la tabla:

SELECT titulo,ID,contenido,volada,gorro,fecha_inicio,gorro_autor FROM entradas WHERE ID=''' AND estado=1 ORDER BY fecha_inicio desc, hora desc

Es todo por ahora...

Actualización:

Revisando un poco más encontre otras URLs donde se puede inyectar SQL:

http://www.unmsm.edu.pe/?a=mas&tipo='
http://www.unmsm.edu.pe/nts.php?id='

Saludos.

Todo lo explicado aquí es solo con fines didácticos. El autor no se hace responsable por el uso que se le pueda dar a esta información.

No hay comentarios:

Publicar un comentario