SQL (injection) Query

[Spect~]

Εχω μια εργασια στην οποια πρεπει να βρω ενα Flag. 

 

Με αυτη την εντολη

1' UNION SELECT 1,2, table_schema, 4,5 FROM information_schema.tables -- 

μπορω να δω τα εξης

 

information_schema

fun

mysql

performance_schema

secret

usmosc

usmosc-C2 

 

απο αυτα χρειαζομαι απο τον secret να δω τα περιεχομενα του πινακα codes (secret.codes) ωστε μετα να φτιαξω ενα query που θα μου επιστρεφει την πληροφορια που χρειαζομαι. Ουσιαστικα αυτο που θελω ειναι να δω τι περιεχει ο secret.codes ωστε να μπορεσω να ζητησω μετα τα απαραιτητα στοιχεια. Καμια βοηθεια!?

 

Ειμαι ασχετος απο βασεις οποτε μην αρχισει κανεις τις εξυπναδες!

[παπι]

select codes from secret???

[Spect~]

Nope. Τις εντολες τις εκτελω σε ενα search box σε μια σελιδα και δεν εχω προσβαση σε κατι αλλο.

[παπι]

Καταλαβαινεις τι κανει το 1' .... ---

πχ το e ειναι το search σου.

για να γινει inject θα πρεπει το e να μην εχει περασει απο escape

 

ετσι βαζεις στην αρχη το quote μετα το query που κανεις incject μετα κανεις comment και τελος βουαλα

Το οποιο θα επρεπε να δουλεψει αλλα δεν δουλεψε χαχαχ

εγραψα λαθος το table. βουαλα

[Spect~]

 

 

Το οποιο θα επρεπε να δουλεψει αλλα δεν δουλεψε χαχαχ

 

Απο χτες αυτο λεω θα πρεπε αλλα δεν

 

Γενικα με τις βασεις δε το εχω οκ τη λογικη την ξερω αλλα εχω να ακουμπησω απο το 2 ετος στο πτυχιο

 

Θεωρητικα δεν θα επρεπε αν σε αυτο

 

1' UNION SELECT 1,2, table_schema, 4,5 FROM information_schema.tables -- 

 

αλλαζα τα ονοματα να επαιρνα αυτο που ηθελα!? 

[παπι]

εκανα edit

[Spect~]

Πριν και μετα το Edit σου ειμαι ακριβως οπως και πριν! Δεν εχω ιδεα

 

Ειμαι απο χτες μπροστσα απο την οθονη και παλευω με Sql + code injection. Τουλαχιστον path traversal ειναι αρκετα πιο ευκολο

[EnglishSpeaking]

θές να γίνεις πληροφορικάριος και δέν έχεις ιδέα απο SQL ή βάσεις? σα να λές θέλω να γίνω μάγειρας αλλά να μήν πιάνω κατσαρολικά για να μην χαλάνε τα νύχια μου ενα πράγμα.. 

που να πας δηλαδή σε HQL, JPQL, PL/SQL και τα ρέστα που ασχολούμαι εγώ.. τσ τσ τσ

[kaliakman]

θές να γίνεις πληροφορικάριος και δέν έχεις ιδέα απο SQL ή βάσεις? σα να λές θέλω να γίνω μάγειρας αλλά να μήν πιάνω κατσαρολικά για να μην χαλάνε τα νύχια μου ενα πράγμα.. 

που να πας δηλαδή σε HQL, JPQL, PL/SQL και τα ρέστα που ασχολούμαι εγώ.. τσ τσ τσ

Τι κάνεις εσύ εδώ; έμαθες το τελευταίο l33t h4x0r tool που κυκλοφορεί στο dark net τις τελευταίες ώρες;

[Fat4Life]

θές να γίνεις πληροφορικάριος και δέν έχεις ιδέα απο SQL ή βάσεις? σα να λές θέλω να γίνω μάγειρας αλλά να μήν πιάνω κατσαρολικά για να μην χαλάνε τα νύχια μου ενα πράγμα.. 

που να πας δηλαδή σε HQL, JPQL, PL/SQL και τα ρέστα που ασχολούμαι εγώ.. τσ τσ τσ

 

Δεν έχουμε όλοι βγεί απο στόφα hacker τι να κάνουμε.

[EnglishSpeaking]

εγώ δέν είναι ότι είμαι χακερ ούτε ότι είμαι προγραμματιστής καν αλλά με πιάνει το παράπονο.. εγώ που δέν είμαι πληροφορικάριος και διαβάζω SQL για να κάνω SQL injections στις βάσεις .. και ο φίλος που σπουδάζει πληροφορική δέν έχει ιδέα απο SQL??? 

[Fat4Life]

Και εμένα δε μαρέσει η SQL και είμαι προγραμματιστής δεν λέει κάτι αυτό. Οτι κάνεις με SQL γίνεται πολύ πιο gracefully με Linq που είναι αρκετά καλύτερο query language.

[tsofras]

εγώ δέν είναι ότι είμαι χακερ ούτε ότι είμαι προγραμματιστής καν αλλά με πιάνει το παράπονο.. εγώ που δέν είμαι πληροφορικάριος και διαβάζω SQL για να κάνω SQL injections στις βάσεις .. και ο φίλος που σπουδάζει πληροφορική δέν έχει ιδέα απο SQL???

 

Τι να κάνουμε ρε φίλε εσύ είσαι αστέρι, υπάρχουμε και οι βλακες.

Αλλά αν ήσουν προγραμματιστής θα καταλαβαινες την διαφορά

[EnglishSpeaking]

Προχτές τελείωσα το Spring framework και από χτές που ασχολούμαι με Hibernate και HQL, δηλαδή την object-oriented έκδοση της SQL μπορώ να πώ ότι μου αρέσει.. απλά είναι βαρετό να κάνεις τα παραδείγματα και τις ασκήσεις.. 

[Επισκέπτης]

εγώ δέν είναι ότι είμαι χακερ ούτε ότι είμαι προγραμματιστής

 

 

Αφού δεν είσαι ούτε χάκερ, ούτε προγραμματιστής πάρε το κουβαδάκι σου και πήγαινε σε άλλη παραλία. Μας ενοχλείς.