SQL Injection SubSelects and IF Statements
Günlük Okunma : 21 | 12.12.2007
I found myself in a situation where I can't finis a SQL sentence properly because input was going to multiple different queries and it was not possible to find one injection which can end all of them properly. To able to do some blind tricks I need to use a subselect with somekind of IF statement. Target was SQL Server so following query would be the ideal start: SELECT Members WHERE user_id = 1 AND (IF (1=1) SELECT 1 ELSE SELECT 2) Don't try it, it's not going to work because SQL Server doesn't support IF statemens in subselects. But it's strange you may use CASE statements in a subsel......
I found myself in a situation where I can't finis a SQL sentence properly because input was going to multiple different queries and it was not possible to find one injection which can end all of them properly. To able to do some blind tricks I need to use a subselect with somekind of IF statement. Target was SQL Server so following query would be the ideal start: SELECT Members WHERE user_id = 1 AND (IF (1=1) SELECT 1 ELSE SELECT 2) Don't try it, it's not going to work because SQL Server doesn't support IF statemens in subselects. But it's strange you may use CASE statements in a subsel......
BSQL ve SQL Injection Haberleri
Günlük Okunma : 3 | 10.10.2007
Bazılarınızın bildiği gibi son zamanlar özellikle SQL Injection' ları exploit etmek için BSQL Hacker isimli bir program üzerinde çalışıyorum. Program özellikle Blind SQL Injection' lar üzerine yoğunlaşmış durumda. Bu aralar bu programı geliştirmekle, Enemy Terriority Quake Wars ile uğraşmakla ve Ramazanın getirdiği ekstra yorgunlukla siteye pek elleyemedim. BSQL Hacker artık Beta olarak yayınlanabilecek bir kıvama geldi. Yeni bir beta yayınlamıyorum ancak eğer aktif olarak SQL Injection açıkları ile çalışıyor ya da pratik ediyro ve SQL Injection konus......
Bazılarınızın bildiği gibi son zamanlar özellikle SQL Injection' ları exploit etmek için BSQL Hacker isimli bir program üzerinde çalışıyorum. Program özellikle Blind SQL Injection' lar üzerine yoğunlaşmış durumda. Bu aralar bu programı geliştirmekle, Enemy Terriority Quake Wars ile uğraşmakla ve Ramazanın getirdiği ekstra yorgunlukla siteye pek elleyemedim. BSQL Hacker artık Beta olarak yayınlanabilecek bir kıvama geldi. Yeni bir beta yayınlamıyorum ancak eğer aktif olarak SQL Injection açıkları ile çalışıyor ya da pratik ediyro ve SQL Injection konus......
ORACLE SQL Injection
Günlük Okunma : 4 | 29.09.2007
BSQL Hacker için ORACLE modülü geliştirirken ORACLE' da SQL Injection araştırmaları yapmaya ve bir ufak bir cheat sheet hazırlamaya vaktim oldu. Dokümanı inaşallah bu Pazartesi ya da Salı günü yayınlayacağım. Bu arada BSQL Hackerda sayısız yenilikler oldu. Bazıları SQL Server ve ORACLE için Otomatik exploit motoru (PostgreSQL ve MySQL yolda) GUI' den test imkanı Hızlı bir şekilde olaya girmek için 2 tane Wizard (Raw Request' ten veya URL den direk injection oluşabiliyor) Kendini Güncelleme özelliği Exploit Repository ve Güncelleme desteği. Bu sayede diğer sitelerden ve resmi exploit deposund......
BSQL Hacker için ORACLE modülü geliştirirken ORACLE' da SQL Injection araştırmaları yapmaya ve bir ufak bir cheat sheet hazırlamaya vaktim oldu. Dokümanı inaşallah bu Pazartesi ya da Salı günü yayınlayacağım. Bu arada BSQL Hackerda sayısız yenilikler oldu. Bazıları SQL Server ve ORACLE için Otomatik exploit motoru (PostgreSQL ve MySQL yolda) GUI' den test imkanı Hızlı bir şekilde olaya girmek için 2 tane Wizard (Raw Request' ten veya URL den direk injection oluşabiliyor) Kendini Güncelleme özelliği Exploit Repository ve Güncelleme desteği. Bu sayede diğer sitelerden ve resmi exploit deposund......
BSQL Hacker Beta, Testerlar Aranıyor
Günlük Okunma : 10 | 27.08.2007
Aşağıda OWASP-TR listesine gönderdiğim mail var, burada da yayınlamak istiyorum. Uygulamanın ekran görüntülerini de serpiştirdim, detaylarını görebilirsiniz. Cok uzun zaman once basladigim ancak yakin donemde tekrar yazmaya basladigim bir Blind SQL Injection programi var. Ilk beta verisyonunu yayinladim. Henuz beta bile denemez belki ama en azindan calisiyor. Dokumantasyon cok zayif henuz, uzerinde calisiyorum. Lisans GPL, stable versiyon insallah 1-2 ay icerisinde yayinlanacak. Program ozetle Blind SQL Injection lari otomatik olarak exploit etmek icin gelistirildi. Hemen hemen her durumda h......
Aşağıda OWASP-TR listesine gönderdiğim mail var, burada da yayınlamak istiyorum. Uygulamanın ekran görüntülerini de serpiştirdim, detaylarını görebilirsiniz. Cok uzun zaman once basladigim ancak yakin donemde tekrar yazmaya basladigim bir Blind SQL Injection programi var. Ilk beta verisyonunu yayinladim. Henuz beta bile denemez belki ama en azindan calisiyor. Dokumantasyon cok zayif henuz, uzerinde calisiyorum. Lisans GPL, stable versiyon insallah 1-2 ay icerisinde yayinlanacak. Program ozetle Blind SQL Injection lari otomatik olarak exploit etmek icin gelistirildi. Hemen hemen her durumda h......
Arşiv
Yeni yazıları RSS ile takip edebilir ya da e-mail adresinize gelmesini sağlayabilirsiniz.
En Çok Okunan 10 Yazı | Toplam En Çok Okunan 10 Yazı | Tüm yazılar ve Makaleler