[HaBo]

PHRoZeNCReW · 05.02.12, 02:04

Hallo allerseits,
Ich habe mir lokal das folgende Skript erstellt:

PHP-Code:

  <?php
$sql = "UPDATE a SET b=".$_GET["c"]."";
mysql_query($sql);
?>

Man sieht ja recht schnell, dass dieses Skript sehr anfällig bezüglich SQL-Injections ist. Mich würde allerdings eine Sache sehr interessieren: Meiner Meinung nach ist die gefährlichste aller SQL-Injection Arten jene, die INTO OUTFILE exploitet, sodass der Angreifer in der Lage ist Schaddateien (z.B. ein Shellskript) zu erstellen.

Mir ist diese Attacke jedoch nur bei SELECT queries bekannt, weswegen ich fragen wollte ob dieser UPDATE query (oder generell UPDATE queries) immun gegen INTO OUTFILE ist. Ich habe zunächst folgende Überlegung gemacht:

Code:

UPDATE a SET b=(SELECT 'x' INTO OUTFILE 'pfad/zu/datei.txt')

was jedoch von MySQL mit einem Syntaxerror nicht angenommen wurde. Ich kenne mich mit der MySQL Syntax nicht sehr gut aus und kann der Onlinedokumentation auch nicht wirklich entnehmen warum es nicht funktioniert. Denn eigentlich hat MySQL ja keine Probleme mit eingebetteten Subqueries wie zum Beispiel:

Code:

UPDATE a SET b=(SELECT 'c')
UPDATE a SET b=(SELECT c FROM d)

Deshalb würde ich gerne wissen was ihr denkt. Ist die Suchabfrage in diesem Fall immun gegen die INTO OUTFILE Attacke?

Viele Grüße,
PHRoZeNCReW

PS: Bevor jemand fragt, ja der User hat Dateirechte und magic_quotes sind ausgestellt

PHRoZeNCReW · 05.02.12, 21:55

Hmmm, vielleicht ist die Frage einfach zu speziell

Anzeige

- Anzeige -

GrafZahl · 06.02.12, 00:28

ich könnte mir vorstellen, dass der query optimizer ein problem damit hat, da die subquery vermutlich nichts zurück gibt ... und das auch vor der ausführung bekannt ist ...

PHRoZeNCReW · 06.02.12, 15:22

Ja, solche Überlegungen habe ich auch schon gemacht. Es ist nur schade, dass man bei solchen Sicherheitsangelegenheiten keine gute, ausführliche und vor allen Dingen eindeutige Dokumenation bezüglich Syntax und Semantik hat.

Gewisse Fragestellungen werden einfach nicht von diesen Pseudogrammatiken auf der Website von MySQL beantwortet.

t3rr0r.bYt3 · 06.02.12, 19:28

Einmal nach "mysql into outfile" googlen liefert folgende Seite als ersten Treffer: MySQL :: MySQL 5.0 Reference Manual :: 12.2.8.1 SELECT ... INTO Syntax
Der letzte Satz lautet: "An INTO clause should not be used in a nested SELECT because such a SELECT must return its result to the outer context."
Darüber hinaus erklärt einem der Absatz darüber, wie man mit INTO Variablen belegt.

PHRoZeNCReW · 06.02.12, 20:21

Hallo t3rr0r.bYt3,
Vielen Dank für deine Antwort. Ich habe den Satz eher so verstanden, dass es nicht SINVOLL ist INTO OUTFILE in subqueries zu nutzen (aus genannten Gründen). Ich konnte dem Satz nicht wirklich entnehmen, dass es einen Syntaxerror verursacht.

Viele Grüße,
PHRoZENCReW

Stiepen · 21.02.12, 17:57

Ich denke mal, dass 0; SELECT x INTO OUTFILE 'datei.txt' funktionieren müsste. damit sähe die abfrage ja so aus:

Code:

UPDATE a SET b=0; SELECT x INTO OUTFILE 'datei.txt'

Hab ich jetzt aber nicht überprüft.

b4ck · 29.02.12, 17:49

Zitat:

Zitat von Stiepen

Ich denke mal, dass 0; SELECT x INTO OUTFILE 'datei.txt' funktionieren müsste. damit sähe die abfrage ja so aus:

Code:

UPDATE a SET b=0; SELECT x INTO OUTFILE 'datei.txt'

Hab ich jetzt aber nicht überprüft.

das funktioniert zwar als reines SQL aber nicht via. PHP da PHP maximal 1 SQL statement ausführt d.h alles hinter ";" wird nicht ausgeführt.

Anzeige

- Anzeige -

05.02.12, 02:04	#1 (permalink)
PHRoZeNCReW Registriert seit: 22.06.06 Likes: 0	[SQLi] INTO OUTFILE in UPDATE query Anzeige Hallo allerseits, Ich habe mir lokal das folgende Skript erstellt: PHP-Code: `<?php $sql = "UPDATE a SET b=".$_GET["c"].""; mysql_query($sql); ?>` Man sieht ja recht schnell, dass dieses Skript sehr anfällig bezüglich SQL-Injections ist. Mich würde allerdings eine Sache sehr interessieren: Meiner Meinung nach ist die gefährlichste aller SQL-Injection Arten jene, die INTO OUTFILE exploitet, sodass der Angreifer in der Lage ist Schaddateien (z.B. ein Shellskript) zu erstellen. Mir ist diese Attacke jedoch nur bei SELECT queries bekannt, weswegen ich fragen wollte ob dieser UPDATE query (oder generell UPDATE queries) immun gegen INTO OUTFILE ist. Ich habe zunächst folgende Überlegung gemacht: Code: UPDATE a SET b=(SELECT 'x' INTO OUTFILE 'pfad/zu/datei.txt') was jedoch von MySQL mit einem Syntaxerror nicht angenommen wurde. Ich kenne mich mit der MySQL Syntax nicht sehr gut aus und kann der Onlinedokumentation auch nicht wirklich entnehmen warum es nicht funktioniert. Denn eigentlich hat MySQL ja keine Probleme mit eingebetteten Subqueries wie zum Beispiel: Code: UPDATE a SET b=(SELECT 'c') UPDATE a SET b=(SELECT c FROM d) Deshalb würde ich gerne wissen was ihr denkt. Ist die Suchabfrage in diesem Fall immun gegen die INTO OUTFILE Attacke? Viele Grüße, PHRoZeNCReW PS: Bevor jemand fragt, ja der User hat Dateirechte und magic_quotes sind ausgestellt

06.02.12, 00:28	#3 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 211	ich könnte mir vorstellen, dass der query optimizer ein problem damit hat, da die subquery vermutlich nichts zurück gibt ... und das auch vor der ausführung bekannt ist ... __________________ Code: :(){ :\|:& };: Veritas Aequitas

21.02.12, 17:57	#7 (permalink)
Stiepen Registriert seit: 20.08.11 Likes: 0	Ich denke mal, dass 0; SELECT x INTO OUTFILE 'datei.txt' funktionieren müsste. damit sähe die abfrage ja so aus: Code: UPDATE a SET b=0; SELECT x INTO OUTFILE 'datei.txt' Hab ich jetzt aber nicht überprüft. __________________ Bei Risiken und Nebenwirkungen lesen sie den Beitrag und fragen sie den Autor

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Mit SQL-Query Values inkrementieren	da_fighter	Code Kitchen	2	12.09.10 22:12
PHP Problem mit SQLite-query	sw33tlull4by	(Web-) Design und webbasierte Sprachen	8	07.05.10 15:50
Langsammen Query überarbeiten	easteregg	(Web-) Design und webbasierte Sprachen	4	16.06.09 14:31
SQL: Query gesucht	boehmi	Code Kitchen	5	05.05.09 20:56
INTO OUTFILE ins Webserver-Verzeichnis?	Xalon	(Web-) Design und webbasierte Sprachen	5	10.12.06 15:26

05.02.12, 21:55	#2 (permalink)
PHRoZeNCReW Themenstarter Registriert seit: 22.06.06 Likes: 0	Hmmm, vielleicht ist die Frage einfach zu speziell

06.02.12, 15:22	#4 (permalink)
PHRoZeNCReW Themenstarter Registriert seit: 22.06.06 Likes: 0	Ja, solche Überlegungen habe ich auch schon gemacht. Es ist nur schade, dass man bei solchen Sicherheitsangelegenheiten keine gute, ausführliche und vor allen Dingen eindeutige Dokumenation bezüglich Syntax und Semantik hat. Gewisse Fragestellungen werden einfach nicht von diesen Pseudogrammatiken auf der Website von MySQL beantwortet.

06.02.12, 19:28	#5 (permalink)
t3rr0r.bYt3 Senior Member Registriert seit: 07.01.03 Likes: 19	Einmal nach "mysql into outfile" googlen liefert folgende Seite als ersten Treffer: MySQL :: MySQL 5.0 Reference Manual :: 12.2.8.1 SELECT ... INTO Syntax Der letzte Satz lautet: "An INTO clause should not be used in a nested SELECT because such a SELECT must return its result to the outer context." Darüber hinaus erklärt einem der Absatz darüber, wie man mit INTO Variablen belegt.

06.02.12, 20:21	#6 (permalink)
PHRoZeNCReW Themenstarter Registriert seit: 22.06.06 Likes: 0	Hallo t3rr0r.bYt3, Vielen Dank für deine Antwort. Ich habe den Satz eher so verstanden, dass es nicht SINVOLL ist INTO OUTFILE in subqueries zu nutzen (aus genannten Gründen). Ich konnte dem Satz nicht wirklich entnehmen, dass es einen Syntaxerror verursacht. Viele Grüße, PHRoZENCReW

[HaBo]

[SQLi] INTO OUTFILE in UPDATE query