Комментарии к записи: Новая техника быстрого извлечения данных при SQL-инъекциях в MSSQL http://raz0r.name/obzory/select-for-xml-sql-injection/ Безопасность web-приложений Mon, 12 Jul 2010 02:43:18 +0000 http://wordpress.org/?v=2.9 hourly 1 Автор: biggabr0 http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-2859 biggabr0 Mon, 10 May 2010 14:24:52 +0000 http://raz0r.name/?p=242#comment-2859 Спасибо. Спасибо.

]]> Автор: Raz0r http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-2857 Raz0r Mon, 10 May 2010 13:45:19 +0000 http://raz0r.name/?p=242#comment-2857 Я использую простой скрипт: http://pastebin.com/7zADLw6G Я использую простой скрипт:
http://pastebin.com/7zADLw6G

]]> Автор: biggabr0 http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-2855 biggabr0 Mon, 10 May 2010 12:06:37 +0000 http://raz0r.name/?p=242#comment-2855 Raz0r, не подскажешь удобный xml парсер под это дело для win? Raz0r, не подскажешь удобный xml парсер под это дело для win?

]]> Автор: FIXER http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-2843 FIXER Fri, 23 Apr 2010 15:59:55 +0000 http://raz0r.name/?p=242#comment-2843 Как раз помогло этот вариант ... спасибо за инфу Как раз помогло этот вариант …
спасибо за инфу

]]> Автор: Beta http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-2306 Beta Tue, 23 Jun 2009 20:02:43 +0000 http://raz0r.name/?p=242#comment-2306 Спасибо за инфу, как всегда компетентно и в тему :) Спасибо за инфу, как всегда компетентно и в тему :)

]]> Автор: Raz0r http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-1871 Raz0r Thu, 16 Apr 2009 11:19:32 +0000 http://raz0r.name/?p=242#comment-1871 @Best в NOT IN() можно вставлять подзапрос: <pre style="overflow:auto">SELECT TOP 1 username, password FROM users WHERE id NOT IN(SELECT TOP x id FROM users)</pre> <blockquote>А есть ли у FOR XML RAW дом параметры?</blockquote> есть: <pre>SELECT username, password FROM users FOR XML RAW 'tagname'</pre> или использовать в качестве имени тэга название колонки: <pre>SELECT username, password FROM users FOR XML AUTO</pre> более подробно в документации @Best
в NOT IN() можно вставлять подзапрос:

SELECT TOP 1 username, password FROM users WHERE id NOT IN(SELECT TOP x id FROM users)

А есть ли у FOR XML RAW дом параметры?

есть:

SELECT username, password FROM users FOR XML RAW 'tagname'

или использовать в качестве имени тэга название колонки:

SELECT username, password FROM users FOR XML AUTO

более подробно в документации

]]> Автор: Best http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-1868 Best Thu, 16 Apr 2009 09:43:42 +0000 http://raz0r.name/?p=242#comment-1868 А есть ли у FOR XML RAW дом параметры? чтоб например изменить имя тега, или еще что-нибудь? А есть ли у FOR XML RAW дом параметры? чтоб например изменить имя тега, или еще что-нибудь?

]]> Автор: Best http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-1860 Best Wed, 15 Apr 2009 22:30:25 +0000 http://raz0r.name/?p=242#comment-1860 Тема пашет на ура. Меня она уже спасла. В слепом инъекте приходилось переберать таблицы через NOT IN, запрещены одинарные кавычки, и имя каждой таблицы в NOT IN было настолько длинный, что со временем, сервер переставал принимать запросы, из-за очень длинного URL. Приходилось очень сильно извращаться, чтоб достать таблицы. А теперь все одной строкой выдается. Спасибо Raz0r. Тема пашет на ура. Меня она уже спасла. В слепом инъекте приходилось переберать таблицы через NOT IN, запрещены одинарные кавычки, и имя каждой таблицы в NOT IN было настолько длинный, что со временем, сервер переставал принимать запросы, из-за очень длинного URL. Приходилось очень сильно извращаться, чтоб достать таблицы. А теперь все одной строкой выдается. Спасибо Raz0r.

]]> Автор: Raz0r http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-1858 Raz0r Wed, 15 Apr 2009 13:48:17 +0000 http://raz0r.name/?p=242#comment-1858 @Best как раз наоборот: в MSSQL 2005/2008 будет отлично работать, а вот в MSSQL 2000 результат подзапроса с FOR XML вставить не удастся. @Kuzya знания SQL-синтаксиса и есть особенные :) @Best
как раз наоборот: в MSSQL 2005/2008 будет отлично работать, а вот в MSSQL 2000 результат подзапроса с FOR XML вставить не удастся.

@Kuzya
знания SQL-синтаксиса и есть особенные :)

]]> Автор: Kuzya http://raz0r.name/obzory/select-for-xml-sql-injection/comment-page-1/#comment-1855 Kuzya Wed, 15 Apr 2009 04:00:26 +0000 http://raz0r.name/?p=242#comment-1855 Спасибо! Заинтересовало. Всё больше убеждаюсь в том что для проведения инъекций не нужно никаких особенных знаний. Достаточно хорошо разбираться в SQL-синтаксисе и операторах инъектируемой СУБД. Спасибо! Заинтересовало. Всё больше убеждаюсь в том что для проведения инъекций не нужно никаких особенных знаний. Достаточно хорошо разбираться в SQL-синтаксисе и операторах инъектируемой СУБД.

]]>