| |
| |||||||
| Web Güvenlik ve Açıkları Web, DNS, Domain Hacking İle İlgili Bilgi, Belge, Makalelerin,Programların Paylaşılabileceği Forum Alanımızdır. |
| Tags: injection, mysql, yapabileceginiz |
  |
| | LinkBack | Konu Araçları |
02-17-2010
| #1 (permalink) | |||||||||||||
|  MySQL iNJeCTioN [yapabileceğiniz] Bu Alana Reklam Vermek İstiyorsanız Buraya Tıklayınız ySQL Injection Mysql: bir baska veri tabani sistemi mysql’dir. Büyük bi çogunlukla php siteler kullanir. Sunu en basta söyliyeyim php’de update olmaz. Php sitelerde bosuna update denemeyin. Yapabileceklerini eger veri tabani kullanicisi yetkili degil ise Access ile yapacaklarinizdan ileri geçemez. Union select ile veri çekebilirsiniz. Mysqlde injection kelimeleri arasina /**/ konur. Aslinda bu bir sart degildir ama mysqlde /**/ sonlandiri anlamina geliyor sanirim. [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] ,3/* bu sekilde kolon sayisini tutturmaya çalisiyoruz. Dikkat ederseniz kolon sayisini tutturmaya çalisirken tablo adi yazmamiza gerek yok. Eger yetkisimiz var ise mysql yada information_schema veri tabanlarindan veri çekebiliriz. Mysql.user tablosunda kullanici adi ve sifre bilgileri bulunur. Tabi sifre hashlenmis olarak tutulur. 4.1 öncesi sürümlerde 16 byte ile sifreliyorlardi 4.1 ve sonrasi sürümlerde 41 byte ile sifreleniyor. Bu sifreler ancak brute force ile kiralabilir. information_schema.tables tablosundan ise tablo ve kolon adlarini ögrenebilirsiniz.Ayrica load_file() fonksiyonu ile dosya okuyabiliriz. [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...], load_file(’/etc/passwd’),3/* mesela bu sekilde etc passwd dosyasini okuyabiliriz. Eger magic_quotes_gpc özelligi on ise ‘ karakteri /’ dönüstürülecegi için text olarak yazarak bu yöntem çalismayacaktir. O zaman char() fonksiyonunu kullaniyoruz. /etc/passwd yazisinin karakterlerinin tek tek ascii kodlarini yazarak bu yöntemi uygulayabiliriz. [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] bütün tabloları bulmak icin order by ile kolon sayısını öğreniyoruz, [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] hata almadık demekki kolon sayımız 10 [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] ekranda 3 5 9 10 gibi sayılar cıktı. 3’ün yerine vurduracağım tablo adlarını, [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] 3’ün yazdıgı yerde sitenin bütün tabloları çıktı. MySQL’inj’da yapabilecekleriniz Bu Kadar Arkadaşlar.
__________________  Msn [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] WebSite [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] | |||||||||||||
|       |
| Konuyu Beğendin mi ? O Halde Konuyu Arkadaşınız ile Paylaşın =) |
| Okumuş Olduğunuz Sayfayı E-Mail ile Arkadaşınız ile Paylaşın ! |
|
| Bookmarks |
| Şu an bu konuyu görüntüleyen kullanıcı sayısı: 1 (0 üye ve 1 misafir) | |
| Konu Araçları | |
| |
Benzer Konular | ||||
| Konu | Konuyu Başlatan | Forum | Yanıtlar | Son Mesaj |
| MySQL 1.0.3 X | PaZuZuMaN | M Serials | 0 | 03-15-2009 07:15 AM |
| MySQL Kurulumu | BlueROSE | Programlama | 0 | 02-26-2009 05:35 AM |
| MySQL Giriş | BlueROSE | Programlama | 0 | 02-26-2009 05:35 AM |
| Access, Mssql ve Mysql Injection | JaRu|e | Web Güvenlik ve Açıkları | 0 | 01-16-2009 06:27 AM |
| Access, Mssql ve Mysql ile Sql Injection | JaRu|e | Web Güvenlik ve Açıkları | 0 | 01-06-2009 04:24 PM |
