SQL injectie uitvoeren

[Starscream]

Hallo allemaal,

ons (@ngel en ik) is gevraag de beveiliging van een website te testen, door het uitvoeren van een sql injectie
Zelf hebben we al iets getest door het volgende in te voeren:

' or 1=1-
Resultaat is een errormelding:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ') ORDER BY plaats,naam'.
(dit levert 2 kolom namen op!)

'; insert into deelnemers set naam='piet';
Resultaat is een nieuwe errormelding:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near ';'.

123' or '1'=1'; insert into deelnemers set naam='piet'
Resultaat is weer een andere foutmelding:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near '; insert into deelnemer set naam='.

Kunnen er hier verder nog schadelijke dingen worden gedaan? Een extra record toevoegen oid?

PS Voor bijlages: zie volgende post

Gr @ngel en Starscream

[@ngel]

[attachment=2:22k27van]'or1=1-.JPG[/attachment:22k27van]

[attachment=1:22k27van]uitkomst_'or1=1-.JPG[/attachment:22k27van]
Door 'or1=1- weten we dus 2 veld-namen



[attachment=0:22k27van]syntax_error.JPG[/attachment:22k27van]
De punt-comma syntaxfout. Hier lopen we vast.

[libris]

zelf weet ik nog niet veel van sql injectie, heb er wel pdfjes van, die kan ik nu niet geven want zit op me mobiel, sander weet er wel wat van, miss dat hij wat moois heeft, die pdfjes zijn heel intressant, krijg je later


groete

[themaster]

Die twee namen die je hebt gehad dat zijn veld namen geen tabel namen !!.
En dat ; niet werkt wil niet zeggen dat je vast loopt probeer gewoon een andere code -- of # bijv :P

[@ngel]

zelf weet ik nog niet veel van sql injectie, heb er wel pdfjes van, die kan ik nu niet geven want zit op me mobiel, sander weet er wel wat van, miss dat hij wat moois heeft, die pdfjes zijn heel intressant, krijg je later
groete

Okeej, ben benieuwd.

Die twee namen die je hebt gehad dat zijn veld namen geen tabel namen !!.

Was foutje. heb aangepast

En dat ; niet werkt wil niet zeggen dat je vast loopt probeer gewoon een andere code -- of # bijv :P

Okeej, bedankt man! Wij hebben nog weinig ervaring met SQL injections

[Starscream]

zelf weet ik nog niet veel van sql injectie, heb er wel pdfjes van, die kan ik nu niet geven want zit op me mobiel, sander weet er wel wat van, miss dat hij wat moois heeft, die pdfjes zijn heel intressant, krijg je later


groete

Oké, samen lukt het vast wel!

[libris]

hier bij de 2 pdfjes.. ik vond ze intressant

laat maar weten of je er wat aan hebt gehad

mvg

[Starscream]

hier bij de 2 pdfjes.. ik vond ze intressant

laat maar weten of je er wat aan hebt gehad

mvg

Dank je, ben ze nu aan het lezen!


Progressie:
Ik krijg nu een andere foutmelding bij het uitvoeren van: ') UNION SELECT plaats FROM deelnemer WHERE (''='" ,
Namelijk dat er een invalid object name 'deelnemer' is.
Waarschijnlijk heet de tabel dus niet zo.

Weet iemand nog een sql regel waarmee ik netjes een foutmelding krijg waar de tabelnaam in staat? :P

[themaster]

Pak de laatste regel en gok een tabel het is niet van gooi dit in een site en dan krijg je alle tabelnamen in mun schoot geworpen.

Probeer login,leden,leerlingen enz enz enz.

[Starscream]

Pak de laatste regel en gok een tabel het is niet van gooi dit in een site en dan krijg je alle tabelnamen in mun schoot geworpen.

Probeer login,leden,leerlingen enz enz enz.

Daar was ik al bang voor, en zelf ook al achter gekomen:P
Het word proberen, proberen en proberen..