Всем привет.
Давненько ещё ломали меня, нашли SQL-inj и проделали следующий код. По этому коду возникают вопросы...
Давайте взглянем на один участок:
1.

unhex(Hex(cast(database() as char)))

Зачем используют Hex+unhex ? Запутать, добавить лишнего кода... выглядит как говнокод, ведь без этого всё прекрасно в данном случае ломалось. Для чего эти велосипеды с туда-сюда данными? Может русские имена в таблицах или ещё что? У кого есть какие идеи?

2.

floor(rand(0)*2)

Почему сразу не подставить цифру 0? Зачем ещё один велосипед? Сейчас пытаюсь разобраться в этой строчке, дело в том, что если её указать, то выпадает ошибка:
Duplicate entry '~'main'~1' for key 'group_key' - БД main
А если её заменить на цифру 0, то запрос проходит. Почему rand(0) крошит в данном случае запрос?

Вот полный запрос, если кто хочет взглянуть:

SELECT * FROM `users` WHERE `id` = 1 and(select 1 from
(select count(*),concat((select (select concat(0x7e,0x27,unhex(Hex(cast(database() as char))),0x27,0x7e)) 
from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Используйте хранимые процедуры, как убеждают не одна инъекция не прокатит

zelenuy
Давай не будем офф-топить Ладно? Тут конкретно разобраться хочу с тем, как работает данный взлом и почему хакер использовал hex(unhex), а во втором случае rand(0) привёл к ошибке.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

inpost
Ну тут я не силен

а может не на том внимание зацикливаешь?
unhex(hex(...)) выглядит как излишнее действие, не знаю как работает но все же помнится действия требуют памяти, соответственно 2 действия требуют в 2-раза больше памяти... ноя не об этом.

Может сам запрос выглядел настолько осмысленно по сравнению с этим, что ты попросту не обратил внимание на это?

_____________
[FAQ]Регистрации пользователей, сохранение в БД
---------------------------------------------------------------------------
Выходя из ванной, вышел из нее два раза

красавчики, достают вроде как пароль администратора
причем как-то манипулируют именами полей таблицы users чтобы достать инфу из information_schema
нет достают всю строку из users вроде
надо разобраться в этом запросе хорошенько

_____________
Стимулятор ~yoomoney - 41001303250491

Valick
Запрос этот вернул название Базы данных. Цель взлома - достать данные.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Стас, у меня достал всю первую строку таблицы


_____________
Стимулятор ~yoomoney - 41001303250491

http://www.exploit-db.com/papers/13045/
Пункт:
4). Check for MySQL version
Это насчет unhex(hex())

Или на русском
https://rdot.org/forum/showthread.php?t=124
Пункт 5.3 Проблемы с кодировками


Насчет floor() в пункте 3.1 последней ссылке.

Ничего тут нет лишнего все имеет смысл

В нашем запросы мы можем использовать только максимум 214 байт,это примерно 107 символов при использовании hex-кодирования.

Так как мы хотим избежать потерю возращяемых данных мы используем
hex-кодирование,так же можно использовать от кавычек в запросе используя числовое представление символов ascii,что позволит обходить фильтрацию при обработке.


Это стандартные взломы,он были распространены еще пару лет назад.

Сижу сейчас, пытаюсь разобраться.
Запрос выше с одними таблицами возвращает ошибку, а с другими - проходит запрос на ура. Поэтому не всегда можно пощупать.

Oyeme
hex,unhex - такой прикол, чтобы достать имя Базы Данных длиннее 107 символов?

Смысл всего,это вывести сообщение об ошибки любыми способами

Для примера,имее вот такой вот запрос.

 SELECT COUNT(*),CONCAT((SELECT CONCAT(user,password) FROM mysql.user LIMIT 1), 0x20, FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x;

Разберем

SELECT FLOOR(RAND(0)*2)x FROM information_schema.tables

При простом запросе нам выведет 0 1 1 0 1 1



Я приложил изображение,ошибка произойдет на 2 единице при группировки и ошибка будет выброшена.Это значит нам будут доступны только первые три строчки в таблице.А они всегда одинаковы так как это таблица information_schema.table




Это баг в mysql при использования группировки без count() и group by не работает.

Этот баг помоему не рабоате в oracle и poster sql ;)

http://bugs.mysql.com/bug.php?id=58081

SELECT COUNT(*),FLOOR(RAND(0)*2)x FROM information_schema.tables GROUP BY x;

ERROR 1062 (23000): Duplicate entry '1' for key 'group_key'

Цель тут простая найти способ ,сделать вывод об отчете об ошибках,другими словами мы должны динамически передать подстроку в ошибку mysql


Например

0x27,(AES_DECRYPT(AES_ENCRYPT(SELECT * FROM.....))),0x27