Title: [Duvida] Deface
Post by: Anonymous on 23 de September , 2007, 03:45:47 PM
Post by: Anonymous on 23 de September , 2007, 03:45:47 PM
Ae galera ! eu sei o login e a senha do admin de um site q eh vulneravel a SQL injection www.site.com.br/galeria/admin/login.php (http://www.site.com.br/galeria/admin/login.php), mas eu posso apenas modificar o q o admin modificaria pelo proprio site , naum posso upar outra index coisa do genero , naum teho acesso ao banco de dados, nada . Gostaria de saber se alguem pode me dar uma luz de como upar um backdoor acesar o mysql , e depois de acessado (ou antes 
) fazer deface nos outros sites do servidor , ou utiliza-lo para ataques DDoS. Alguem poderia me dar uma ideia de como fazer?
vlw
) fazer deface nos outros sites do servidor , ou utiliza-lo para ataques DDoS. Alguem poderia me dar uma ideia de como fazer?vlw
Title: Re: [Duvida] Deface
Post by: lcs on 23 de September , 2007, 08:53:01 PM
Post by: lcs on 23 de September , 2007, 08:53:01 PM
Bom não saquei mto o que vc quer fazer, mas para realizar um DDOS no server é so ter maquinas. para acessar o banco de dados tu tem que ter um exploit para o sistema que sera atacado e conhecer sql injectiom..
fallow
fallow
Title: Re: [Duvida] Deface
Post by: HadeS on 23 de September , 2007, 10:11:21 PM
Post by: HadeS on 23 de September , 2007, 10:11:21 PM
É possível rodar comandos no sistema operacionar por SQL.
Dá uma pesquisada.
HadeS
Dá uma pesquisada.
HadeS
Title: Re: [Duvida] Deface
Post by: Anonymous on 24 de September , 2007, 01:02:48 PM
Post by: Anonymous on 24 de September , 2007, 01:02:48 PM
mas HadeS , eu naum tenho acesso a SQL , eu sei o login e a senha do admin , mas logo pela pagina mesmo , posso modificar tudo pela pagina. Como logo na SQL?
Title: Re: [Duvida] Deface
Post by: HadeS on 25 de September , 2007, 10:51:09 AM
Post by: HadeS on 25 de September , 2007, 10:51:09 AM
QuoteAe galera ! eu sei o login e a senha do admin de um site q eh vulneravel a SQL injection
lol
Se ele está vulnerável a SQL Injection, você tem acesso ao banco de dados (SQL).
HadeS
Title: Re: [Duvida] Deface
Post by: Wuefez on 27 de September , 2007, 08:09:28 AM
Post by: Wuefez on 27 de September , 2007, 08:09:28 AM
Quote from: "HadeS"É possível rodar comandos no sistema operacionar por SQL.
Dá uma pesquisada.
HadeS
Que eu saiba isso so é possivel no MS-SQL server por meio de xp_cmdshell e o usuario que o sql server esta usando deve ser administardor, muito raro de achar, mas as vezes agente da umas cagadas, no wyd dava pra passar uns comandos legais mas nao tinha remote desktop e tinha um firewall filho da puta.......
Title: Re: [Duvida] Deface
Post by: fast on 21 de November , 2007, 04:18:01 AM
Post by: fast on 21 de November , 2007, 04:18:01 AM
Veja o video do milw0rm.com chamado Rooting MS SQL SERVER USING DBO
Um SQL SERVER da microsoft usando dbo , ele usa o comando xp_cmdshell e adiciona um usuario administrador (root d windows) no sistema. Abre conexao remota (tela) e faz a festa.. daria pra fazer o Mass , vai indo pielas pastas
besos
Um SQL SERVER da microsoft usando dbo , ele usa o comando xp_cmdshell e adiciona um usuario administrador (root d windows) no sistema. Abre conexao remota (tela) e faz a festa.. daria pra fazer o Mass , vai indo pielas pastas
besos
Title: Re: [Duvida] Deface
Post by: Anonymous on 21 de November , 2007, 08:25:25 AM
Post by: Anonymous on 21 de November , 2007, 08:25:25 AM
Quote from: "HadeS"lol
Se ele está vulnerável a SQL Injection, você tem acesso ao banco de dados (SQL).
HadeS
Mas Hades, que eu saiba, em sites em PHP temos que
criar outro login e senha para o DB. Eu por exemplo não deixaria o mesmo nick e mesma senha, seria burrice.
E também acho que o adm. que ele se refere também não.