Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out

Promó

H.A.C.K.

Keresés

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Magyar blogok

Magyar oldalak

Külföldi oldalak

Kultúra

Feedek

XML

Archívum

hacker jelvény

Licensz

Creative Commons Licenc

Hacktivity utómunkák

2008.09.23. 17:37 | buherator | 4 komment

A slidejaimat felraktam ide. A demo scripteket megtaláljátok a http://buhera.cwi.hu címen (A jelszó hacktivity, ha valaki hozzá szeretne férni a MySQL adatbázishoz). Az előadás után felmerült néhány kérdést igyekszem itt tisztázni:

Az UPDATE-es subquery-s móka pl. ezzel a bemenettel működik, figyeljetek rá, hogy az utolsó komment után szükség van egy space-re:

 asdads',fullname=(select ar from porszivo limit 1 ) where id='1' -- 

A blind injection-re a példakód itt van. Tudom, tudom, elég gagyi, meg nincs felkommentezve, de nem akartam vele sokat szórakozni. Így kell futtatni:

./blind http://buhera.cwi.hu/blind.php

 Kell hozzá libcurl! Hirtelen más nem jut az eszembe, ha nektek igen, kérdezzetek!

Frissítés: Mivel a CWI-t elvittéka  rendőrbácsik, felraktam az ott lévő dolgokat ide. A blog.hu nem enged .zip-et feltölteni, szedjétek le a .txt kiterjesztést!

Facebook Tumblr Tweet Pinterest Tetszik
0

Címkék: hacktivity sql injection

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

reinventing 2008.09.24. 07:45:37

Sosem ertettem miert kell valamit megirni ujra es ujra:

www.databasesecurity.com/sqlinjection-tools.htm


Csinalj olyat, ami meg NINCS!
Válasz erre 

synapse · http://google.com 2008.09.24. 09:11:39

jajj de miert c-ben? :) Bash nem lenne kezenfekvobb?

synapse
Válasz erre 

buherator · http://buhera.blog.hu 2008.09.24. 10:45:23

@reinvent
Azért, hogy a) kevesebb forráskódot kelljen végigbogarászni a kedves érdeklődőnek b) megmutassam, hogy még egy hozzám hasonló fakezű C-kontár is meg bír írni egy ilyen toolt.

@synapse
Az volt a terv, hogy leforgatom Windowsra, csak aztán nem fordítottam...
Válasz erre 

csabika25 2008.10.03. 22:28:08

A médiahacker (is) sűrűn feltűnik az MTV műsorában, amit a Hacktivity-n forgattak: www.mtv.hu/videotar/?id=30699
Válasz erre 
süti beállítások módosítása