Использование SQL injection для записи в БД форума
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Использование SQL injection для записи в БД форума - 2006-12-08 13:36:10
|
|
|
Freader
Сообщений: 6
Оценки: 0
Присоединился: 2006-11-20 17:24:33.996666
|
Существуют эксплойты, созданные на основе SQL injection, позволяющие считать информацию из базы данных (например, на форуме IPB)
Можно ли с помощью SQL injection не считывать, а записывать произвольные данные в базу или копировать данные из одной ячейки в другую? Например, я создаю пользователя, копирую его хэш на место хэша пользователя, которого надо взломать и захожу со своим паролем.
А то повадились некоторые параноики генерить рандомные пароли длиной в 16 символов (хрен набрутишь) и удалять, не читая, письма от незнакомых людей (хрен взломаешь мыло для того, чтобы сменить пароль на форуме)
Конкретно, интересует форум IPB 2.1.6
|
|
|
|
|
RE: Использование SQL injection для записи в БД форума - 2006-12-08 14:19:40.110000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Эксплоиты не знаю, а SQL все это позволяет. Учите.
|
|
|
|
|
RE: Использование SQL injection для записи в БД форума - 2006-12-11 23:18:09.390000
|
|
|
Diabolus
Сообщений: 127
Оценки: 0
Присоединился: 2006-11-18 05:35:27.343333
|
угумс.
просто смотришь как действует сплойт, ну и проделываешь то же самое руками, только запрос не селект блабла, а апдейтишь :) ну и эт… новый пароль задать проще (запрос короче ;) ), чем копировать из другой ячейки ;)
хм.. вообще-то и так форум зафлужен, так что даже примерами чуток нафлужу :)
просто находишь в сплойте место, где прописано что-то вроде SELECT pass FROM users WHERE id=айди, и заменяешь это на UPDATE users SET pass=пасс WHERE id=айди :)
|
|
|
|
|
|
