SQL-Injections...

[big-fish]

Also hab mich mal ein bissle mit SQL-Injections beschäftigt und mir mal einen SQL, Bug ausm bugtraq gescuht den ich local mal ausprobieren kann...
So und schon geht das Problem los...

die vuln Code-Stelle sieht so aus:

Code:

$result = mysql_query("SELECT ID, name, mail, homepage, place, icq, msn, msg, date FROM $t_posts ORDER BY date DESC limit $offset,$limit");

so jetzt is offset nich definiert.. bzw wird über die adresszeile definiert

wenn ich jetzt...

Code:

offset=1,3;DROP TABLE test;-- x

über get übermittele
kommt eine Fehler meldung jedoch wird die zweite anfrage leider nicht ausgeführt...
die fehlermeldung ist halt nur das das ergebnis nicht mit mysql_fetch_array() verarbeitet werden kann da es kein gültiges mysql_result ergebnis ist...

mhh meine frage ist wo mein fehler ist beim austricksen dieses Fehlers...

Achja wens interesseiert local ist register_globals = on und safe_mode = on
die var offset wird jedoch direkt deklariert als $offset = $_get['offset'];

also das dürfte kein prob sein...

hoffe auf hilfe

mfg big-fish

[mxn]

mysql_query() fuehrt immer nur einen Query aus, nicht 2 aneinandergereihte.

[big-fish]

das ; schließt einen sql befehl ab und startet einen neuen oder irre ich?

[Lesco]

Ja, tut es, aber trotzdem wird bei mysql_query nur _eine_ Anfrage ausgeführt, egal wieviele ';'s in dem String enthalten sind. Alles hinter dem ersten Query wird ignoriert.

[big-fish]

nich???
weil die ganzen sql-injection tutorials darüber labern....
also z.B.
http://www.unixwiz.net/techtips/sql-injection.html

The database isn't readonly

So far, we have done nothing but query the database, and even though a SELECT is readonly, that doesn't mean that SQL is. SQL uses the semicolon for statement termination, and if the input is not sanitized properly, there may be nothing that prevents us from stringing our own unrelated command at the end of the query.

The most drastic example is:

SELECT email, passwd, login_id, full_name
FROM members
WHERE email = 'x'; DROP TABLE members; --'; -- Boom!

The first part provides a dummy email address -- 'x' -- and we don't care what this query returns: we're just getting it out of the way so we can introduce an unrelated SQL command. This one attempts to drop (delete) the entire members table, which really doesn't seem too sporting.

This shows that not only can we run separate SQL commands, but we can also modify the database. This is promising.

mhhh aber dieser bug muss doch dnan anders auszunutzen sein oder?

mfg big-fish

[morpheus]

narf. Wieso kannst du nicht erstmal die Suchfunktion verwenden. Wir hatten das Thema erst kuerzlich schon einmal und in frueheren Threads wurde die ganze Thematik auch schon x mal abgehandelt.

https://www.buha.info/board/showthread.php?t=52007

[big-fish]

erstmal entschuldigung und
danke für diesen thread aber mein problem ist leider nicht gelöst...
wie kan man denn dort jetzt einen extra befehl einschleusen?
gar nicht? oder wie?

mfg big-fish

[native]

moin,

wie waer es wenn du weiter suchst?
hint: versuche nicht zwei Queries separat auszufuehren, sondern z.B. zu "vereinen"

[morpheus]

Deine Frage waere beantwortet, wenn du den anderen Thread (siehe [1]) genau gelesen haettest. Das Einschleusen von einem zweiten SQL-Query wird eben nicht ueberall unterstuetzt. Die Leute, welche das Paper, welches du gequotet hast, geschrieben haben, reden auch von MSSQL.

Wenn du bei einem Query nur die Angaben hinter LIMIT beeinflussen kannst und davor einer ORDER BY Klausel angefuehrt wurde dann hast idR (ist wieder stark von der Umgebung anhaengig) sowieso schlechte Karten, weil sich dahinter auch nichts mehr an den Query anfuegen laesst.

https://www.buha.info/board/showthread.php?t=49128
https://www.buha.info/board/showthread.php?t=49090
http://morph3us.org/security/links/w...y.html#sql-inj

[1] https://www.buha.info/board/showpost...5&postcount=11