usserrr Posted October 22, 2008 Report Posted October 22, 2008 Acesta este primul meu post pe acest site.In maxim o saptamana voi posta si un link catre o prima versiune in java(teoretic independenta de platforma) a unui program care automatizeaza procesul sql injection.Deocamdata programul functioneaza numai pentru baza de date MySQL in viitor voi include si altele...Atasez o imagine cu interfata acestui programNu sunt foarte sigur ca am postat unde trebuie...daca am postat gresit rog un administrator sa mute acest thead in sectiunea corecta.Astept comentarii si eventuale pareri sau sugestii cu privire la aceasta imagine.Datorita comentariilor rautacioase voi posta in seara asta o versiune a programului...cu toate ca mai erau cateva buguri de rezolvat...Cat despre faptul ca sunt foarte multe scripturi care fac acest lucru sunt de acord cu tine d3v1l,cand am programat am avut in minte faptul ca este independent de platforma si ca are o interfata prietenoasa...Cat despre celalalt nick nu stiu despre ce vorbesti...desi exista posibilitatea sa ma fi inregistrat alta data si sa fi uitat numele de utilizator...
Vlachs Posted October 22, 2008 Report Posted October 22, 2008 acum serios dc ai mai postat ce o sa apara in 10ani ,puteai sa astepti si sa postezi atunci , si java este independenta de platforma da iti trebuie ceva, ghici ce ?si eu sincer nu am nici o parere , vad o pagina cu ceva text , trebuia sa faci upload pe un server sa testam asa din poza ce sa iti zic , misto culori sau ce ?
d3v1l Posted October 22, 2008 Report Posted October 22, 2008 Acesta este primul meu post pe acest site. in primul rand si in mod normal primul tau post ar fi trebuit sa fie aici Bine ai venit pe Romanian Security Forum (aici te poti prezenta) - Romanian Security Team - SECURITY RESEARCH si in al doilea rand nu inteleg persoanele care se travestesc. Nu aveai curajul sa faci acest post cu celalalt nick,chiar a fost nevoie sa te mai registrezi odata? iar in al treilea,ce post sa-ti spun... e plin deja de scripturi/programe care fac acelasi lucru...incat a ajuns lumea sa nu mai stie care sa-l foloseasca.
usserrr Posted October 25, 2008 Author Report Posted October 25, 2008 Iata si linkul de download al programelului : Programel SQLInjection in javaNu l-am testat foarte mult...deci posibil sa aibe ceva buguri...Astept parerile voastre....Versiune de jre necesara minim 1.6Linkul va fi disponibil din nou odata cu terminarea noi versiuni de program.
Guest Kenpachi Posted October 25, 2008 Report Posted October 25, 2008 e plin deja de scripturi/programe care fac acelasi lucru...incat a ajuns lumea sa nu mai stie care sa-l foloseasca.corectie ... incat nu mai stie lumea sa le faca manual, toti folosesc programe scrise de altii apoi vin pe forumuri ca si asta si incep sa se laude cu ce au facut ei ...
usserrr Posted October 25, 2008 Author Report Posted October 25, 2008 Sincer nu am postat acest programel ca sa ma laud...As fi dorit sa obtin o colaborare cu alti utilizatori pentru un proiect mai amplu,ceva diferit de toate celelalte scripturi despre care vorbiti...Eu unul pot face un sql injection si manual...
Guest Kenpachi Posted October 25, 2008 Report Posted October 25, 2008 nu ai inteles cum trebuie. nu te blamam pe tine sau pe ceilalti scriitori de software. problema o reprezinta gibonii care folosesc aceste softuri de tip mura-n-gura si apoi se lauda cu rezultatele.
usserrr Posted October 27, 2008 Author Report Posted October 27, 2008 Sa inteleg ca nimeni nu a testat programelul asta ?In afara de faptul ca are o interfata frumoasa, nu l-ati gasit util la nimic altceva...
d3v1l Posted October 27, 2008 Report Posted October 27, 2008 daca ai face si un tutorial poate ai avea mai multe replay-uri la acest topic sincer eu inca nu l-am downloadat. o voi face chiar acum ,iar in curand vei avea si o parere despre. edit: de ce l-ai sters de pa rapidshare?
usserrr Posted October 27, 2008 Author Report Posted October 27, 2008 Deci sa presupunem ca urlul de testat este : http://localhost/testing/index.php?id=1Presupunem ca parametrul id ar putea fi vulnerabil...Introducem urlul in program si alegem si un cuvant din corpul paginii in campul Regex, un exemplu de cuvant de pe aceasta pagina ar putea fi "d3v1l"...Selectam delimitatorul...Dupa care dam start testing...Programul verifica daca respectivul url este vulnerabil sau nu la sql injectionPentru detaliii despre baza de date curenta folosim optiunea dbdetails...mai departe cred ca lucrurile sunt destul de clare Daca mai aveti neclaritati va raspund cu placereLinkul va fi disponibil din nou odata cu terminarea noi versiuni de program.
usserrr Posted October 27, 2008 Author Report Posted October 27, 2008 Apropo, imi permit si eu un off topic: daca este descoperita o vulnerabilitate a unui site,unde ar trebui postata aici pe forum?dar raportata...Sa zicem ca siteul este din ro si nu foarte important.
paxnWo Posted October 29, 2008 Report Posted October 29, 2008 Apropo, imi permit si eu un off topic: daca este descoperita o vulnerabilitate a unui site,unde ar trebui postata aici pe forum?dar raportata...Sa zicem ca siteul este din ro si nu foarte important.nu conteaza . posteaza aici : Club ShowOFF - Romanian Security Team - SECURITY RESEARCH
d3v1l Posted October 31, 2008 Report Posted October 31, 2008 pa bune eu chiar nu inteleg,de ce drec tot pui si stergi linkul ala pt download ? acelasi lucru l-ai facut si pe hackpedia. Pana la urma care e scopul tau? vrei sa faci un release pe sourceforge sau plm. Parerea mea e ca daca tot vroiai sa faci o figura frumoasa cu acel tool,fara atata balamuc,asteptai sa il termini si apoi il postai in "programe hack" cu screen,poate un mic tutorial pt nepriceputi si un link pt download permanent.hai ca deja suntem in offtopic. scuze
usserrr Posted November 1, 2008 Author Report Posted November 1, 2008 Scuze pentru cele petrecute...Programul mai are mici buguri, asta este unul dintre motivele pentru care l-am sters.In loc de reprosuri,ati putea veni cu sugestii sau adaugiri(cei care l-ati testat) despre cum l-as putea imbunatati.Exista o noua versiune in lucru...Cand va fi gata veti fi primi care veti afla.Inca odata scuze.Si nu, nu va fi postat pe sourceforge.Iata linkul de download al versiuni curente http://rapidshare.com/files/159709678/jsectoolrar.rarArhiva are parola: www.rstcenter.comContine 2 exemple si un fisier tutorial.txt unde sunt prezentate optiunile programului.Toate cele bune.Linkul va fi disponibil din nou odata cu terminarea noi versiuni de program.
d3v1l Posted November 3, 2008 Report Posted November 3, 2008 ce parola are arhiva? Arhiva are parola: www.rstcenter.com tu chiar faci pa prostu sau nu sti sa citesti ?
Caracal Posted November 3, 2008 Report Posted November 3, 2008 "pa" prostu face mata stiu sa citesc...si stiu sa si scriu! mori de ciuda!
usserrr Posted November 4, 2008 Author Report Posted November 4, 2008 "pa" prostu face mata stiu sa citesc...si stiu sa si scriu! mori de ciuda!In loc sa va certati mai bine v-ati da cu parerea despre programel....Chiar nimeni nu are nimic de spus?gen: E o prostie....Nu e bun de nimic....sau ar mai trebui sa mai implementezi si asta....
bossjuan Posted November 10, 2008 Report Posted November 10, 2008 la unele siteuri imi da asa :[!] MySQL >= v3.0.0 found! si nu poate sa extraga nimic adica al tot ce e cu v3.0.0 nu extrage nimic imi ramane asa ,,[~]Trying to extract db details...,,
usserrr Posted November 11, 2008 Author Report Posted November 11, 2008 Ai putea te rog sa imi dai exemplu unul din siteurile la care s-a intamplat acest lucru?Cat despre versiunile 4.0.x si 4.1.x la preferences exista niste liste pentru numele de tabele,respectiv nume de coloane...daca versiunea de mysql este >=4.0.0 atunci se incearca brute force folosind numele tabelelor din lista...si mai apoi pentru numele coloanelor tabelelor ghicite...Mai astept si alte pareri...Linkul va fi disponibil din nou odata cu terminarea noi versiuni de program.
bossjuan Posted November 13, 2008 Report Posted November 13, 2008 asta e id-ul meu de mes (duskyboyboy) intra sa vb pe mes mai multe ca vreau sa iti mai arat ceva
bossjuan Posted November 13, 2008 Report Posted November 13, 2008 nu merge sa extraga la nici un site care are Msql V3.0 uite un exemplu la un site care are MSQL V3.0 si mai multe la ,,Club ShowOFF,,URL: HEXUS.net - Review :: AMD (ATI) Radeon HD 4850 and 4870: bloodying NVIDIA's profits : Page - 1/22 Regex: Radeon Delimiter: -- ------------------------------------------------------------------ [!] MySQL >= v3.0.0 found! [~]Trying to extract db details...
