¿Cómo exploto "EXEC @sql"?

Question

Mi compañero de trabajo no está seguro con su código y permite que un usuario cargue un archivo SQL para que se ejecute en el servidor. Se quita cualquier palabra clave en el archivo como "EXEC", "DROP", "UPDATE", "INSERT", "TRUNC"

Quiero mostrarle el error de sus caminos explotando su EXEC (@sql)

Mi primer intento será con 'EXEXECEC (N''SELECT ''You DRDROPOPped the ball Bob!'')'

pero podría filtrar eso todo en un bucle.

¿Hay alguna manera de explotar el código de mi compañero de trabajo? ¿O está filtrando las palabras clave lo suficiente?

Editar: Tengo que verifique en su código. Si el código contiene una palabra clave, no la ejecuta. Todavía estoy tratando de descubrir cómo explotar esto usando la conversión binaria.

Answer 1

1. Dile a tu compañero de trabajo que es un idiota.

2. Hacer una obfuscated SQL query, algo así como:

   select @sql = 0x44524f5020426f627350616e7473

Esto tendrá algunos ajustes en función de lo que el resto del código es similar, pero la idea es codificar su código en hexadecimal y ejecutarlo (o más bien, dejar que se ejecute). Hay otras maneras de ofuscar el código que se inyectará.

Tienes un gran agujero de seguridad allí. Y lo gracioso es que esto ni siquiera es algo que deba reinventarse. La forma correcta de evitar que sucedan tales cosas es crear y usar una cuenta con los permisos correctos (por ejemplo: solo puede realizar consultas select en las tablas x, yyz).

Answer 2

Tenga una mirada en ASCII Encoded/Binary attacks ...

debe convencer a su amigo que está condenado ..;)

Y aquí un poco de ayuda sobre cómo codificar las cadenas ..
Converting a String to HEX in SQL