Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hacktivity utómunkák

2008.09.23. 17:37 | buherator | 4 komment

A slidejaimat felraktam ide. A demo scripteket megtaláljátok a http://buhera.cwi.hu címen (A jelszó hacktivity, ha valaki hozzá szeretne férni a MySQL adatbázishoz). Az előadás után felmerült néhány kérdést igyekszem itt tisztázni:

Az UPDATE-es subquery-s móka pl. ezzel a bemenettel működik, figyeljetek rá, hogy az utolsó komment után szükség van egy space-re:

 asdads',fullname=(select ar from porszivo limit 1 ) where id='1' -- 

A blind injection-re a példakód itt van. Tudom, tudom, elég gagyi, meg nincs felkommentezve, de nem akartam vele sokat szórakozni. Így kell futtatni:

./blind http://buhera.cwi.hu/blind.php

 Kell hozzá libcurl! Hirtelen más nem jut az eszembe, ha nektek igen, kérdezzetek!

Frissítés: Mivel a CWI-t elvittéka  rendőrbácsik, felraktam az ott lévő dolgokat ide. A blog.hu nem enged .zip-et feltölteni, szedjétek le a .txt kiterjesztést!

Címkék: hacktivity sql injection

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

reinventing 2008.09.24. 07:45:37

Sosem ertettem miert kell valamit megirni ujra es ujra:

www.databasesecurity.com/sqlinjection-tools.htm


Csinalj olyat, ami meg NINCS!

synapse · http://google.com 2008.09.24. 09:11:39

jajj de miert c-ben? :) Bash nem lenne kezenfekvobb?

synapse

buherator · http://buhera.blog.hu 2008.09.24. 10:45:23

@reinvent
Azért, hogy a) kevesebb forráskódot kelljen végigbogarászni a kedves érdeklődőnek b) megmutassam, hogy még egy hozzám hasonló fakezű C-kontár is meg bír írni egy ilyen toolt.

@synapse
Az volt a terv, hogy leforgatom Windowsra, csak aztán nem fordítottam...

csabika25 2008.10.03. 22:28:08

A médiahacker (is) sűrűn feltűnik az MTV műsorában, amit a Hacktivity-n forgattak: www.mtv.hu/videotar/?id=30699
süti beállítások módosítása