Sql Injection - analiza kodu Opcje

[Xart]

Witam przedstawię tutaj pewien kod służący do logowania i prosiłbym bardzo o wypowiedzenie się czy możliwy jest atak (zalogowanie się na konto o loginie "admin")
Jeśli tak to w jaki sposób z góry thx

[PHP] pobierz, plaintext 
<?
session_start();
include("config.php");
 
$login=$_POST['USRlogin'];
$haslo=$_POST['USRhaslo'];
 
	$wynik = mysql_query("SELECT * FROM users WHERE login='".$login."'") or die("<center>błąd w pytaniu</center>");
	$rekord = mysql_fetch_assoc($wynik);
	if(md5($haslo)==$rekord['haslo']){
		$log=md5("zalogowanyOKzalogowany");
  		session_register('log');
?>
[PHP] pobierz, plaintext 

[Spawnm]

http://pl1.php.net/mysql_real_escape_string

[Xart]

@UP
Jeśli niby tak to podaj co mam wpisać w nazwie użytkownika i haśle
Bo mi się wydaje że to ciężkie będzie.
Login to oczywiście admin i co dalej ?

@EDIT
Wpisuje login:admin
haslo: ' OR ''='
i nie działa widocznie nie da się tak łatwo tutaj włamać

Zauważ też że ja nie wykonuję zapytania
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";

tylko pobieram login a hasło sprawdzam później

$wynik = mysql_query("SELECT * FROM users WHERE login='".$login."'") or die("<center>błąd w pytaniu</center>");
$rekord = mysql_fetch_assoc($wynik);
if(md5($haslo)==$rekord['haslo']){

Ten post edytował Xart 8.01.2014, 23:06:30

[markonix]

A czemu nie możesz od razu zweryfikować loginu i hasła (pary)?
Bezpieczeństwem hasła nie musisz się przejmować bo hashem nic złego nie da się zrobić z zapytaniem.

[com]

Sql Injection do zapytania można wstrzyknąć na wiele sposobów nie koniecznie w ten sposób i w tym miejscu, jeśli pobierasz go od usera i robisz to na mysql to używasz tego co podał Spawn wątek nie ma sensu, masz temat przepięty Temat: SQL Injection Insertion a wgl polecam już przejść na mysqli/pdo

Ten post edytował com 9.01.2014, 00:26:17

[werdan]

Filtruj dane od usera, jak podał kolega powyzej. Da się "zalogować na konto admin", jesli hasło nie bedzie zbyt wyszukane. Kod podatny na sql injection.

[Damonsson]

Nieistotne jest czy pobierasz login i hasło, czy sam login, czy numer buta admina, ważne że robisz połączenie z MySQL i przekazujesz coś od usera.

[PHP] pobierz, plaintext 
$login=$_POST['USRlogin'];
mysql_query("SELECT * FROM users WHERE login='".$login."'")
[PHP] pobierz, plaintext 

to jest podatne, bo mogę sobie wyciągnąć całą bazę danych wraz z loginem i hasłem admina. Oczywiście nie podam Ci co trzeba wpisać, żeby wyciągnąć te dane.


Jeśli zaś chodzi Ci o uzyskanie dostępu tylko dla tego jednego logowania, bez znajomości loginu i hasła admina, to jest to niemożliwe, bo cokolwiek wpiszesz w $_POST['USRhaslo'] i tak zostanie zamienione na MD5.

Ten post edytował Damonsson 9.01.2014, 08:39:26

[Xart]

Czyli nie da rady się włamać ?
Można zrobić takie coś hasło zostawić puste a w login wpisać:

' AND 1=2 UNION SELECT login, haslo AS SQLINJECTION FROM users WHERE login='dowolnylogin

jednak w tym przypadku to nie działa a chyba powinno

[werdan]

>Czyli nie da rady się włamać ?

Jak nie posłuchałeś zaleceń na temat escepowania danych, to da.

O szczegoły pytaj na haker.com.pl lub podobnych.

[Damonsson]

Weź jakiś darmowy serwer, wstaw tam swój przykład, umieść w bazie konto admina i pierwszy lepszy user Ci udowodni, że się da

Nie da się tego zrobić tak jak Ty nieudolnie próbujesz. Ale da się zrobić, poprzez wyciągnięcie loginu i hasła bezpośrednio z bazy danych.

[Xart]

To w takim razie powiedz mi jakie zapytanie użyć bo wątpię w to

[Turson]

Przejdź na PDO lub MySQLi

[Xart]

@UP wiem ;d
chce tylko tak wiedzieć czy na taki kod da się włamać a jeśli tak to jakie zapytanie i gdzie wpisać
zakładamy że skrypt jest podany wyżej
istnieje u,zytkownik o loginie admin w zakodowanym haśle md5
przy logowaniu wyświetla się login i hasło
tabela w bazie users kolumny id login haslo

Powód edycji: [Kshyhoo]: + ostrzeżenia za samo pytanie, pomyliłeś forum

[in5ane]

Takie zapytanie wyjdzie, gdy podasz w polu login podasz taką wartość: blablabla' OR '1' = '1 (dokładnie zerknij na apostrofy).

[SQL] pobierz, plaintext 
SELECT * FROM users WHERE login = 'blablabla' OR '1' = '1'
[SQL] pobierz, plaintext 

I po takim zapytaniu wyświetli Ci wszystkich użytkowników ze wszystkimi danymi.

@edit: co oznacza, że jak przejdzie Ci taka wartość, tzn. że masz skrypt nie zabezpieczony. A rozwiązania podawali Ci już wyżej.

Ten post edytował in5ane 9.01.2014, 14:55:56

[Damonsson]

Wyświetlić, to mu akurat dokładnie to zapytanie, nic nie wyświetli bo niby gdzie?

Co nadal nie zmienia faktu, że włamać się da radę

[Xart]

Oczywiście masz rację ale nic się nie dzieje po prostu nic nie zwraca tylko ładuje się od nowa formularz logowania ...
a teorytycznie powinno zadziałać ale nie ma gdzie tego wyświetlić bo skrypt wygląda tak...

[PHP] pobierz, plaintext 
<?
session_start();
include("config.php");
 
$login=$_POST['USRlogin'];
$haslo=$_POST['USRhaslo'];
 
	$wynik = mysql_query("SELECT * FROM users WHERE login='".$login."'") or die("<center>błąd w pytaniu</center>");
	$rekord = mysql_fetch_assoc($wynik);
	if(md5($haslo)==$rekord['haslo']){
		$log=md5("zalogowanyOKzalogowany");
  		session_register('log');
?>
<frameset cols="175px,*">
<frame src="menu.php"/>
<frame src="pusty.html" name='okno'/>
</frameset>
<?	
	}else{
	header("Location: index.php");
	};
?>
[PHP] pobierz, plaintext 

A tak plik index.php (tamten był index2.php)

[HTML] pobierz, plaintext 
<center>
<form name="form1" method="post" action="index2.php">
Login:
<input name="USRlogin" type="text" class="form1" id="USRlogin" size="20" maxlength="80"><br>
Hasło:
<input name="USRhaslo" type="password" class="form1" id="USRhaslo" value="" size="20" maxlength="80"><br>
<input name="Submit" type="submit" class="form1" value="     Zaloguj     ">
</center>
[HTML] pobierz, plaintext 

Ten post edytował Xart 9.01.2014, 15:02:18

[werdan]

Daj to najlepiej online.

[Damonsson]

[ ciach ] nie zalogujesz się tak bo ta linijka

[PHP] pobierz, plaintext 
if(md5($haslo)==$rekord['haslo']){
[PHP] pobierz, plaintext 

jest lepsza niż PDO i MySQLi razem wzięte.

Więc musisz podać poprawny login i hasło w formularzu normalnie.

Ale tylko i wyłącznie jeśli chodzi o wejście tym sposobem.

Cały czas podatność jest w innym miejscu.



Wyobraź sobie polanę i zagrodę pełną owiec, ogrodzoną wysokim na 1m murem. I gdzieś na środku tej polany stoją pancerne drzwi, zabetonowane i pod prądem, których nikt w życiu nie przejdzie. Tylko po co ma przechodzić te drzwi, jak owce są wszędzie dostępne, tylko wystarczy przeskoczyć metrowy mur i je sobie wyciągnąć z zagrody, nie trzeba wcale otwierać tych drzwi.

Wystąpili:
Polana - baza danych
Drzwi - skrypt logowania
Metrowy mur - konstrukcja Twoich zapytań do bazy danych
Owce - Twoje dane

Powód edycji: [Kshyhoo]: trochę kultury

[Xart]

Dobre uśmiałem się
To teraz powiedz mi jakim zapytaniem wyciągnąć dane z bazy żeby wyświetlić dane jak pomoże to zaraz mogę wrzucić to na hosting.

[sowiq]

To teraz powiedz mi jakim zapytaniem wyciągnąć dane z bazy żeby wyświetlić dane

[SQL] pobierz, plaintext 
SELECT * FROM tabela;
[SQL] pobierz, plaintext 

Kolego, chyba źle trafiłeś. Na tym forum nie pomagamy w obchodzeniu zabezpieczeń. Zapytałeś w którym miejscu masz dziurę w zabezpieczeniach i dostałeś odpowiedź. Jeśli chcesz dowiedzieć się jak się włamać, to już ktoś Ci podał adres - hacking.pl