sql inj: связка order+union

SaraTancredi · 11.10.2007, 08:33

есть на сервере скриптик с известным исходником

PHP код:


			
$query = "SELECT name, date FROM post ORDER by date desc LIMIT $start,$per_page";

так вот, в переменную $per_page можно загнать через _POST любое значение (даже с кавычками и слешами) но т.к. стоит ORDER то union не работает, выдает

Код:

Incorrect usage of UNION and ORDER BY

чтоб заработало - надо ставить скобки типа такого

PHP код:


			
(SELECT ... ORDER ...) union (SELECT ... )

но так ессно сделать нельзя, т.к. можно писать только в конец запроса через $per_page

нужно вытащить пароль (md5 пароля) pass из таблицы users, имя юзера известно; или сделать себе статус админа (через UPDATE - столбец user_type в той же таблице)

или хотя бы узнать - может навредить сайту такая "дыра" хоть как-то, движок распространён достаточно - нужно тогда девелоперам писать на багтрак

вот собсно проблема, всем заранее спасибо за совет

*Deementor* · 11.10.2007, 17:36

SaraTancredi, гы, стеб уместен только в определенных местах.
погнали короче:
функция
$per_page выводит кол-во страниц выведенных на показ.
Ваш скрипт нуждается в отладке. Какой именно скрипт я не знаю, их туево тутуево и ваше "известный скрипт" по крайней мере мне ни чего не говорит.
На сколько я понял постраничный вывод базы данных уже сделали )))
Если мне не изменяет память, есть уязвимость этой функции.
Это просмотр страницы в обход проверки прав. Известный мне способ лечения:

Код:

in the file: func_topic_threaded.php:
делаем следующие:
находим
/-/
 Are we viewing Posts?
/-/

  $post_id = intval($this->ipsclass->input['pid']);

И после добавляем следующие:
  if($post_id && !in_array($post_id, $this->pids))
  {
  $this->ipsclass->Error( array( LEVEL => 1, MSG => 'missing_files') );
  }

Собственно все.

В вашем же случае взломщик попробует сгенерировать страницу из базы данных с user_name and pass,

Но как вы сами убедились не чего не получится.
Вроде максимально полно ответил )))
P.S. ежели чего, не кидайте камнями.

SaraTancredi · 11.10.2007, 18:46

спасиб за ответ
осталось несколько вопросов
- залатать дыру просто, надо поставить

PHP код:


			
$per_page = intval($per_page);

- "известный скрипт" - DLE всех последних версий

- интересует именно незалатанный вариант - может ли что-то сделать злоумышленник?
Просто этот order by всю малину портит, без него было бы прекрасно

PHP код:


			
$query = "SELECT name, date FROM post LIMIT 0,$per_page";  
$per_page="1 UNION SELECT name,pass FROM users WHERE user_type=admin LIMIT 0,1"

а с order надо оба запроса в скобки ставить, но вначале нельзя поставить скобку - только в конце "дописывать" запрос. вот и инетресно - можно ли что-то дописать (какой-нить JOIN) чтоб выполнить операцию в БД
вообще по синтаксису SELECT после LIMIT может идти только [PROCEDURE procedure_name] и [FOR UPDATE | LOCK IN SHARE MODE]

*Deementor* · 11.10.2007, 21:03

SaraTancredi, я что то не въеду ни как, ты спрашиваешь или утверждаешь? если читать как вопрос, то ты сама же на него и даешь ответ. Только смотришь на вещи стандартно.
Если есть возможность генерации неавторизованной страницы в базе sql, то это должно навести на мысль sql-инъекции. Что в свою очередь даст возможность сделать бэкап этой базы на машину мошенника. Которую в exel он легко откроет и выдернит MySQL или MySQL5 хеши. И админский и пользовательский.
Как я понимаю таким хаком

PHP код:


			
$per_page = intval($per_page);

ты только преобразуешь переменную $per_page к целому типу, тоесть запретишь "@%* но не запретишь генерацию строки.

11.10.2007, 08:33	#1
SaraTancredi Неактивный пользователь Регистрация: 03.10.2007 Сообщений: 13 Репутация: 2	sql inj: связка order+union есть на сервере скриптик с известным исходником PHP код: `$query = "SELECT name, date FROM post ORDER by date desc LIMIT $start,$per_page";` так вот, в переменную $per_page можно загнать через _POST любое значение (даже с кавычками и слешами) но т.к. стоит ORDER то union не работает, выдает Код: Incorrect usage of UNION and ORDER BY чтоб заработало - надо ставить скобки типа такого PHP код: `(SELECT ... ORDER ...) union (SELECT ... )` но так ессно сделать нельзя, т.к. можно писать только в конец запроса через $per_page нужно вытащить пароль (md5 пароля) pass из таблицы users, имя юзера известно; или сделать себе статус админа (через UPDATE - столбец user_type в той же таблице) или хотя бы узнать - может навредить сайту такая "дыра" хоть как-то, движок распространён достаточно - нужно тогда девелоперам писать на багтрак вот собсно проблема, всем заранее спасибо за совет __________________ perl -e 'print$i=pack(c5,(412),sqrt(7056),(unpack(c,H)-2),oct(115),10); ' Последний раз редактировалось SaraTancredi; 11.10.2007 в 09:04..*

11.10.2007, 17:36	#2
Deementor ViP Пол: Регистрация: 17.09.2006 Сообщений: 1,182 Репутация: 1592	Ответ: sql inj: связка order+union SaraTancredi, гы, стеб уместен только в определенных местах. погнали короче: функция $per_page выводит кол-во страниц выведенных на показ. Ваш скрипт нуждается в отладке. Какой именно скрипт я не знаю, их туево тутуево и ваше "известный скрипт" по крайней мере мне ни чего не говорит. На сколько я понял постраничный вывод базы данных уже сделали ))) Если мне не изменяет память, есть уязвимость этой функции. Это просмотр страницы в обход проверки прав. Известный мне способ лечения: Код: in the file: func_topic_threaded.php: делаем следующие: находим /-/ Are we viewing Posts? /-/ $post_id = intval($this->ipsclass->input['pid']); И после добавляем следующие: if($post_id && !in_array($post_id, $this->pids)) { $this->ipsclass->Error( array( LEVEL => 1, MSG => 'missing_files') ); } Собственно все. В вашем же случае взломщик попробует сгенерировать страницу из базы данных с user_name and pass, Но как вы сами убедились не чего не получится. Вроде максимально полно ответил ))) P.S. ежели чего, не кидайте камнями. Последний раз редактировалось Deementor; 11.10.2007 в 17:42..

11.10.2007, 18:46	#3
SaraTancredi Неактивный пользователь Регистрация: 03.10.2007 Сообщений: 13 Репутация: 2	Ответ: sql inj: связка order+union спасиб за ответ осталось несколько вопросов - залатать дыру просто, надо поставить PHP код: `$per_page = intval($per_page);` - "известный скрипт" - DLE всех последних версий - интересует именно незалатанный вариант - может ли что-то сделать злоумышленник? Просто этот order by всю малину портит, без него было бы прекрасно PHP код: `$query = "SELECT name, date FROM post LIMIT 0,$per_page"; $per_page="1 UNION SELECT name,pass FROM users WHERE user_type=admin LIMIT 0,1"` а с order надо оба запроса в скобки ставить, но вначале нельзя поставить скобку - только в конце "дописывать" запрос. вот и инетресно - можно ли что-то дописать (какой-нить JOIN) чтоб выполнить операцию в БД вообще по синтаксису SELECT после LIMIT может идти только [PROCEDURE procedure_name] и [FOR UPDATE \| LOCK IN SHARE MODE] __________________ perl -e 'print$i=pack(c5,(412),sqrt(7056),(unpack(c,H)-2),oct(115),10); ' Последний раз редактировалось SaraTancredi; 11.10.2007 в 18:53..*

11.10.2007, 21:03	#4
Deementor ViP Пол: Регистрация: 17.09.2006 Сообщений: 1,182 Репутация: 1592	Ответ: sql inj: связка order+union SaraTancredi, я что то не въеду ни как, ты спрашиваешь или утверждаешь? если читать как вопрос, то ты сама же на него и даешь ответ. Только смотришь на вещи стандартно. Если есть возможность генерации неавторизованной страницы в базе sql, то это должно навести на мысль sql-инъекции. Что в свою очередь даст возможность сделать бэкап этой базы на машину мошенника. Которую в exel он легко откроет и выдернит MySQL или MySQL5 хеши. И админский и пользовательский. Как я понимаю таким хаком PHP код: `$per_page = intval($per_page);` ты только преобразуешь переменную $per_page к целому типу, тоесть запретишь "@%* но не запретишь генерацию строки.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Связка ключей	Llei	Mac Os X	4	07.01.2010 15:31
Три икса 2: Новый уровень / xXx: State of the Union	Meverik	Зарубежные фильмы	0	30.04.2005 15:48