Моя первая статья. Вообще, я сторонник всевозможных уроков «Дилетантам от дилетанта». Я сам не так давно начал практиковать SQL-инъекции, и именно поэтому, пока еще свежи воспоминания о том, в чем у меня были проблемы, я постараюсь изложить основы наиболее понятным новичку языков. Опытным хакерам-дедам просьба не беспокоиться. Также, я прекрасно знаю, что тема изъезжена вдоль и поперек и что статей по ней великое множество. Но, тем не менее, я хочу претендовать на то, что моя будет самой понятной. Я совсем не хочу поместить в статью все тонкости и нюансы, просто хочу рассказать основы, необходимые для понимания более полных и профессиональных статей.

Благодарности:

Konqi , ибо именно у него я консультировался в самом начале пути;

Авторам этих статей:

SQL injection и заливка шелла

SQL injection полный FAQ

Итак, приступим.

Что такое SQL Injection? Это внедрение злоумышленником постороннего SQL-кода при помощи составлении специального URL (адреса, для танкистов). Найти уязвимость очень просто. Как – покажу на примере. Здесь у нас, кстати, рассматриваются MySQL базы данных (далее – БД), причем пятой версии.

Казалось бы, что такого особенного в этой странице? 774 – это значение переменной id. Давайте попробуем сунуть к этому значению кавычку:

Хм, новости исчезли. Теперь давайте попробуем выполнить арифметическое действие:

Отображается то же самое, что и при id=774. Это хорошо. Мы можем с уверенностью сказать, что здесь имеет место быть уязвимость. Кстати, очень важный момент. В этом примере при подстановке кавычки на странице исчезают новости, которые там по идее должны быть – это значит, что вывод ошибок отключен. Но чаще, когда мы находим уязвимость, получается ошибка навроде «1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ” ORDER BY p.pid DESC LIMIT 0, 20′ at line 12». Почему же для базы данных наш запрос – ошибочен? Сейчас объясню. Запрос к БД, допустим, выглядит так:

(Если не понимаете логики запроса – «Выбрать все из news где id='774'»). А что получилось, когда мы подставили кавычку?

Логика и синтаксис полетели к чертям и БД не может понять, что мы требуем.

Вы не забыли, что цель SQL-инъекции – сделать свой запрос? Так вот, делать мы его будем при помощи оператора UNION – он служит для объединения двух запросов в один. Но прежде нюанс – количество столбцов до этого UNION и после должно соответствовать. Пока особо в это не вдумывайтесь, это теория, потом поймете. Будем подбирать количество столбцов при помощи оператора ORDER BY. Еще сверхважный момент – при составлении url вместо пробела пишите плюс. И вот еще – в MySQL начало комментария обозначается двойным дефисом --, причем до и после него должен быть пробел (помните про плюс?). Я также читал, что комментарий обозначается /*, не знаю, если честно, в чем отличия. Ну, на всякий случай, давайте дописывать в конец url знак начала комментария. Итак, начинаем подбирать количество столбцов вот так:

Крайнее число – 22, стало быть, столбцов 22. Если не поняли – при написании числа, меньшего или равного количеству столбцов, содержимое отображается, а при написании числа, большего, чем количество столбцов, ошибка.

Теперь, собственно, UNION. Перед этим лучше поставьте значение id=-1 или допишите что-нибудь ложное, например, 1=0, чтобы содержимое не отображалось и не мешало думать.

Ничего не отображается, естественно.

Сейчас нам нужно узнать версию MySQL. Для этого есть функция version(). Узнаем версию мы так:

Вы ведь помните, что у нас 22 столбца?

Отображается какая-то фигня) В том числе такое большое красивое число 19. И вместо числа 19 в url подставляем нашу функцию version():

Версия 5, отлично! Почему отлично? Потому что в MySQL пятой версии есть такая замечательная штука, как INFORMATION_SCHEMA.TABLES, которая содержит имена всех таблиц БД! И если к ней есть доступ, мы сможем подсмотреть имена таблиц:

Обратите внимание на group_concat(table_name)вместо того же числа 19. Если написать просто table_name, то почти наверняка отобразится одно название и все. А нам нужны все. Результат такого запроса – вывод имен всех таблиц. Теперь просто смотрим на имена и предполагаем, в какой таблице лежит то, что нам нужно. Допустим, нам нужен логин и пароль администратора. Замечаем таблицу AdminSite – давайте посмотрим, что в ней за столбцы. Делаем вот так:

INFORMATION_SCHEMA.COLUMNS, обратите внимание. Не тейблс. И не забудьте «где имя таблицы = AdminSite». Так, а что же такое? Пустота. А давайте попробуем использовать такую замечательную вещь, как CHAR. Ищем любой ascii конвертер. Возьмем этот. Вбиваем AdminSite, ниже показывается «65 100 109 105 110 83 105 116 101». Быстренько пихаем в ворд и делаем замену пробелов на запятые. Потом составляем такой url:

Я думаю, вы заметили – CHAR(AdminSite в ascii). Теперь получилось! Итак, у нас есть имена столбцов. Теперь приступаем к самому сладкому - мы видим столбцы «login» и «passw». Очевидно, что в них хранится логин и пароль админа. Делаем такой url:

Обратите внимание на 0x3a между «login» и «passw». Это двоеточие в hex, если написать там просто двоеточие, не выйдет. Итак, на страницу выводится логин и пароль админа. Ура! Но вот важное замечание: хранить пароли в БД в открытом виде довольно небезопасно, поэтому чаще можно извлечь не пароли, а хеши, которые еще нужно расшифровать. Тут много вариантов – попросить на Античате, попробовать онлайн-сервисы, побрутить самому.

Вот, собственно, и все. Надеюсь, моя статейка поможет кому-то. Имхо, SQL инъекции идеальны для начинающего хацкера

Статья написана исключительно в целях помочь всевозможным администраторам уберечься от SQL-инъекций. За использование полученных из статьи сведений автор отвественности не несет!

Спасибо за внимание, жду аргументированной критики и вопросов)

Так вот значит откуда на античате столько дилетантов.

Совершенно бестолковая и ненужная статья.

Да, это конечно сильно, для каждого пука на сайт заходить.

Лучше бы написал статью про HackBar, что ли..

Статья предназначена исключительно для новичков. Она носит характер обучающе-окунающий и подготавливает новичка для прочтения SQL injection полный FAQ, например.

Эта статья носит хакактер "как проэксплуатировать sql инъекцию на сайте www.td-vezdehod.ru". Ну и в первом посте ты так же пишешь "Статья написана исключительно в целях помочь всевозможным администраторам уберечься от SQL-инъекций", но ни одного слова именно про то, как уберечься, я не увидел.

Этот сайт взят только в качестве примера.

Глупая придирка, ибо в абсолютном большинстве случаев это пишется "на всякий случай".

и.....? что получается, мы видим, а что это за собой влечёт, новичку врятли понятно.

Отличная статья, просто шедевр! Я по ней хекингу учился, всем советую" Поднимите свой уровень хакерской догадки до уровней небес! Атвичаю.

лучше бы запостить эту статью не на Ачате а на HackZone-e или т.п.

Boa конечно старание оцениваются, но таких статей здесь море

Урезанная версия статьи Dr.Z3r0 (/thread43966.html)

Ну уж на авторскую никак не тянет...



Что-то я не увидел ни одного совета "всевозможным администраторам" как "уберечься от SQL-инъекций"

Уже говорилось

Spyder, м?

Konqi, запощу, пожалуй

Boa, что м? Ты же сам никакого представления об инъекциях не имеешь. Зачем статью писать?

Spyder,

Человеку проще передать то, что он сам узнал совсем недавно.

Согласен со Spyder'ом, зачем вводить людей в заблуждение, особенно на их начальном этапе, если ты еще сам пока до конца не понимаешь принцип проведения sql иньекций?

Boa, ну а потом такие дилетанты, вроде тебя, начитавшись хакерских статей, как твоя, начинают

при составлении url вместо пробела писать плюс, ставить до и после комментария пробел, ставят /* - но не знают в чем отличия и так далее

Чемодан =/, юморим по хакерски, etc

Твоя информация не достоверна.

Пусть все знают. Пробел используется ламерами, а плюс хакерами.

Да что там дальше смотреть... Садись, два! Где мой коньяк?

Не обижайся, статья-говно. И совсем новичек прочитав эту статью на каком-то этапе впадет в депрессию.

Вполне нормальная статейка для начинающих - всё показано на практике.

Да ну? xD

мдя..

давай угадаю, купил комп, потом инет

и через 2 месяца(видно по реги) пишешь статью в которой новичок даже не сможет понять отличие между order by и group by и думаешь что тут есть что-то полезное в этой ужасной статье?

(другого слова не смог подобрать) как видно "http://www.td-vezdehod.ru/" твой первый мега взлом ахЪ?

поздравляю ты теперь мастер среди всех новичков-нубов...

и еще кое чо мастер, проясни своим знанием почему когда я хецкаю сайты по твоему супер охеренному варианту 774+and+1=0+...........

то с запросам and+1=0 у меня не ломается сайтег?

других вариантав ты мне не дать, и мое теперь не знать как ломать WWW ((((

Уважаемый ТС, что это за чудо-запросы?

table_name=AdminSite как я понял - это приватный метод обхода magic_quotes, а + зачем? Я вот уже замечаю в который раз, что перед комментарием ставят такой плюсик, это для чего? =\

Это почему же?

ТС - написание статей - это хорошо, но на эти ошибки уже указывали, нужно их исправить! Если бы ты показал банальную раскрутку скули, но правильно - я бы слова не сказал! Вы просто не понимаете ответственность за такие статьи, сейчас придет новичок, прочтет статью и пойдет ломать интернеты по статье с ошибками! =(

Таких статей море. Эта статья, я думаю, была не нужна. Хватит и этой в ней более обширно написано, и есть почти всё, что и в этой статье.

До ненужно. Необходимо только после. Это сделали потому что позволяется арифметическая операция "--".

Вот смотри, показываю один раз наглядным примером:

Понимаешь?

Пробел до и после комментария я взял из полного FAQ по скулям, в этом же разделе. Достаточное объяснение?

Это, наверное, очень внушительно прозвучать должно было?

--

Достаточное объяснение будет когда ты приведешь мне цитату из официальной документации.

А в документации написано:

а для меня +--+ это просто дело привыки, как и id=1+and+1=2, а не id=-1(или чтото вроде того)

а на это есть вот это /thread30641.html

статья "проводим простейшую SQL инъекцию на примере сайта ***"

думается мне, она способна показать новичку, насколько "просто" иногда можно заполучить пасс админа, и тем самым пробудить у него интерес к тому, чтобы изучить SQL-inj более детально.

понравилось.

Если Ты - новичек, и тебе тоже понравилась эта статья - советую ознакомиться с еще одной (уже указывавшейся ранее) от Dr.Z3r0 (/thread43966.html)

Она читается немного по-тяжелее, да и наглядного примера там нет, но зато она сможет дать тебе ответы на многие вопросы из тех, что у тебя могли возникнуть после прочтения этой статьи.

Привет, ТС.

Я подобрал число таблиц, теперь пытаюсь сделать так: Причем, походу, таблица одна, т.к. только при еденице все отображается.

http://site.com/lol.php?id=-1+union+select+1+--+

Но получаюThe used SELECT statements have a different number of columns​Без всяких других ошибок. Если делаю больше (1,2,3) то получаю еще ошибки ПХП (Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource) Однако подставив select+1,2,3,4,5,6,7,8,9,10,11 я получаю только Варнинги, но и страница корректно не отображается, но она отображается лучше, чем когда подставишь до 12 (у нее есть задуманый автором цвет). Че это такое?

Встречал такие, просто подбирал число, чтобы при следующем числе число всяких ошибок и инфа на странице летели к чертям.

Он это и сделал, но появляется другая ошибка: "The used SELECT statements have a different number of columns". В чем проблема?

В статье др. Зеро написано. А моя и не претендует на объяснение всего и вся.

Ваще не понял, че надо сделать.

При еденице нет ворнингов, но число это явно маловато.

При 11 есть ворнинги, но нет ошибки SQL, т.е. как будто, это искомое число столбцов. Однако, когда я делаю id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11 я получаю варнинги, а не получаю ту "фигню" с "большим и красивым числом 19" (ну у меня, уж наверное, это будет не 19, я это осознаю).

Что же это? Какой-то хитрый/недописаный фильтор? Если ты говоришь, что такое встречал, то, все-таки, что ты при этом делал?

скин в личкy, посмотрю

fl00der, клац.

Оставлял и искал другие

fl00der, никакой это не фильтр, это обычный двойной SQL запрос. Вот пример /thread175335-%E4%E2%EE%E9%ED%EE%E9+sql.html

Но увы, здесь нету универсального решения. Для каждого случая нужно составлять свою инъекцию.

Аналогично

Boa !

Не обращай внимания на критику. Статья нужная (имхо). Да, она не для гуру, а для самых начинающих. О чем ты и сообщил в самом начале статьи.

Лично мне она дала толчок и желание все же изучать данную тему. ДУмаю, что и многим другим начинающим она поможет.

Уважаемые гуру и кул-хацкеры!

Критиковать и тыкать носом в неточности и поверхностность статьи легче всего.

Но напомню - статья совсем не претендует на звание научного труда или революционные изыскания. И написана скорее для популяризации темы. О чем автор и предупреждает в самом начале (первые два абзаца).

И я считаю что с этой задачей статья справляется.

Очень интересная и познавательная статья мне как новичку очень пригодилась !

написано всё доходчиво и понятно +

Boa, продолжай в том же духе, пиши еще.

Прочитал бы её на пару месяцев раньше, уточнил бы для себя многие моменты.

Для первой просто великолепно...

Привет всем.У меня небольшая непонятка вышла

Имя таблицы перевел в Ascii так как с простым именем таблицы получаю ошибку.Ради эксперимента переводил в Hax тож отлично работает до такого замечательного момента как вывод информации из столбца.

а именно

это безобразие типо

Менял на Hax(0x5573657273) в надежде что что то изменится но увы не чего не вышло.

Кто подскажет в чем ошибка что не так.

Зачем таблицу чарить?

Ну если я могу получить имена столбцов только через "Char" или "Hax" (Если указывать просто имя таблицы типа "Users" получу ошибку)

Предположил что так же стоит поступить и при выводе инфы. из столбцов.Но увы пока без успешно.