Сам не понимаю, как я добился этой sql инъекции?

Question

[BotaniQ_Q]

Изучаю SQL инъекции, вот задачник и в нем сразу мое решение
и как бы глупо не звучало, я не понял что я сделал :)
Поставил это случайно, окей я понимаю, что когда мы вводим кавычку, подразумевается что тело запроса окончено, дальше мы ставим комментарий (причем без пробела), все что после него не учитывается, потом снова кавычка, которая не учитывается вроде бы, потому что мы поставили знак комментария, однако если написать вот так '== или вот так ==' или вот так 'SELECT pass FROM users where id=9, то все это неверно, че за фигня и как это работает? И вот еще следующее задание которое просит найти отличие с предыдущим, окей здесь стоит ограничитель LIMIT, который позволяет запросить только 1 строку, получается если мы введем предыдущий ответ, выдаст только первую строку, если бы лимита не было, выдало бы все, как обойти эту херабору, я не секу, гугление не помогло, вроде бы знаю о sql инъекциях на уровне, что могу на гуглдоркить сайтов и поламать их ручками без SQLmap, но что здесь твориться и что с ним делать не понимаю, но очень желаю разобраться

Answer 1

[Егор Казанцев]

Вы язык SQL знаете вообще ?

Comments

[BotaniQ_Q]

хреново знаю, но насколько знаю, вроде бы глупостей не так много написал в вопросе, не буду спорить если много и буду рад, если на вопросик конструктивно ответите

[Егор Казанцев]

BotaniQ_Q: Тут смысл в том чтоб вместо $text внедрить еще запрос при этом что все это дело должно быть правильно с точки зрения SQL

[Егор Казанцев]

Типа чтоб получилось SELECT * FROM users id='' UNION INSERT INTO users UNION select '---' where id='' LIMIT 1

Здесь $text = [' UNION INSERT INTO users UNION select '---' where id='] (без квадратных ковычек )

[BotaniQ_Q]

Егор Казанцев: я понимаю я чем смысл, я же написал в своем вопросе, но точку зрения SQL которую я знаю, я не понял, мы оставили пустым поле text, потом поставили кавычку, sql проверяет так тело пустое, а потом кавычка значит завершаемся, но потом у нас знак комментария, после него ничего не читаем, но потом идет кавычка, ее почему прочитали, и вместо того что бы вынести * от id=2, он вывел все что у него есть, видимо он понял это так что, там где есть поле login, которое мы поставили пустым, надо вывести, но как обойти второй случай, я хз

[BotaniQ_Q]

Егор Казанцев: ну смотри, честно не до конца понял ответ (ночью буду сидеть в книжках по SQL), но смотри - пробую - ругается

[BotaniQ_Q]

если что, стоит 5-ая версия MySQL

[Егор Казанцев]

BotaniQ_Q: Я написал примерный запрос - попробуйте вместо инсерта что-нить проще типа SELECT NOW()

[BotaniQ_Q]

Егор Казанцев: ладно, пойду все таки почитаю книжек по SQL, спасибо за помощь, поставлю Нравится :)

Answer 2

[neol]

Поставил это случайно, окей я понимаю, что когда мы вводим кавычку, подразумевается что тело запроса окончено, дальше мы ставим комментарий (причем без пробела), все что после него не учитывается, потом снова кавычка, которая не учитывается вроде бы, потому что мы поставили знак комментария, однако если написать вот так '== или вот так ==' или вот так 'SELECT pass FROM users where id=9, то все это неверно, че за фигня и как это работает?

Без пробела -- распознаётся как арифметическая операция, а не комментарий (это описано в документации).
чтобы вычислить ваше выражение
login ''--''
вступает в дело неявное преобразование типов, которое преобразует '' в 0. Получается 0--0.
Чтобы сравнить все значения login в таблице c этим 0 опять вступает в дело преобразование типов и каждое значение приводится к числу (соответственно если логин начинается не с цифры, большей 0, то он будет равен 0). Ну и в результате запрос возвращает все логины, начинающиеся не с цифры, большей 0.

Comments

[BotaniQ_Q]

Спасибо большое, странно конечно почему преобразование не == или вроде того, но теперь понятно в чем тут дело, а как поступать тогда в случае, где у нас выводится только одна строка, стоит ограничение LIMIT, видимо эти две задачи можно и как то по другому решить?

[neol]

BotaniQ_Q: "--" - не преобразование, а просто два минуса (в данном случае +, - или * сработают аналогично). Преобразование типов проводится неявно, если для вычисления выражения оно необходимо.

Для решения используй -- как комментарий, чтобы избавиться от LIMIT и условие, чтобы вывести запись с id =13. Подумай самостоятельно как это сделать. Если не получится, то я напишу ответ.

[BotaniQ_Q]

neol: ну вот пытаюсь добиться, что бы оно все вывело, но закоментить LIMIT не выходит никак

[neol]

BotaniQ_Q: ты зациклился на одном варианте и пропустил мимо ушей фразу о том, что для комментирования нужен пробел до и после "--"

Попробуй как-то так:

$text = ' OR id = 13 -- 1

1 в конце в общем-то не нужна, я её поставил чтобы не потерялся пробел.

Запрос примет вид

SELECT * FROM users WHERE id=2 OR login='' OR id=13 -- 1' LIMIT 1

Если отбросить комментарий, получится

SELECT * FROM users WHERE id=2 OR login='' OR id=13

[BotaniQ_Q]

neol: блин) спасибо, остальные решать не буду, сначала все таки пройду весь синтаксис по SQL