Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 12

Temat: Sql injection PHPMYADMIN

  1. #1

    Exclamation Sql injection PHPMYADMIN

    Chyba ataki sql injection na bazę danych phpmyadmin sa nie mozliwe :/
    Próbowałem już metod 'or'='or' itp. i nic. Najwidoczniej dobre zabezpieczenia Czy istnieją inne metody włamań?

  2. #2

    Domyślnie

    A oglądałeś przynajmniej kod tego systemu Bo jak widzę porywasz się z motyką na słońce. W phpmyadmin nie znajdziesz prostych błędów sql injection (wątpie czy cokolwiek znajdziesz). Ten skrypt do zarządania bazami danych jest bardzo zaawansowany, został stworzony przez wielu programistów, i są nikłe szanse, że ktoś taki jak ty znajdzie tam błąd.

    'or'='or'
    Jak widzę nawet nie wiesz co wpisujesz.
    "a imię jego będzie czterdzieści i cztery"
    A. Mickiewicz Dziady cz. III

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ehmmm wbrew pozorom to wyrazenie zwroci TRUE
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4

    Domyślnie

    Cytat Napisał rafal44 Zobacz post
    A oglądałeś przynajmniej kod tego systemu Bo jak widzę porywasz się z motyką na słońce. W phpmyadmin nie znajdziesz prostych błędów sql injection (wątpie czy cokolwiek znajdziesz). Ten skrypt do zarządania bazami danych jest bardzo zaawansowany, został stworzony przez wielu programistów, i są nikłe szanse, że ktoś taki jak ty znajdzie tam błąd.


    Jak widzę nawet nie wiesz co wpisujesz.
    Dlaczego kolega miłby nie znaleść ?
    Sądzisz że czegoś mu brakuje ?
    Przecież to proste jak 5*18
    zwłaszcza jeśli coś nie jest pisane w OOP z wykorzystaniem wzorców
    projektowych to może mieć nawet 100000 linij kodu (a to nawet lepiej)
    wystarczy odrobina samo zaparcia i koncentracji
    Jeśli natomiast jest pisane w OOP i korzysta z wzorców
    to wtedy wystarczy trochę więcej samozaparcia i koncentracji
    <-- m0oja ulubiona emota . Zawsze myślałem że to symbol błazna
    a to czarodziej . Rozczarowałem się jak przy marnych niespodziankach z czekoladowych jajkóF ;/
    Ostatnio edytowane przez Egoalter : 02-25-2009 - 14:18
    mam fryzure na Hitlera - jest k00l

  5. #5

    Domyślnie

    Czytałem między wierszami, dlatego tak to oceniłem. Mam tendencję do analizowania wszystkigo, np ludzkich zachowań.
    A więc
    Chyba ataki sql injection na bazę danych phpmyadmin sa nie mozliwe :/
    phpMyAdmin nie jest bazą danych tylko systemem do zarządania nimi, co świadczy o małej wiedzy autora postu (z góry przepraszam za obrażanie). I do tego zdanie jest dziwnie skonstruowane, czuję w nim niepewność. Wszystko to świadczy, że mamy do czynienia z nowicjuszem.
    'or'='or'
    Rzeczywiście taka konstrukcja zwróci TRUE, ale dlaczego jest to 'or', które oznacza alternatywę. Wystarczyłoby 4=4. Mam wrażenie, że tutaj coś zostało pomieszane.
    Najwidoczniej dobre zabezpieczenia Czy istnieją inne metody włamań?
    A jakie mają być te dobre zabezpieczenia? Przecież wiadomo, że tak popularny skrypt jest dobrze zabezpieczony, że nie trzeba nic dodawać. I co oznacza 'inne metody włamań'?

    A teraz coś z poza zadanego pytania, czyli czytanie między wierszami.
    Jak wyobrażacie sobie atak na skrypt phpMyAdmin? Albo jaki miałby być cel tego ataku? Hasła nie są wpisane na stałe do skryptu więc aby połączyć się z bazą musimy podać je na początku. Więc jeżeli nie znamy hasła to nie połączymy się z bazą i nie poznamy hasła. Jeżeli znamy hasło użytkownika, który ma ograniczony dostęp, to i tak nic więcej nie zrobimy. phpMyAdmin nie ma nieograniczonego dostępu do zasobów serwera, to tylko skrypt administracyjny.

    Nie wiem, może się mylę. Jak wiadomo każdy program zawiera błąd, tylko trzeba umieć go wykorzystać. Znalezienie niefiltrowanej zmiennej czytając kod jest proste, ale ja nawet nie czytałem kodów phpMyAdmin, bo nie miałem po co. Co z tego, że znajdę błąd jeżeli na nic mi się nie przyda?
    "a imię jego będzie czterdzieści i cztery"
    A. Mickiewicz Dziady cz. III

  6. #6

    Domyślnie dw

    A ja myślę z całym szacunkiem że pieprzysz farmazony
    Z mojej analizy twojego zachowania wynika iż przejawiasz popularną tendencje do syndromu "LUK ET MI"

    Może kolo jest niu , ale to nie znaczy że mamy go zaraz po Polsku mobilizować
    Wiesz jaka jest first zasada kozackich maklerów z łol strit ?
    Wiara w zwycienstwo lol

    Ja tam mu powiem na dzień dobry niczym Jezus Chrystus
    Szukajcie a znajdziecie
    amen
    Ostatnio edytowane przez Egoalter : 02-26-2009 - 00:26
    mam fryzure na Hitlera - jest k00l

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    A ja prosze o koniec z wycieczkami osobistymi bo zamkne watek i porozstawiam po kontach - tak sie skonczy cala zabawa!

    Co do atakow na phpMyAdmin - jesli cos znajdziesz to dopiero to otworzy dalej droge do atakow na maszyne i docelowo baze danych, nawet jesli phpMyAdmin dziala na innym hoscie to byc moze da sie to wykorzystac. Wszystko zalezy od tego jaki dostep da nam dziura ktora (moze) znajdziesz w phpMyAdmin'ie.

    Co do dalszego dostepu do bazy danych - MySQL ma calkiem wygodne ustawienia uprawnien... dostep do bazy po kombinacji user+haslo+ip, dalej uprawnienia do konkretnych tabel a nawet na konkretne kolumny w tabelach... Mozna jasno okreslic co taki pacjent ma prawo robic itd, wiec nawet jesli znajdziesz dziure w phpMyAdminie i np wysnifujesz haslo do bazy to da Ci to tylko tyle uprawnien co user ktorego haslo przechwyciles.

    Ja sam kiedys mialem 1 usera i sterte baz... pozniej mialem osobnego usera do kazdej bazy... a teraz mam osobnego usera do kazdej bazy do kazdego zastosowania! Ten user moze tylko robic selecty a tamten moze tylko inserty robic i tylko do 1 tabeli w 1 bazie i tylko gdy laczy sie z danej podsieci... nie wspominajac juz o innych zabezpieczeniach ktore tez sa oczywiscie aktywne
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8

    Smile Dzięki ;)

    Bardzo dobrze poznaliście - jestem newbie w hackingu
    Jedynie słyszałem o SQL Injection i atakach DoS i DDos [z wielu komputerów]
    Wyczytałem też co nieco o Exploicie i programach typu Sub7

    Co do sniffingu to "wyłapywanie" pakietów z sieci, jakby "podsłuchiwanie wydarzeń w sieci" :] Dziękuje bardzo za wasze wypowiedzi, teraz już wiem, że samo sql injection nie wystarczy. Co do wyszukania błedów w kodzie to będzie problem . Ogólnie co radzicie zrobić najpierw? Chodzi mi o to czy np. atak DoS czy exploit, czy sniffing czy wyszukanie błędu. Kod Phpmyadmin'a mogę wam tutaj wkleić, więc może dacie mi pare wskazówek :]

  9. #9

    Domyślnie

    Roftl
    Naucz się kodzić (programować lol)
    to na początek
    mam fryzure na Hitlera - jest k00l

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ... a kod phpMyAdmina to mamy wiec nie ma potrzby wklejac... jak znalazles blad to podaj jaki plik i ktora linia :-)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Sql Injection
    By xbitdesigns in forum Inne metody
    Odpowiedzi: 2
    Autor: 01-03-2015, 10:06
  2. SQL injection
    By Quers in forum Newbie - dla początkujących!
    Odpowiedzi: 4
    Autor: 06-30-2008, 06:22
  3. sql injection
    By h3x in forum Hacking
    Odpowiedzi: 4
    Autor: 05-15-2008, 18:48
  4. sql injection na real.pl
    By michalski007 in forum Hacking
    Odpowiedzi: 17
    Autor: 02-05-2008, 23:12
  5. sql injection
    By ble34 in forum Security
    Odpowiedzi: 7
    Autor: 06-13-2007, 16:45

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj