Pokaż wyniki 1 do 3 z 3

Temat: [SQL Injection] problem z parametrami typu string

  1. #1
    Zarejestrowany
    Jul 2008
    Skąd
    PL
    Postów
    135

    Domyślnie [SQL Injection] problem z parametrami typu string

    mam następujący problem:

    jest sobie strona podatna na klasyczny sql injection.
    url (juz atakowany) wygląda sobie tak:

    xxxxxxxxx/viewprofile?userid=1234 and 1=2 union select 1,2,3,4,5,6...58,59#

    3, 57 i 59 kolumna dają się wykorzystać do wyprintowania danych z bazy.
    No i zaczęły się schody:
    otóż w momencie, gdy wyświetlam sobie np. w 3-ciej kolumnie version(), database(), user() - jest ok, mam wersję bazy, nazwę bazy i usera i jest git.
    Ale już próba wyświetlenia jakiegokolwiek stringa (np. aaaa) nie udaje się.
    Jakim cudem przechodzą nazwy funkcji mysql-a ? Skoro to też są stringi ?

    Próbowałem różnych sztuczek: z char(), z łańcuchem konwertowanym na hex-a (np 0x61616161 ładnie wyświetlił aaaa w 3-ciej kolumnie), ale nadal zapytanie, którym staram się wyciągnąć strukturę bazy z information_schema nie działa (zamieniałem juz nazwy kolumn na ciągi hex-ów, ale wtedy są traktowane dosłownie, a nie jako nazwy kolumn - czyli w miejscu, gdzie spodziewam się wyników pojawia się

    column_name table_name

    z kolei zamiana version() na ciąg hexów zamiast wyświetlić wersję bazy, wyświetla po prostu:

    version()

    Dobra, trochę zagmatwałem. Teraz mam pytanie: czy da się zmusić mysql-a, by wykonał zapytanie zapisane w postaci:

    select 0xnazwa_kolumny_zapisana_hexadecymalnie from 0xnazwa_tabeli_tak_samo_jako_hexy

    Przekopałem całą dokumentację mysql-a, ale żadna f-cja nie wykonuje czegoś takiego.

    Qrde, jak to ugryźć ?
    I dlaczego version(), database() itp. przechodzą, ale dowolny inny ciąg juz nie ?

    "...i stało się! Linie telefoniczne otworzyły mi bramę do świata
    upajającego jak heroina pulsująca w żyłach ćpuna! Elektronicznym
    sygnałem przekraczam wrota szukając ucieczki od codzienności,
    głupoty i niesprawiedliwości... i znajduję podobnych sobie."

  2. #2
    Zarejestrowany
    Jan 2009
    Postów
    216

    Domyślnie

    moze masz magic_quotes wlaczone, co zamienia ' na \'

    char(97,98,99) to jest to samo co 'abc'. tak, z '

    sprobuj nazwy tabel podac w char(), bez zadnych '.

    aha, i jak juz to nie id=1234 and 1=2 union...
    tylko: id=1234 and 0 union...

    poprostu and 0 jest traktowane jako 'i falsz' czyli calosc = falsz.


    btw, masz dostep do info_schema?

    sprawdz union select 1,2,3,...,char(99,100,101),...
    jak dostaniesz 3 literki, to nie ma dostepu do i_shema

  3. #3
    Zarejestrowany
    Jul 2008
    Skąd
    PL
    Postów
    135

    Domyślnie

    aha, i jak juz to nie id=1234 and 1=2 union...
    tylko: id=1234 and 0 union...
    .

    Misiu, misiu... Co to, szkoła ? A '1=2' to co zwróci ? A '15ka=legal' ? Też fałsz

    sprawdz union select 1,2,3,...,char(99,100,101),...
    jak dostaniesz 3 literki, to nie ma dostepu do i_shema
    A co to ma wspólnego z dostępem do information_schema ?
    Poza tym - przeczytaj dokładnie mojego posta - ja juz kombinowałem i z char(), i z hex-ami, i nazwy tabel nawet w hex zapisywałem.

    Pytanie moje brzmiało, jak zmusić mysql-a, żeby wykonał zapytanie, w którym nazwy tabel są zapisane heksadecymalnie. Bo jako ciągi znaków nie przechodzą. A f-cje takie, jak version() itp., przechodzą. I to mnie dziwi tylko.
    "...i stało się! Linie telefoniczne otworzyły mi bramę do świata
    upajającego jak heroina pulsująca w żyłach ćpuna! Elektronicznym
    sygnałem przekraczam wrota szukając ucieczki od codzienności,
    głupoty i niesprawiedliwości... i znajduję podobnych sobie."

Podobne wątki

  1. Sql Injection
    By xbitdesigns in forum Inne metody
    Odpowiedzi: 2
    Autor: 01-03-2015, 09:06
  2. SQL injection
    By Quers in forum Newbie - dla początkujących!
    Odpowiedzi: 4
    Autor: 06-30-2008, 05:22
  3. sql injection
    By h3x in forum Hacking
    Odpowiedzi: 4
    Autor: 05-15-2008, 17:48
  4. Odpowiedzi: 4
    Autor: 06-14-2007, 11:13
  5. sql injection
    By ble34 in forum Security
    Odpowiedzi: 7
    Autor: 06-13-2007, 15:45

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52