[HaBo]

Punky Duck · 15.01.10, 00:17

Ich bräuchte ein bisschen Hilfe bei einer Blind SQL Injection. Nein nichts illegales, sondern für eine Übung an der Uni.

Ich habe folgende Aufgabe zu lösen:

Zitat:

A friend of yours has asked you to perform a security audit on the members administration of her golf club. She asks you to test if there are any security issues concerning the MySQL database implementation. She gives you a short introduction to the system, but leaves you to find out other information you need for your test:

First step: Try to login without having any user data. Note that the pin is numerical!
Second step: Find out which of the members has the highest balance on his/her account. You will not be able to see the balance on the website, you must find it out by passing an appropriate SQL query to the server.
Third step: There is a members database which consists of two tables "regular" and "vip". Find out the "memberno" of the member who had the highest balance in step two. Every member's "name" has a suffix "(reg)" or "(VIP)" - this way you will recognize which table you are operating on. Again, you will not be able to see the "memberno" on the website but you must try to find it by using an appropriate SQL query.

Be aware that SQL injection can be a cumbersome task and it may take a while until you find the right query. Therefore it is advisable to start the assignment early and come back to it after a while when you seem to be stuck. You might want to read a bit into the syntax of SQL and search for information on SQL injection. In this assignment you will exercise what is called a "Blind SQL injection" which means you will not get any error messages from the server if the query you passed is wrong or doesn't yield any results. Note that in this exercise no output can mean you are on a good way.

Aufgabe 1 habe ich bereits gelöst, aber mit 2 und 3 komme ich zur Zeit nicht weiter. Wer will kann sein Können auf dieser Seite testen. Wenn es jemand schafft wäre ich für ein paar Tipps dankbar.

edit: Ok, Aufgabe 2 habe ich nun auch teilweise. Mit accountno=1 OR accountno IS NOT NULL order by balance bekomme ich die User aufsteigend nach balance sortiert. Nun hab ich mal den mit der größten balance, aber weiß jemand wie ich den konkreten Wert finde?

edit2: So, die balance habe ich nun auch. Mit and balance > blub bin ich dem Wert immer näher gekommen, bis ich schlussendlich den Wert hatte. Fehlt also nur noch Aufgabe 3

edit3: Aufgabe 3 ist nun auch erledigt. Ging ähnlich wie Aufgabe 2.

blobbo · 18.01.10, 19:51

Hi,
ich probier mich gerade am Login allerdings bin ich etwas verwundert, da ja z.B. ein ' schonmal nichts anrichtet und auch sonst hab ich keine Fehlermeldung zu stande gebracht. Wie soll ich dann was injecten?

Sowas wie ' OR 'x'='x funktioniert auch nicht...

Was studierst du denn und an welcher Art Uni? Ich studiere Informatik und hab noch nie so coole, praktische Übungsaufgaben gesehen

[Edit]
Oder kann es sein, dass das nach Ablauf der Frist nicht mehr klappt?

[Nochmal Edit]
Darf man sich auch den Code angucken?

[Und noch ein Edit

]
Ok hab das hier bei google gefunden: http://pastebin.com/m5049808e
Da war ich ja auf dem richtigen Weg, hab nur zu früh aufgehört...
Wäre nett wenn du die anderen Fragen die ich hier angehäuft hab noch beantworten könntest

Warum wird z.B. kein Fehler ausgegeben wenn man quatsch eingibt?

HaBo Ads

blobbo · 18.01.10, 21:21

Sorry ich mach mal ein neues Posting...
Ist das nicht etwas gekünstelt, dass bei dem anhängen von OR 1=1 auf einmal etwas ausgegeben wird?
Wäre nett wenn du vielleicht noch die Lösung zu allen Aufgaben erklären könntest

Danke!

easteregg · 18.01.10, 21:56

nein, das ist gar nicht gekünstelt,
wenn ich an nen query der so aussieht:

Code:

select name from table where user_id = 1

abnsetze und der eingabewert $id wird ersetzt mit

Code:

1 OR 1=1

dann hab ich eben die abfrage, gebt mir alles wo der user id 1 hat oder eben alles das wo 1=1 ist

damit trifft der filter immer zu und alles wird ausgeben!

blobbo · 18.01.10, 22:05

Ja das ist schon klar aber wenn ich nur id=1 angebe wird ja auch nichts ausgegeben also woher kommt überhaupt die Ausgabe und warum ist sie auf 4 Ergebnisse beschränkt?

Mh es mag daran liegen, dass die ids nicht bei 1 anfangen ^^

easteregg · 18.01.10, 22:10

achso meintest du das

ja klar, daher gesehen ist das natürlich arg konstruiert, aber viele leute - vorallem unerfahrene - schreiben gern genau sone sicherheitslücke in ihre programme rein

kG · 21.01.10, 09:09

Zitat:

Zitat von blobbo

Hi,
...
Was studierst du denn und an welcher Art Uni? Ich studiere Informatik und hab noch nie so coole, praktische Übungsaufgaben gesehen

...

Hab mal nen WhoIs gemacht: Technische Universitat Wien
Was er studiert, das kann aber nur er sagen

Ist übrigens ein wirklich interessantes Thema... Macht Spaß sowas "rumzuraten"

Punky Duck · 28.01.10, 11:26

Hi

Sorry, dass ich so spät antworte. Hab ne Weile nicht mehr reingeschaut.

Zitat:

z.B. ein ' schonmal nichts anrichtet und auch sonst hab ich keine Fehlermeldung zu stande gebracht. Wie soll ich dann was injecten?

Deshalb heißt es ja Blind Injection.

Zitat:

Zitat von blobbo

Was studierst du denn und an welcher Art Uni? Ich studiere Informatik und hab noch nie so coole, praktische Übungsaufgaben gesehen

Software and Information Engineering an der TU Wien.

Zitat:

Ist das nicht etwas gekünstelt, dass bei dem anhängen von OR 1=1 auf einmal etwas ausgegeben wird?

Jo, ist gekünstelt. Aber es ist ja auch schließlich eine Übungsaufgabe die zu Lernzwecken dient und die muss nicht immer zu 100% Real World Bedingungen entsprechen.

ChiefWiggum · 28.01.10, 14:49

concat ist schon was Feines^^ gerade bei Aufgabe 3^^

Empfehlung

18.01.10, 19:51	#2 (permalink)
blobbo Registriert seit: 12.04.06 Likes: 0	Hi, ich probier mich gerade am Login allerdings bin ich etwas verwundert, da ja z.B. ein ' schonmal nichts anrichtet und auch sonst hab ich keine Fehlermeldung zu stande gebracht. Wie soll ich dann was injecten? Sowas wie ' OR 'x'='x funktioniert auch nicht... Was studierst du denn und an welcher Art Uni? Ich studiere Informatik und hab noch nie so coole, praktische Übungsaufgaben gesehen [Edit] Oder kann es sein, dass das nach Ablauf der Frist nicht mehr klappt? [Nochmal Edit] Darf man sich auch den Code angucken? [Und noch ein Edit ] Ok hab das hier bei google gefunden: http://pastebin.com/m5049808e Da war ich ja auf dem richtigen Weg, hab nur zu früh aufgehört... Wäre nett wenn du die anderen Fragen die ich hier angehäuft hab noch beantworten könntest Warum wird z.B. kein Fehler ausgegeben wenn man quatsch eingibt? Geändert von blobbo (18.01.10 um 21:16 Uhr)

18.01.10, 21:56	#4 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	nein, das ist gar nicht gekünstelt, wenn ich an nen query der so aussieht: Code: select name from table where user_id = 1 abnsetze und der eingabewert $id wird ersetzt mit Code: 1 OR 1=1 dann hab ich eben die abfrage, gebt mir alles wo der user id 1 hat oder eben alles das wo 1=1 ist damit trifft der filter immer zu und alles wird ausgeben! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

18.01.10, 22:10	#6 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	achso meintest du das ja klar, daher gesehen ist das natürlich arg konstruiert, aber viele leute - vorallem unerfahrene - schreiben gern genau sone sicherheitslücke in ihre programme rein __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

28.01.10, 14:49	#9 (permalink)
ChiefWiggum Registriert seit: 09.10.07 Likes: 11	concat ist schon was Feines^^ gerade bei Aufgabe 3^^ SELECT concat(name, 0x3a, MemberNo) FROM vip;-- __________________ Be the source always with you.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

18.01.10, 21:21	#3 (permalink)
blobbo Registriert seit: 12.04.06 Likes: 0	Sorry ich mach mal ein neues Posting... Ist das nicht etwas gekünstelt, dass bei dem anhängen von OR 1=1 auf einmal etwas ausgegeben wird? Wäre nett wenn du vielleicht noch die Lösung zu allen Aufgaben erklären könntest Danke!

18.01.10, 22:05	#5 (permalink)
blobbo Registriert seit: 12.04.06 Likes: 0	Ja das ist schon klar aber wenn ich nur id=1 angebe wird ja auch nichts ausgegeben also woher kommt überhaupt die Ausgabe und warum ist sie auf 4 Ergebnisse beschränkt? Mh es mag daran liegen, dass die ids nicht bei 1 anfangen ^^


HaBo Ads HaBOT

[HaBo]

Bräuchte Hilfe bei Blind SQL Injection