English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật hỏi về lỗi SQLinjection  XML
  [Discussion]   hỏi về lỗi SQLinjection 12/08/2009 13:40:44 (+0700) | #1 | 189688
dbntk3
Member
[Minus]    0    [Plus]
Joined: 04/08/2009 03:56:18
Messages: 8
Offline
[Profile] [PM]
Mình có 1 vấn đề này muốn hỏi mọi người?
à mình xin phép được nói trước là mục đích của bài viết này chỉ để tìm lỗi của website chứ không có ý định hack
(mình đang làm 1 ví dụ về tấn công SQLinjection cho đồ án của mình
Thầy giáo yêu cầu phải có ví dụ,mai nộp rồi mà vẫn chưa xong hichic...)
Mình tìm thử trên internet thì thấy 2 website này:
http://www.jingjinggourmet.com/2005/admin/login.asp
http://sic.iuic.net.pk/rlogin.asp bị lỗi sqlinjection

Cụ thể:
với trang http://www.jingjinggourmet.com/2005/admin/login.asp
thì khi mình nhập vào tetbox username và pass là:'admin--
thì có lỗi:
Microsoft JET Database Engine error '80040e14'

Syntax error (missing operator) in query expression 'User_ID=''admin--''.

/2005/admin/login.asp, line 19
Còn với trang http://sic.iuic.net.pk/rlogin.asp bị lỗi sqlinjection
thì khi mình cũng nhập vào tetbox username và pass là:'admin--
thì có lỗi:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC Microsoft Access Driver] Syntax error (missing operator) in query expression 'altcode='admin'--' and pwd='admin'--''.

/rlogin.asp, line 59

Mục đích của mình bây giời là muốn khai thác 2 lỗi trên để lấy được tài khoản admin của 2 trang web này
để vào administrator control của nó.
Rất mong các cao thủ giúp đỡ mình sớm.
Cảm ơn mọi người rất nhiều. smilie
[Up] [Print Copy]
  [Discussion]   hỏi về lỗi SQLinjection 13/08/2009 07:21:53 (+0700) | #2 | 189760
dbntk3
Member
[Minus]    0    [Plus]
Joined: 04/08/2009 03:56:18
Messages: 8
Offline
[Profile] [PM]
chan wa.chang co ai tra loi cau hoi cúa minh ca smilie
[Up] [Print Copy]
  [Discussion]   hỏi về lỗi SQLinjection 13/08/2009 08:56:44 (+0700) | #3 | 189776
[Avatar]
 H3x4
Member
[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]
Bạn có biết cái lỗi trên nghĩa là gì không ?
PS: bạn tới nhà người ta, bạn loay hoay phá khóa người ta và người ta về bắt gặp, bạn nói là :
"Tôi chỉ kiểm tra độ bảo mật của nhà anh thôi chứ không có ý ăn trộm đâu ".
[Up] [Print Copy]
  [Discussion]   hỏi về lỗi SQLinjection 13/08/2009 10:01:25 (+0700) | #4 | 189786
[Avatar]
 phonglanbiec
Member
[Minus]    0    [Plus]
Joined: 03/07/2006 20:56:00
Messages: 162
Offline
[Profile] [PM]
Đọc tài liệu này: http://unixwiz.net/techtips/sql-injection.html
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|