[HaBo]

M-H

Anzeige

hallo

ich weiss nicht ob solche Fragen erlaubt sind, wenn nicht dann bitte mein Beitrag löschen

in einem Chalange sollten wir auf dieser seite :

http://www.snocs.org/Admin/login.php

den passwort von benutzer mit dem ID=3 finden.(ich vermute mal dass das ein Admin ist).

mein frage ist: reicht der ID um sich als Admin einzulogen oder braucht man unbedingt den Username??

Danke schon mal für Eure Antwort.

SUID:root

Kein Problem. Kannst gern fragen.

ivegotmail

ID reicht.

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

M-H

ich dachte da fehlt was in dem Challange.
mit dem ID konnte ich nichts anfangen. im gegenteil von einem Username, dann wäre es ein bisschen einfacher.

ich hab vermutet dass, der befehl so ausssieht:

dass heisst dass, ich eine Username brauche.ich hab mit 'or''=' versucht, aber war leider nicht erfolgreich, vielleicht weil die fonction addslashes() avtiviert ist.

da bin ich stehengeblieben

jede Hilfe ist willkommen

danke SUID:root & ivegotmail für die Antwort.

ivegotmail

nicht ganz. wie der befehl aussieht, kannst du dir ansehen wenn du mal ein fehlerhaftes sql injection machst.

addslashes ist nicht aktivert, sonst würde sql injection nicht funktionieren.

du findest übrigens auch im quelltext bestimmte dinge die dir weiterhelfen.

desweiteren empfehle ich dir mal diese seite: http://www.unixwiz.net/techtips/sql-injection.html
dort sind einige praktische beispiel zu sql injection. und dort ist auch ein ansatz dabei wie man das passwort rausbekommen kann.
auf die gleiche weise kann man auch den usernamen rausfinden. d.h. man muss es nicht unbedingt über die ID machen.
wenn man bisschen praktisch denkt dann bekommt man den usernamen leicht raus (wenn man nicht drauf kommt, dann halt mit hilfe von sql injection).

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

Sharkspear

kannst du mir das mal genauer erklären? wenn das möglich ist, ansonsten ignoriert den beitrag bitte.
was mich aber damit vewirrt ist:

SELECT * FROM {xxx}1_membres WHERE pseuudooo=...

er fragt ja nicht nach id ab...

Johnny

Hmm kommentare nimmt der Dösbaddel nicht an

Und bei der Query

SELECT * FROM xx1_membres WHERE pseuudooo=''; UPDATE xxx_membres SET pseuudooo='3'

gibt er einen Fehler zurück ... naja mal morgen gucken

Sharkspear

vom prinzip iss das auch ned wichtig....
es reicht scho den user zu überwinden (siehe link2)

von da an wird des pw validiert....und des muss umgangen werden....nur wie in die teilmenge von feld eins kommen?

irgendwas muss i übersehen.... )=

crystal

ein valider username ist "admin1", aber weiter komm ich auch ned; alle sql-befehle zum setzen eines anderen passworts für den user "admin1" werden nicht angenommen?!

cYa

ivegotmail

man kann die WHERE klausel aber durch sql injection so erweitern, dass neben dem namen auch die id abgefragt wird (und zwar so dass diese dann ausschlaggebend ist).
man muss dazu aber noch den spaltenname für die IDs rausfinden. wo und wie man den rausfindet, weiß ich jetzt auch nicht (wenns jemand weiß kann er sich mal melden). hatte den ID spaltennamen zufällig woanders auf der seite gefunden.

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

Sharkspear

hm....admin1....is der nur valid oder isses der gesuchte mit id=3?

wie bist auf den gekommen?

edit:

x' OR '<id>' ='3

?

M-H

Keiner hat sich bis jetzt eingeloggen ??das beweist dass,dieser Level ein bisschen schwieriger als ich dachte.

und http://www.unixwiz.net/techtips/sql-injection.html hat mir auch nicht weitre geholfen.

ivegotmail

also ich habe usernamen und password-hash, allerdings weiß noch nicht welches hash verfahren dahinter steckt.

dann lies dir den artikel nochmal durch und überlege, ob da nicht doch ein ansatz dabei ist, mit dem du das pw bzw. den hash (nach und nach ) rausbekommst.

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

Johnny

Hmm, wie will ich das PW rausfinden (den PW-Hash)?

Ich mein Username kann man noch raten, dass dann ein Teil der Query lautet WHERE username_field = 'admin1' ...

Aber bei Passwörtern ?

Man kann die ja schlecht ausgeben ...

Naja mal mit ner Subquery probieren das PW zu ändern

EDIT: bääääh

SELECT * FROM sql1_membres WHERE pseuudooo='0' (UPDATE sql1_membres SET passwortfeldr = 'hallo' WHERE pseuudooo = 'admin1') AND pseuudooo != '123'

geht auch nich ^^

WebSpider

Ich habe eben auch mal etwas rumprobiert und bin ebenfalls bis zum (15-stelligen) Pwd-Hash gekommen. Aber keine Ahnung, wie's weitergeht.
@Johnny
Passwörter kann man auch erraten, so ähnlich wie die ID.
Wenn die Bedingung wahr ist, wird das eingegebene Passwort mit dem aus der DB abgeglichen ("Mot de passe incorrect"), ansonsten nicht ("Login incorrect"). Auf ähnlichem Weg kann man auch den Pwd-Hash ermitteln.

WebSpider