[SQL INJECTION] ¿Me ayudas en un reto? (Abierto)

Iniciado por ZaPa, 15 Marzo 2010, 00:35 AM

0 Miembros y 1 Visitante están viendo este tema.

ZaPa

Hola de nuevo y gracias por tu respuesta shellroot.

Ya entendí lo que dijiste en el anterior mensaje....

Claro,con ese error me soltó lo que queria saber,que es el nombre de la tabla (con el que estamos trabajando) y el campo, pero en esa tabla no ahi ningun dato valioso, me gustaria saber si puedo acceder desde ahi a otras tablas...

¿Es posible?

¿como podria trabajar con otras tablas dispnibles en la db?

Muchisimas gracias man :)

Shell Root

Nunca me llamo la antencion ese tipo de tecnica, es muy dificil y gastaria mucho tiempo, para al final depronto no conseguir nada. xD
Supongo que seria como una Blind SQL, no sé...
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

ZaPa

Pero...¿es muy dificil? pero si es una sql inyection normal,no? lo único que ocurre es que no nos enfrentamos con un formulario, es lo único que veo diferente.


Lo único que quiero saber es eso, si podria llegar a listar las tablas, osea, que no tenga que ejecutar sentencias si o si en la tabla que estamos ejecutando, que pueda trabajar con otras tablas aparte de la que esta trabajando la variable donde esta el sql inyection. ¿se entiende?


Un saludo y muchisimas gracias alex@shellroot .

Shell Root

Se entiende correctamente, pero lo dudo bastante, dentro de MySQL seh se puede hacer. Pero dentro de este tipo de inyeccion se trabaja bajo MSSQL, si te sirve de algo, esta consulta lista todas las tablas de una base de datos.
Código (sql) [Seleccionar]
USE Base_de_Datos SELECT * FROM Information_Schema.Tables

PD: Mejor espera que algun usuario de alto nivel (WHK, sirdarckcat, entre otros), respondan mejor la pregunta.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

ZaPa

El problema principal de esto es que me da error de sintáxis y no se porque...si yo añado esta sentencia, me da error de sintaxis:


http://www.paginaweb.com/productos.asp?variable=38715333 AND Select * from productos

Con esta nueva inyección (Select * from productos) me da error de sintáxis:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Sintaxis incorrecta cerca de la palabra clave 'SELECT'.

/cgi-bin/datos.asp, línea 25



¿Algo hago mal?

Muchas gracias de nuevo.

ZaPa

#15
Hola...

Conseguí ejecutar la sentencia 'SELECT @@version' y ver información del sistema...

Pero he tenido que hacer una cosa, y no entiendo el PORQUE funciona, aver si me lo podeis explicar:

La inyección ha sido la siguiente:

AND (SELECT @@version)<=1 --

Y como se puede observar, despues de la inyección, he tenido que añadir el menor o igual que 1 (<=1) y asi si funciona, y se ejecuta la sentencia devolviendo lo siguiente:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el valor nvarchar 'Microsoft SQL Server 2000 - 8.00.2055 (Intel X86) Dec 16 2008 19:46:53 Copyright (c) 1988-2003 Microsoft Corporation Desktop Engine on Windows NT 5.2 (Build 3790: Service Pack 2) ' para una columna de tipo de datos int.



Por lo que se ve, funcionaaa...

Ahora no entiendo 2 cosas, aver si me podeis explicar....

1 - ¿Porque sin parantesis la sentencia no funciona?
2 - ¿Porque tengo que añadir esa comparación númerica?

¿Alguien me puede aclarar estos 2 puntos, se lo agradeceria muchisimo.

Un saludo.

Shell Root

xD, creo que no entendiste lo que te dijé.

Nunca dijé que con esa sentencia podrias listar todas las tablas de esa base de datos, solo dije que si te servia de algo, asi se podria listar las tablas de una base de datos en MSSQL. Es decir, dentro del IDE! No dentro de la inyección. Además, no creo que sea así de simple al ejecutar una sentencia SQL y se ejecute en el servidor, más bien, creo que debes de investigar en que consiste la Blind SQL y entenderas un poco lo que podrias hacer.

Y repito lo mismo espera que algun usuario de alto nivel (WHK, sirdarckcat, entre otros), respondan mejor la pregunta.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

ZaPa

Hola de nuevo y gracias por responder otra vez man.

Traigo novedades frescas a la mesa jeje....

Con la función convert() he podido obtener algunos datos de los productos que ahi en la db, por ejemplo haciendo:

variable=convert(int,(select+productos.referencia))

Me responde una referencia del 1º articulo de la base de datos, respuesta:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el valor nvarchar 'A35678956' para una columna de tipo de datos int.

/cgi-bin/datos.asp, línea 25


Como podeis ver, me ha devuelto la referencia: 'A35678956'..

He estado probando combinaciones con nombre de tablas (donde pudiera estar los datos de administrador). He probado un monton de nombres de tablas para ver si encontraba esa info, pero ninguna concuerda ccon la tabla donde se almacenan los datos valiosos..

Sigo esperando a que alguien me diga si puedo listar todas las tablas de la base de datos, o algo similar.

Muchisimas gracias.
Saludos.

ZaPa

Hola de nuevo a todos.

Ya he conseguido saber las tablas que ahi en la base de datos y demas, incluso estoy accediendo a los valores de cada columna, pero....... realmente no entiendo esto, os explico:

Anteriormente con injecciones simples del tipo ("Select * from TABLA) y demás, me daba error de sintáxis, buscando,buscando, me he dado cuenta que para las páginas asp utilizan la función convert() para obtenre datos de la base de datos......

Por ej:



http://www.paginaweb.com/datos.asp?variable=and 1=convert(int,(select top 1 Usuario from usuarios))--


Con esto conseguiriamos mostrar el 1º campo de la tabla usuarios y columna usuario.


¿Porque esto funciona asi, es decir, porque tengo que utilizar convert() y lo que es la sintáxis de las llamadas sql tampoco son igual que las de php, es asi para MSSQL SERVER?

Un saludo.

Shell Root

Lo de convert(), supongo que es para setear el tipo de datos devuelvo por el query. Ahora lo segundo que preguntas no lo entendí bien, pero supongo que preguntas, porque no te funciono la sentencia:
Código (sql) [Seleccionar]
SELECT * FROM Usuarios
Tuviste que usar el query:
Código (sql) [Seleccionar]
SELECT TOP 1 Usuario FROM usuarios
Así como en la Inyección en MySQL, sebes de sacar dato por dato, es decir, campo por campo, registro por registro. Tambien debe de ser igual en MSSQL, no podeis mostrar todos los datos inmediatamente, tenes que irlo sacando por partes.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.