quote:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>HackMe @ Elderson: Level 1</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
</head>
<body style="font: Verdana; font-size: 16px;">
<div align="center">
<br />
Okay, our online webshop wants to be hacked!
<br />
<br />
<br />
<form action="/level1.php" method="post" style="margin: 0px; padding: 0px;">
<table style="border: 1px solid #777777; background-color: #BBBBBB; padding: 5px; width: 200px;">
<tr>
<td colspan="2" align="center"><strong>Login Form</strong></td>
</tr>
<tr>
<td>Username:</td>
<td style="width: 100%;"><input type="text" name="username" style="width: 100%;" value="" /></td>
</tr>
<tr>
<td>Password:</td>
<td style="width: 100%;"><input type="password" name="password" style="width: 100%;" /></td>
</tr>
<tr>
<td colspan="2" align="right"><input type="submit" value="Login" /></td>
<td></td>
</tr>
</table>
</form><br />
<br />
<br />
<br />
<br />
PS. Please leave the (web)server out of this
</div>
</body>
</html>
quote:die staan er niet, zoek op google naar SQL Injections
Op dinsdag 27 januari 2004 19:59 schreef damatrix het volgende:
Hieronder de broncode, nu mag iemand mij vertellen waar password en username staan?
[..]
quote:Ik kom er ook echt niet uit. Heb naar de pagina''s gekeken in de bron maar niets gevonden van oplossingen.
Op dinsdag 27 januari 2004 19:58 schreef programmer het volgende:[..]
ja, dat klopt. maar dat maakt niks uit voor level 1
Fotoboek
http://www.governmentsecurity.org/articles/SQLinjectionBasicTutorial.php
zoja: probeer een een ' in de gebruikers naam te gooien... daar ergens zit een beveiligs lek waardoor je de login pagina (een php script) kan hacken
quote:Ahaaa
Op dinsdag 27 januari 2004 20:07 schreef programmer het volgende:
weten jullie iets van sql?zoja: probeer een een ' in de gebruikers naam te gooien... daar ergens zit een beveiligs lek waardoor je de login pagina (een php script) kan hacken
Fotoboek
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '''' AND `password` = PASSWORD('')' at line 1
je krijgt die ene foutmelding, en dan moet je achter de tabel komen ofzo... alleen wat je in moet voeren is steeds hetzelfde
Thinking to be is quite the opposite of being one
quote:Inderdaad.
Op dinsdag 27 januari 2004 20:21 schreef Batsies het volgende:
Eerst level 1
* R-AdIoAcTiVe komt er maar niet uit en word er gek van
Fotoboek
meer tips 
like an addicted to cocaine calls for the stuff he'd rather blame'
Username
' or <getal>=<zelfdegetal> --
Uitlegje:
Als je tussen een WHERE en een AND een OR neerzet, hoeft maar 1 dingetje correct te zijn als hij verder geen () in de query heeft zitten volgens mij. En aangezien de <getal>=<zelfdegetal>-- altijd correct is is de query succesvol. Hoewel ik ook strak ongelijk kan hebben, de echte kenners mogen me verbeteren
[Dit bericht is gewijzigd door Afwezig op 27-01-2004 20:38]
spoiler:
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ') or 2=2' AND `password` = PASSWORD('') or 2=2')' at line 1
Ik moet die ')' nog wegwerken.. of zit ik nu helemaal in de verkeerde richting? (n00b enzo)
like an addicted to cocaine calls for the stuff he'd rather blame'
quote:spoiler:
Op dinsdag 27 januari 2004 20:37 schreef Batsies het volgende:
Grappig, maar ligt het aan mij of werkt dit niet, of is het echt tijd om te stoppen?
Vul dat in als username, gebruik geen password en druk op enter, it works for me
quote:Jeetje was het zo moeilijk, stond ook in de tutorial, ik maar kloten met het paswoord enzo
Op dinsdag 27 januari 2004 20:39 schreef Afwezig het volgende:[..]
spoiler:
' or 666=666 --
Vul dat in als username, gebruik geen password en druk op enter, it works for me
"I thought that you were hiding, and you thought that I had run away"
-- Maynard James Keenan
quote:spatie na '
Op dinsdag 27 januari 2004 20:49 schreef Risp het volgende:
waarom werkt dat bij mij niet? ik type echt: 'or 666=666 -- in
quote:let op de spaties, en ook eentje aan het einde
Op dinsdag 27 januari 2004 20:49 schreef Risp het volgende:
waarom werkt dat bij mij niet? ik type echt: 'or 666=666 -- in
Thinking to be is quite the opposite of being one
like an addicted to cocaine calls for the stuff he'd rather blame'
"I thought that you were hiding, and you thought that I had run away"
-- Maynard James Keenan
