SQL injection в Postgres и GO?

Question

SSSSTTTTAAAASSSS @SSSSTTTTAAAASSSS

SQL injection в Postgres и GO?

Добрый день всем!
Уже битый час бьюсь не могу сделать SQLi в своей DB поднятой в докере.
Цель - сломать базу. По всей информации это можно, и даже легко, но у меня совсем не получается.
Что имеем:
blacklist со следующими символами: {"\"", "#", "-"} - эти символы вытираются, если встречаются в строке.
квери, которая идет запросом в базу:

`SELECT id FROM users WHERE username='` + username + `'`

В юзернейм могу писать все что угодно, без указанных символов в blacklist-e.
Что пробовал:
Robert';DROP TABLE users;
Robert';DROP TABLE users
Robert;DROP TABLE users:
Robert';DROP TABLE users'
Robert';DROP TABLE users/*
Robert';DROP TABLE users;/*
Robert';DROP TABLE users:
'DROP TABLE users;
Robert');DROP TABLE users:

Ну и еще со скобками в разных вариацих, апострофами и т.д.
Почти везде одна и таже ошибка в коснсоле у POSTGRES:

ERROR:  syntax error at or near .... at character XX

И хз как мне дропнуть тут базу...
Может кто может помочь?)
Заранее спасибо

Вопрос задан более двух лет назад
248 просмотров

4 комментария

Подписаться 1 Простой 4 комментария

Михаил @Akela_wolf

Во-первых, вы уверены что sql-inj там вообще есть? Покажите код, который обращается к БД.
Во-вторых, не скажу за Postgres и го, но в связке PHP + MySQL подобные штуки (несколько запросов через точку с запятой) не проходили в принципе, даже при наличии инжекции. А вот с MS SQL - проходили.

Написано более двух лет назад
Akina @Akina

Robert';DROP TABLE users;SELECT '

Написано более двух лет назад

SSSSTTTTAAAASSSS @SSSSTTTTAAAASSSS Автор вопроса

Михаил,

Вот код, который обращается к базе:

var user models.User

	query := fmt.Sprintf("SELECT id FROM users WHERE username='%s'", username)
	err := storage.DB.QueryRow(query).Scan(&user.Id)                           
	if err != nil {
		return nil, errors.New("couldn't find user in database")
	}

Написано более двух лет назад

SSSSTTTTAAAASSSS @SSSSTTTTAAAASSSS Автор вопроса

Akina,
Спасибо большое, отлично отрабатывает!
Даже лучше, чем мой вариант.
Хорошего дня всем!

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 2

5 комментариев

SSSSTTTTAAAASSSS @SSSSTTTTAAAASSSS Автор вопроса

FedorWK
Федор, спасибо за коммент, но если отключить блеклист, то база дропается после того как юзернейм:
Robert';DROP TABLE users--
Так что вроде как поддерживает.

Написано более двух лет назад
Михаил @Akela_wolf

SSSSTTTTAAAASSSS, так у вас дефис в блэклисте, соответственно -- вымарывается.

Написано более двух лет назад
SSSSTTTTAAAASSSS @SSSSTTTTAAAASSSS Автор вопроса

Михаил,

Я понимаю, я ж и говорю, что если выключить проверку на блеклист, то база дропается, а соответственно драйвер значит поддерживает...

Написано более двух лет назад
Михаил @Akela_wolf

SSSSTTTTAAAASSSS, я просто не понимаю вашего вопроса. Выглядит как эксперимент.
Инжекцию вы увидели. Дальше-то что?

Написано более двух лет назад
SSSSTTTTAAAASSSS @SSSSTTTTAAAASSSS Автор вопроса

Вот например такое работает:
x');DROP USER root

Написано более двух лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

SQL

+1 ещё

Простой
Фильтрация характеристик товаров с подсчетом?
- 1 подписчик
- вчера
- 63 просмотра
1

ответ
PostgreSQL

Простой
Postgres минимальная установка где взять?
- 1 подписчик
- 19 нояб.
- 135 просмотров
2

ответа
PostgreSQL

Простой
PostgresPro Enterprise работа checksum при включенным CFS и возможно ли включить CFS для пространства pg_default?
- 1 подписчик
- 19 нояб.
- 22 просмотра
0

ответов
Docker

+3 ещё

Средний
Ошибка с неизвестной таймзоной?
- 1 подписчик
- 19 нояб.
- 132 просмотра
2

ответа
SQL

Простой
Что такое RAND("totally_not_random") в SQL?
- 1 подписчик
- 18 нояб.
- 53 просмотра
2

ответа
PostgreSQL

+1 ещё

Простой
Какой адрес СУБД указывается при использовании кластера BiHA?
- 1 подписчик
- 17 нояб.
- 57 просмотров
1

ответ
Go

Простой
Как использовать строку в качестве названия функции в GoLang?
- 1 подписчик
- 14 нояб.
- 138 просмотров
1

ответ
Ubuntu

+2 ещё

Средний
Как подключиться по TCP/IP к базе данных PostgreSQL на удаленном Ubuntu сервере?
- 1 подписчик
- 12 нояб.
- 189 просмотров
2

ответа
SQL

+1 ещё

Простой
Когда каскадное обновление это плохо?
- 1 подписчик
- 11 нояб.
- 104 просмотра
4

ответа
PostgreSQL

+2 ещё

Средний
Как организовать фасетный поиск в postgres?
- 4 подписчика
- 11 нояб.
- 751 просмотр
0

ответов
Показать ещё Загружается…

Разработчик sql

РашенСофт

от 80 000 до 150 000 ₽

Разработчик Oracle PL/SQL

Сургутнефтегазбанк • Тюмень

от 100 000 ₽

Разработчик приложений (Oracle, SQL/PL SQL) г. Москва

Бристоль • Москва

от 219 000 ₽

Верстка Flutter + API

21 нояб. 2024, в 22:21

3000 руб./в час

Разработать Custom Speech-to-text Operator на Apache Flink

21 нояб. 2024, в 21:42

100000 руб./за проект

Сделать видио поздравления с субтитрами

21 нояб. 2024, в 21:30

500 руб./за проект

Во-первых, вы уверены что sql-inj там вообще есть? Покажите код, который обращается к БД.
Во-вторых, не скажу за Postgres и го, но в связке PHP + MySQL подобные штуки (несколько запросов через точку с запятой) не проходили в принципе, даже при наличии инжекции. А вот с MS SQL - проходили.
Михаил,

Вот код, который обращается к базе:

var user models.User query := fmt.Sprintf("SELECT id FROM users WHERE username='%s'", username) err := storage.DB.QueryRow(query).Scan(&user.Id) if err != nil { return nil, errors.New("couldn't find user in database") }
Akina,
Спасибо большое, отлично отрабатывает!
Даже лучше, чем мой вариант.
Хорошего дня всем!

Answer 1 · 2022-05-12 15:16:35

Судя по данному вопросу на SO, дефолтный sql-драйвер не поддерживает выполнение нескольких statement в одном запросе

Answer 2 · 2022-05-12 22:20:17

Freeman @Vapaamies

Психанул и снес свои ответы козлам, не отмечающим…

А использовать параметры не?

Ответ написан более двух лет назад

Комментировать

SQL injection в Postgres и GO?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт