Sql Injection

[Tyrano]

Hallo Liebe Comunity,

Ich bräuchte einige Infos...

Ich würde gerne mal wissen wo man Sql Injection herbekommt, was das teil ist, wie man es bedient und was es genau bringt.

Dann will ich noch wissen wie man den sql Injection auf einem server Blocken kann,
also das man den nicht benutzen kann.

Danke an alle die mir helfen :)

Lg Tyrano

[rulez]

Dazu bekommst unendlich viele Infos über Google. Probiers einfach mal! :)
Bei einer Sql Injection schleust der Hacker seinen eigenen Sql Befehl in den eigentlichen um an Infos der Datenbank zu kommen die eigentlich nicht für die Öffentlichkeit bestimmt sind.

Sql Injections blockt man im Allgemeinen via mysql_real_escape_string, denn dann wird das Zeichen ' escaped. D.h also aus ' wird \'.
lg Ich;

[londy]

Tyrano , ich glaube du kennst dich 0 mit den DB's eines P-servers aus und sämtliches was dazu gehört.

1.Eine Sql Injection ist keine Datei sondern ->Ein Befehl
2.Eine Sql Injection ist ein Befehl durch eine Sicherheitslücke( z.b. durch das Accounts erstellen )
3.Die 2 Option haben aber Server gefixxt die nicht "wannabe#noob-kiddy " sind
4.Mir einem Sql Befehl wie *shutdown* , kannst du teile des jeweiligen Server "down" legen .
5.Kla kann man so-etwas blockieren(fixxen)
6.Wennu wie sehe keine Ahnung hast , bezahl lieber einen "profi" bevor du deine Files + Datenbank verbuggst
7.MSQL Studio Express reagiert egal wo du es hinschreibst , normal auf Befehle , deswegen ist eine "Injection"möglich solange es nicht bearbeitet wurde.

Ich hoffe ich konnte helfen .
Ein ganz großer Anstoß der sich Jeder beteiligen sollte, bei Themen die Server SCHADEN könnten
KEIN Tutorial .


*shutdown zensiert*

[Amnesie~]

Kommt drauf an was für ne Injection, und was du damit anstellen willst.
Über die Registrierung kann man mit bestimmten Commands Tabellen erstellen/löschen/editieren
Falls du jedoch eine Website Defacen willst ist das wiederrum was anderes und braucht erfahrung/übung

[Tyrano]

Ich danke euch für eure antworten :) also ja ich hab eig. mehr oder weniger 0 ahnung da hast du recht londy ...
Es ist auch nicht für meinen server xD hab keinen , Sondern spiele auf einem dem ich gerne mal helfen will...
So jetzt hab ich es so verstanden ein injection ist ein befehl den man bei der registrierung z.b eingeben kann,
nur was für ein befehl ? könntet ihr mir einige beispiele schicken ? also jmd. hat sich letzens bei uns gehackt und sich mit ner injection admin rechte gemacht jetzt würd ich gerne wissen wie und wie mans fixxen kann also ich denke mal das geht so wie rulez es mir gepostet hat nur kann ja sein das es doch anders geht... vielen dank nochmal :)

Lg Tyrano

[TwiLight]

Du manipulierst mit einer SQL Injection eine (My)SQL Query (also einen Befehl) durch eine Lücke (die Injection). Durch diese Lücke kannst du anfangen, bei Tabellen die Spalten auszulesen und so langsam an Zugangsdaten zu kommen (Spaltennamen herausfinden und dann Inhalte der Zellen herausfinden).
Bei SQL kannst du eine Stufe weitergehen. Du kannst, da SQL von Microsoft kommt und so eng mit dem Betriebssystem vorbunden ist, auch Administrator Zugang bekommen. Hier kommt die xp_cmdshell ins Spiel, die wie das klassische Command Fenster funktioniert (naja, das ist es auch) - Vorrausgesetzt ist, dass der User, der für die Webseite "verantwortlich" ist, auch Rechte hat, xp_cmdshell auszuführen.

Wenn du das nicht verstehst, befass dich erst einmal mit den Grundstrukturen von Datenbanken.

[londy]

blah blah
Twillight muss mich wieder topen xD
darf ich dich icq adden ? nummer hab ich
wie von fast alles aus der szene , die wissens nur nich xD

[Tyrano]

xD Danke twillight ja also ich befass mich nun mit den DB´s und danke nochmal ^-^
Äm ich hab nun einpar Injections raus wie ich die Verbindung trenne Chars, accs lösche mir GM Rechte gebe usw...
Also diese gehen ja nur auf bob servern, gibt es Injections die kürzer sind und auch gehen ?

Lg Tyrano