SQLite injection nie mogę poprawnie zastosować komendy update do zmienienia informacji w tabeli.

pytanie zadane 6 listopada 2021 w Bezpieczeństwo, hacking przez Dominum_vestri Nowicjusz (120 p.)

Cześć, mam mały problem, mianowicie kilka dni temu dostałem program do testowania od mojego nauczyciela programowania. Od wczoraj zacząłem się bawić w sql injection, gdyż dostałem również zadanie by spróbować zmienić jedną konkretną wartość w bazie danych. Miejscem wpisywania kodu jest programowa wyszukiwarka, pole tekstowe i guzik szukaj. Udało mi się znaleźć nazwy tebeli, kolumn, nawet dokładne miejsce tej zmiennej! Niesety trafiłem na ścianę, gdyż nie potrafię zmienić jej wartości, cały czas wyskakuje syntax error przy słowie UPDATE. Baza danych jest utworzona na SQLite. Jedyny konkret jaki dowiedziałem się z Google to, to że UNION nie działa z UPDATE. Kody które próbowałem, lecz nie działają:

' UPDATE nazwa_tabeli SET nazwa_kolumny = 'wartość' WHERE nazwa_kolumny = 'inna warość'--

' UNION SELECT Null,nazwa_kolumny,Null,Null,Null,Null,Null from nazwa_tabeli UPDATE nazwa_tabeli SET nazwa_kolumny = 'wartość' WHERE nazwa_kolumny = 'inna warość'--

Wszystko co do tej pory znalazłem na internecie nie działało :/

Z całego serca proszę o pomoc! Nawet nie o gotowe zapytania, tylko nawet chociaż podpowiedź co robię źle :c

komentarz 6 listopada 2021 przez SzkolnyAdmin Szeryf (86,400 p.)

Jakie komunikaty błędów ci się wyświetlają? Masz dostęp do bazy danych?Jeżeli tak, spróbuj wpisać zapytanie wprost w bazie i zobacz ewentualne komunikaty błędów? Może to sprawa uprawnień? Z drugiej tony twoje zapytania nie wygadają poprawnie - masz apostrofy jako terminatory polecenia oraz jako terminatory ciągów. Czy po znakach komentarza (--) coś ma być jeszcze?

komentarz 6 listopada 2021 przez adrian17 Ekspert (344,860 p.)

Z drugiej tony twoje zapytania nie wygadają poprawnie - masz apostrofy jako terminatory polecenia oraz jako terminatory ciągów. Czy po znakach komentarza (--) coś ma być jeszcze?

...bo to nie jest całe zapytanie. Jako SQL injection, na oko, "interpunkcyjnie" to powinno dokładnie tak wyglądać :D

komentarz 6 listopada 2021 przez Dominum_vestri Nowicjusz (120 p.)

Dokładny komunikat: An exception of class DatabaseException was not handled. The application must shut down. Exception Message: near "UPDATE": syntax error Exception Error Number: 1

Niestety nie mam dostępu do bazy danych, gdyż dostałem tylko aplikacje do testów.

Sam nie rozumiem za bardzo też co robię, gdyż dopiero zacząłem i trochę skoczyłem na głęboką wodę.

W programie jest wyszukiwarka, przez którą próbuję wpisać kod to SQL'a.

Apostrof na początku służy jako koniec tekstu, który wyszukiwarka wysyła do bazy danych. Bez niego nie mógłbym chyba pisać kodu, bo wszystko, co bym napisał bez niego, znalazłoby się między dwoma apostrofami, których nie jestem w stanie edytować (są narzucone odgórnie w kodzie wyszukiwarki) i wtedy to wszystko by uznało za tekst który szukam.

Po prostu pierwszy apostrof domyka pytanie wyszukiwarki, a komentarz na końcu usuwa niepotrzebny apostrof na końcu programu, który normalnie domykałby ten tekst.

Mam nadzieję, że mnie jakkolwiek zrozumiałeś, bo miałem ogromne problemy, żeby jakkolwiek to w ogóle opisać :/

Masz jakieś pomysły na to, jak mógłbym zmienić wartość w tabeli, poprzez tą wyszukiwarkę? Bo już tracę nadzieję że cokolwiek znajdę...

1 odpowiedź

odpowiedź 6 listopada 2021 przez adrian17 Ekspert (344,860 p.)

W jednym zapytaniu raczej nie będzie tak łatwo je połączyć. A jeśli po prostu zrobisz drugie "zapytanie" po średniku?

W stylu https://security.stackexchange.com/a/95367