SQL Injection

~~SuckMyBaum~~ · 07/31/2012, 16:33

Hallo, ich habe glaube ich eine SQL Injection-Lücke gefunden.
Ich wollte nun fragen ob mir dabei jemand helfen kann, diese auszunutzten.

English:
Hello, I believe I found a SQL Injection in DarkOrbit.
Now I wanted to ask if someone can help me to use this.

Aneli88 · 07/31/2012, 16:35

Mhh, finde ich gut

Ich kenn leider keinen sry

~~SuckMyBaum~~ · 07/31/2012, 16:37

Aneli88 weißt du was SQL Injection überhaupt ist?
Damit kann man die Datenbank hacken etc. wenn man es gut kennt. ^^

Aneli88 · 07/31/2012, 16:42

ja ich weis darum finde ichs doch gut

~~SuckMyBaum~~ · 07/31/2012, 16:43

Quote:

Originally Posted by Aneli88

ja ich weis darum finde ichs doch gut

Weißt du denn wie man etwas ausgeben kann? xD

also z.B
parameter=1 'OR 1=1
und dann
-->
parameter=1 'print("lol")

so das er auf der website "lol" ausgibt? gibt es da sowas?

Aneli88 · 07/31/2012, 16:47

Nein, ich habe keine Ahnung von dem

nur gaanz wenig batch aber das ist ja ganz was anderes,

Mhh ich frag mal ein Kolleg, der progt bisel, weis nicht ob er damit schon erfahrung gemacht hat... er mach aber eher was mit programmen,

Naja, könntest du eigentlich damit (wenn du es schaffen würdest durch zu kommen) auch accs wieder entbannen?

~~SuckMyBaum~~ · 07/31/2012, 16:50

Quote:

Originally Posted by Aneli88

Nein, ich habe keine Ahnung von dem nur gaanz wenig batch aber das ist ja ganz was anderes,

Mhh ich frag mal ein Kolleg, der progt bisel, weis nicht ob er damit schon erfahrung gemacht hat... er mach aber eher was mit programmen,

Naja, könntest du eigentlich damit (wenn du es schaffen würdest durch zu kommen) auch accs wieder entbannen?

Ja, nur müsste ich wissen wie die Tabellen etc. heißen.
Aber bestimmt gibt es mittel und Wege um diese Auszugeben.
Dadurch könnte ich Tabellen löschen -> Also z.B Tabelle User = keine user mehr

~~Radnou~~ · 07/31/2012, 16:54

Sql ist die website
So.
Injection ist einfach nur ein programm oder script usw. Das algorytmen entschlusselt.
Wo ist da das hacking?

Aneli88 · 07/31/2012, 16:59

radnou, doch man kommt da durch, die website ist auch "in schichten" aufgebaut, und durch das arbeitet man sich da glaube durch,

Wenn ich falsch liege, tut mir leid, kenn mich nicht aus, so habe ich es mir vorgestellt

~~SuckMyBaum~~ · 07/31/2012, 17:01

Quote:

Originally Posted by Radnou

Sql ist die website
So.
Injection ist einfach nur ein programm oder script usw. Das algorytmen entschlusselt.
Wo ist da das hacking?

Du kannst daten ausgeben lassen.
Yahoo wurde ja auch mit SQL-Injection gehackt.
Dort wurden die 8 Millionen Passwörter verteilt die dort waren.

SQL-Injection ist KEIN Programm.
Es ist eine veränderung des SQL-Befehls, womit man z.B sich einfach ein Login erschaffen kann.

Beispiel:

Code:

Name = test
Pass = test
-> Pass nicht

Name = test
Pass = 'OR 1=1
--> name test stimmt, pass stimmt auch da 1=1 ist. also wird man eingeloggt.

~~God™~~ · 07/31/2012, 17:06

Und es ist nicht legal.

~~SuckMyBaum~~ · 07/31/2012, 17:13

*** wie wollen die es rausfinden?
Wenn du werte änderst über diesen Befehl können die es ja nicht rausfinden.

deathline4ever · 07/31/2012, 18:22

Quote:

Originally Posted by Radnou

Sql ist die website
So.
Injection ist einfach nur ein programm oder script usw. Das algorytmen entschlusselt.
Wo ist da das hacking?

Labber SQL is webseite Fail des Tages.
SQL heißt die Sprache die für Databases benutzt wird.

Ich habe Ahnung davon, jedoch werd ichs dir nicht machen da ich gegen Botting bzw Hacken bin.

Gruß

Aneli88 · 07/31/2012, 18:29

Du bist gegen Botten? Und bist in der DO Section auf Epvp? Hahaha guter Witz

~~Radnou~~ · 07/31/2012, 18:33

*** guter Witz