Re: [Tux-ES] SQL Injection

[Marcelo Cavalcante]

Que tal colocar a linha na qual o erro acontece?

Coloca aqui a linha e a galera pode dar uma olhada e sugerir correções.

Lembre-se apenas de retirar informações confidenciais que possam existir na linha, como dados de acesso à bancos ou servidores, por exemplo.. ;]

===================================================

Marcelo Cavalcante Rocha - Kalib

Graduando em Sistemas de Informações - ESTÁCIO/FIC
Usuário Linux #407564 | Usuário Asterisk #1148
Fortaleza - Ceará - Brazil
Celular: +55 085 87620983
Certificações: ITIL V3 | CSM | LPI-C1 | LPI-C2 | LPI-C3 | Novell CLA
Minha Pessoa: Blog
Projetos: Tux-CE | Archlinux-br | Chakra | KDE Brasil | TLUG | PUG-CE

===================================================
 

Proteja meu endereço como estou protegendo o seu.
Não revele e-mail dos correspondentes: use Cco (Copia Carbonada Oculta).
Retire os endereços antes de reenviar. Dificulte assim a
disseminação de vírus e spam.

2012/12/17 NICK <huguinho...@hotmail.com>

Olá, gostaria de saber se tem alguém aqui no grupo que saberia arrumar sites com erros de SQL???

ex de erro SQL: http://www.sead.pi.gov.br/album.php?id='205

caso tenha...

--
Comunidade Tux-ES - Comunidade de Software Livre do Espirito Santo.
Para postar neste grupo, envie um e-mail para tu...@googlegroups.com
Para cancelar a sua inscrição neste grupo, envie um e-mail para tuxesuns...@googlegroups.com
Maiores informações: http://groups.google.com/group/tuxes ou http://www.tux-es.org

[Hugo Marcos]

Cara, meu objetivo é reunir um grupo e arrumar vários sites. Tentar ganhar alguns trocados com o nosso conhecimento,  pois existem muitos site com esse tipo de erro. Daria até para juntar alguma grana e investir no linux aqui no ES

---

Date: Mon, 17 Dec 2012 15:31:07 -0300
Subject: Re: [Tux-ES] SQL Injection
From: kalib...@gmail.com
To: tu...@googlegroups.com

[Luis Felipe Andrade]

Pelo que notei na URL que o Nick passou ( http://www.sead.pi.gov.br/album.php?id='205 ) o problema vai acontecer com essa -> ' -< aspa simples.

 

Acredito que ele está propondo uma implementação de um script para corrigir e evitar esse tipo de coisa.

 

Nick, isso pode ser evitado de N maneiras, uma delas é utilizar o escape e ignorar a ' neste caso que o parametro é um número.

 

Nos casos de sites que usam CMS prontos e/ou frameworks como Cake, etc isso já é feito.

 

Não vejo uma forma de ganhar dinheiro explorando esse tipo de "erro" de programãção, pois neste seu exemplo o máximo que acontece é a não abertura do album de fotos.

 

Existe sim uma falha quando o sql injection é usado para "burlar" formulários de login, e aí sim tem como pegar algum site e alertar, mas de qualquer forma ganhar o dinheiro não vai ser ão simples.

 

Não sei se foi isso que quiz dizer...mas EU entendi assim.

 

Valeu@

[Hercules Merscher]

Cara, o problema que ocorre aí é só por causa da aspas simples depois do id=. Retirando e deixando id=201 funciona. Possívelmente o problema está no código do arquivo php.

http://www.sead.pi.gov.br/album.php?id='201

Mas um sistema web não deveria cuspir erros assim para o usuário. Isso deveria ser tratado para apresentar uma mensagem de erro mais amigável. Começando por tratamento de exceções.

2012/12/17 Hugo Marcos <huguinho...@hotmail.com>

--
Hercules Lemke Merscher
http://anotacoesdohercules.wordpress.com/

[Hugo Marcos]

Sim, essa aspa simples foi coloca propositalmente por mim, afim de  demonstrar o erro de SQL, mas se continuarmos os comandos de string na URL, chegaremos na senha e login master do site. Uma vez dentro, podemos upar a shel e teremos acesso nos arquivos, encontramos o arquivo que tem o erro e arrumamos

---

Date: Mon, 17 Dec 2012 16:54:41 -0200

Subject: Re: [Tux-ES] SQL Injection

From: hlmer...@gmail.com
To: tu...@googlegroups.com

[Hugo Marcos]

Pensei que se upar uma Shell poderíamos pegar o arquivo com erro  concerta-lo  e upar novamente sem nem um erro de sql. O que eu to querendo dizer é que, esse erro deixa o site vull a invasão, arrumando o site ele fica mais "seguro" contra as invasões e poderíamos ser remunerado, pois seriamos uma especie de "segurança digital". Sacou agora? Vlw cara

---

Date: Mon, 17 Dec 2012 16:53:51 -0200

Subject: Re: [Tux-ES] SQL Injection

From: luisfeli...@gmail.com
To: tu...@googlegroups.com

[João Víctor Rocon Maia]

my cents...

2012/12/17 Hugo Marcos <huguinho...@hotmail.com>

--
João Víctor Rocon Maia
www.joaovrmaia.com

[Hercules Merscher]

uahauahauahauah

2012/12/17 João Víctor Rocon Maia <maia...@gmail.com>

--

[Marcelo Cavalcante]

Na verdade, de acordo com a nova lei Carolia Dickman, você pode é ser preso se o fizer.. é sempre bom tomar muito cuidado com esse tipo de coisa hoje em dia.

===================================================

Marcelo Cavalcante Rocha - Kalib

Graduando em Sistemas de Informações - ESTÁCIO/FIC
Usuário Linux #407564 | Usuário Asterisk #1148
Fortaleza - Ceará - Brazil
Celular: +55 085 87620983
Certificações: ITIL V3 | CSM | LPI-C1 | LPI-C2 | LPI-C3 | Novell CLA
Minha Pessoa: Blog
Projetos: Tux-CE | Archlinux-br | Chakra | KDE Brasil | TLUG | PUG-CE

===================================================
 

Proteja meu endereço como estou protegendo o seu.
Não revele e-mail dos correspondentes: use Cco (Copia Carbonada Oculta).
Retire os endereços antes de reenviar. Dificulte assim a
disseminação de vírus e spam.

2012/12/17 Hercules Merscher <hlmer...@gmail.com>

[Albino Biasutti Neto]

Olá

Em 17 de dezembro de 2012 20:25, Marcelo Cavalcante
<kalib...@gmail.com> escreveu:

> Na verdade, de acordo com a nova lei Carolia Dickman, você pode é ser preso se o fizer.. é sempre bom tomar muito cuidado com esse tipo de coisa hoje em dia.

Leis que ajuda eles.

O projeto do Marco Civil até agora nada, foi adiado 6x. :'(

--
Albino
www.albino.ws

[Marcelo Cavalcante]

Exato..

Eu trabalho com segurança e vejo o quanto essa lei complicou algumas coisas..

Até mesmo para fazer um pentest, sendo contratado pela empresa "alvo" do ataque, é preciso fazermos termos e contratos bem detalhados e assinados por ambos os lados antes de começar qualquer teste de vulnerabilidade.

Acredite, uma busca de vulnerabilidades de forma independente, como aparentemente você busca, pode resultar em um grande problema para o seu lado, mesmo que no fim das contas você tenha intenções de ajudar a empresa e não prejudicar. :/

===================================================

Marcelo Cavalcante Rocha - Kalib

Graduando em Sistemas de Informações - ESTÁCIO/FIC
Usuário Linux #407564 | Usuário Asterisk #1148
Fortaleza - Ceará - Brazil
Celular: +55 085 87620983
Certificações: ITIL V3 | CSM | LPI-C1 | LPI-C2 | LPI-C3 | Novell CLA
Minha Pessoa: Blog
Projetos: Tux-CE | Archlinux-br | Chakra | KDE Brasil | TLUG | PUG-CE

===================================================
 

Proteja meu endereço como estou protegendo o seu.
Não revele e-mail dos correspondentes: use Cco (Copia Carbonada Oculta).
Retire os endereços antes de reenviar. Dificulte assim a
disseminação de vírus e spam.

2012/12/17 Albino Biasutti Neto <bin...@apache.org>

[Rodrigo Martins]

Uma boa conversa! :D

-- Atenciosamente ___________________________ Rodrigo Martins www.rrmartins.com tel: (28) 9882-6202       (27) 9601-9573       (21) 9942-2016

 

My profiles:
Contact me: rod...@rrmartins.com rr_martinsj rod...@rrmartins.com

[Hugo Marcos]

Cara, obrigado ae por me avisar sobre essa lei, mas acho que isso não é problema para mim

---

Date: Mon, 17 Dec 2012 19:25:16 -0300

[Hugo Marcos]

vish, mas to ferrado mesmo com essas parada, mas obrigado pelo aviso. 

---

Date: Mon, 17 Dec 2012 20:38:30 -0300

Subject: Re: [Tux-ES] SQL Injection
From: kalib...@gmail.com
To: tu...@googlegroups.com

[João Víctor Rocon Maia]

2012/12/18 Hugo Marcos <huguinho...@hotmail.com>

Cara, obrigado ae por me avisar sobre essa lei, mas acho que isso não é problema para mim

[Hugo Marcos]

kkkkkkkk, cada uma em

---

From: maia...@gmail.com
Date: Tue, 18 Dec 2012 16:58:14 -0200

Subject: Re: [Tux-ES] SQL Injection

To: tu...@googlegroups.com

[Maycon Maia Vitali]

Vamos lá. :-) \o/

Remover somente aspas dos parâmetros não evita a invasão, ou seja, não corrige a vulnerabilidade. Acredito que auditar código em procura de falhas seja extremamento chato e custoso. O mais indicado é um treinamento para a equipe que desenvolve focado em segurança no desenvolvimento do software, de forma que segurança faça parte do ciclo de desenvolvimento.

Só uma hipótese: se você acessar e alterar dados, você pode ser preso por essa lei ridícula nova. Se você entrar em contato com os responsáveis falando que tem a falha e sugerir uma correção, pode ser indiciado por extorsão [1], que está previsto no Artigo 158 do código penal.

Então me conselho é: pegue uma coca-cola bem gelada e uma pipoca com manteiga quentinha, e espere a marda acontecer. :-)

[1] - "Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer alguma coisa"

----

Maycon Maia Vitali (aka 0ut0fBound)

Offensive Security Certified Expert (OSCE)

Security Researcher @ Hack N' Roll

http://www.hacknroll.com
Hack N' Roll

PGP key ID: F23985E2

[Albino Biasutti Neto]

Em 22 de dezembro de 2012 20:28, Maycon Maia Vitali
<maycon.p...@gmail.com> escreveu:

> Então me conselho é: pegue uma coca-cola bem gelada e uma pipoca com
> manteiga quentinha, e espere a marda acontecer. :-)

o.O

> [1] - "Art. 158 - Constranger alguém, mediante violência ou grave ameaça,
> e com o intuito de obter para si ou para outrem indevida vantagem econômica,
> a fazer, tolerar que se faça ou deixar fazer alguma coisa"

Sem mas.

--
Albino
www.albino.ws

[Hugo Marcos]

Obrigado, obrigado mesmo por me desanimar kkkkkkkk brincadeira. Tenho mais de 60 sites vull do ES dava para ganhar muito, VEJA  http://www.vilavelha.es.gov.br/retrospectiva/secretarias/view/'10
MAS....
OK OK, vou parar com isso se não vou ser preso por tentar "ajudar" os ADMINS AAAAAAFFFFF
Mas obrigado a todos que me desanimaram e foram contra kkkkkkkkkkk
VLW T+

---

From: maycon.p...@gmail.com
Date: Sat, 22 Dec 2012 20:28:36 -0200

[Maycon Maia Vitali]

Então mano, geralmente essas falhas não são responsabilidades dos sysadmins, e sim dos desenvolvedores web. O que o sysasdmin pode fazer e instalar e configurar WAFs para tentar "minimizar" a possibilidade de um possível ataque.

Pela nova lei contra crimes de internet só por você estar divulgando esse sites vulneráveis poderia se encrencar. Mas relaxa, a lei só entra em vigor em alguns meses e mesmo se já estivesse em vigor acredito que não daria em muita coisa. :-)

Desculpa fera, juro que me esforcei, mas no fundo (bem no fundo) não consegui perceber sua real intenção de "ajudar" os sysadmins fazendo full disclosure das falhas. Pensei seriamente em tecer algumas palavras ácidas com relação ao que você está fazendo, mas acho que não vem ao caso, afinal de contas, faço parte do underground e tenho minha parcela de culpa em algumas coisas. Além do mais, se os responsáveis realmente estivesse preocupados com a segurança não existiriam vulnerabilidades tão amadoras como essas.. :-)

A melhor dica que posso te dar é: KEEP CALM AND WATCH YOUR STEP.

Saudações,

----

Maycon Maia Vitali (aka 0ut0fBound)

Offensive Security Certified Expert (OSCE)

Security Researcher @ Hack N' Roll

http://www.hacknroll.com
Hack N' Roll

PGP key ID: F23985E2

[Marcelo Cavalcante]

Como eu disse anteriormente, acredito que você estaria apenas puxando problemas para si.

As coisas não são tão simples como parecem.

Como o Maycon falou, o melhor é aguardar.

De fato, a culpa geralmente não é dos sysadmins, mas sim das empresas contratadas para o desenvolvimento dos sites.

Abraço,

===================================================

Marcelo Cavalcante Rocha - Kalib

Graduando em Sistemas de Informações - ESTÁCIO/FIC
Usuário Linux #407564 | Usuário Asterisk #1148
Fortaleza - Ceará - Brazil
Celular: +55 085 87620983
Certificações: ITIL V3 | CSM | LPI-C1 | LPI-C2 | LPI-C3 | Novell CLA
Minha Pessoa: Blog
Projetos: Tux-CE | Archlinux-br | Chakra | KDE Brasil | TLUG | PUG-CE

===================================================
 

Proteja meu endereço como estou protegendo o seu.
Não revele e-mail dos correspondentes: use Cco (Copia Carbonada Oculta).
Retire os endereços antes de reenviar. Dificulte assim a
disseminação de vírus e spam.

2012/12/24 Maycon Maia Vitali <maycon.p...@gmail.com>

[Hugo Marcos]

Obrigado cara, mas a vida continua... esses adms que se dane, vou arrumar algo melhor para fazer kkkkkkkkkk

---

From: maycon.p...@gmail.com
Date: Mon, 24 Dec 2012 01:28:20 -0200

[Hugo Marcos]

já entemdir, vou fazer nada não kkkkkkkk parei com isso

---

Date: Mon, 24 Dec 2012 11:33:31 -0300

[João Víctor Rocon Maia]

2012/12/26 Hugo Marcos <huguinho...@hotmail.com>

Obrigado cara, mas a vida continua... esses adms que se dane, vou arrumar algo melhor para fazer kkkkkkkkkk

---

Rapha, m3nd3s e Griffo se sentiram ofendidos agora... pobres SysAdmin

[Julio Cesar Molon]

O que você quer saber sobre o injection?