SQL-Injection в Telegram

Qx-bit · 02.12.2020

Всем привет, сделал на днях шоп из того что нашёл(Скрипт готового шопа + немного своих плюшек в коде), запустил всё.
Чуть позже нашёл людей, чтобы протестировать и оценить работу шопа, но среди них нашёлся чел который смог без лишней шелухи смог изменить свой баланс(Изменить значение в mysql), сказал что посредством SQL-Inject`a.

Вопрос, как это возможно и как от этого защитится?

P.s
Логи до этого случая не вёл, и в Гугле ничего не нашёл.

Qx-bit · 02.12.2020

Разобрался сам, не актуально.

Wyles · 02.12.2020

Рассказывай тогда уж, в чём трабла была?

zumez · 03.12.2020

Да, расскажи. Как фиксанул?

blackdoubleway · 03.12.2020

Да наверное вывод отрицательного баланса был

LeProfesso · 03.12.2020

Qx-bit написал(а):
Всем привет, сделал на днях шоп из того что нашёл(Скрипт готового шопа + немного своих плюшек в коде), запустил всё.
Чуть позже нашёл людей, чтобы протестировать и оценить работу шопа, но среди них нашёлся чел который смог без лишней шелухи смог изменить свой баланс(Изменить значение в mysql), сказал что посредством SQL-Inject`a.

Вопрос, как это возможно и как от этого защитится?

P.s
Логи до этого случая не вёл, и в Гугле ничего не нашёл.

Рассказывай, а то некрасиво получается!

Qx-bit · 12.12.2020

Заранее извините за ожидание, делаю свой форум(тут вроде запрещенна реклама сторонних проектов, поэтому промолчу) :)
Ближе к делу.
Ошибка была в обработке команды start через url, это место в коде было единственным откуда можно было сделать запрос в БД, так как БД была расчерчена, то запрос выглядел так, в браузере открываем ссылку

Для эксплуатации необходимо 2 аккаунта tg, на первом узнаём свой id, а со второго отправляем запрос

https://t.me/hacknet_shop_bot?start=update users set balance = "Какой-хочешь баланс" where user_id = "Ебаный id"

Вместо hacknet_shop_bot вставляем имя другого шопа
И чекаем баланс, должен вырасти.
Вот *улучшенная* версия кода(Прошу не пинать, было сделано за 15 минут)

Python:

@bot.message_handler(commands=['start'])
    def handler_start(message):
        chat_id = message.chat.id
        msg = message.text
        try:
            if message.text == '/start':
                log_msg(f"[{message.from_user.username}] >>> {message.text}")
                func.first_join(user_id=chat_id, name=message.from_user.username, code=message.text[6:])

                bot.send_message(chat_id,
                                 'Добро пожаловать {}, user id - {}'.format(message.from_user.first_name,
                                                                    chat_id,),
                                 reply_markup=menu.main_menu)
            else:
                int(msg[7:15])
                if len(msg) > 18:
                    int("Error")
                log_msg(f"[{message.from_user.username}] >>> {message.text}")
                func.first_join(user_id=chat_id, name=message.from_user.username, code=message.text[6:])

                bot.send_message(chat_id,
                                 'Добро пожаловать {}, user id - {}'.format(message.from_user.first_name,
                                                                        chat_id,),
                                 reply_markup=menu.main_menu)
        except(ValueError):
            log_msg(f"[{message.from_user.username}] Anti-SQL INJECTION Message >>> {message.text}")
            bot.send_message(chat_id,
                             'Привет, спасибо за наводку на дыру @nom0st\nДля запуска напиши /start')

Qx-bit · 12.12.2020

blackdoubleway написал(а):
Да наверное вывод отрицательного баланса был

Этот шоп был с односторонним движением денег)

Kapa · 12.12.2020

Qx-bit написал(а):
Заранее извините за ожидание, делаю свой форум(тут вроде запрещенна реклама сторонних проектов, поэтому промолчу) :)
Ближе к делу.
Ошибка была в обработке команды start через url, это место в коде было единственным откуда можно было сделать запрос в БД, так как БД была расчерчена, то запрос выглядел так, в браузере открываем ссылку

Для эксплуатации необходимо 2 аккаунта tg, на первом узнаём свой id, а со второго отправляем запрос

https://t.me/hacknet_shop_bot?start=update users set balance = "Какой-хочешь баланс" where user_id = "Ебаный id"
Вместо hacknet_shop_bot вставляем имя другого шопа
И чекаем баланс, должен вырасти.
Вот *улучшенная* версия кода(Прошу не пинать, было сделано за 15 минут)

Python:

@bot.message_handler(commands=['start']) def handler_start(message): chat_id = message.chat.id msg = message.text try: if message.text == '/start': log_msg(f"[{message.from_user.username}] >>> {message.text}") func.first_join(user_id=chat_id, name=message.from_user.username, code=message.text[6:]) bot.send_message(chat_id, 'Добро пожаловать {}, user id - {}'.format(message.from_user.first_name, chat_id,), reply_markup=menu.main_menu) else: int(msg[7:15]) if len(msg) > 18: int("Error") log_msg(f"[{message.from_user.username}] >>> {message.text}") func.first_join(user_id=chat_id, name=message.from_user.username, code=message.text[6:]) bot.send_message(chat_id, 'Добро пожаловать {}, user id - {}'.format(message.from_user.first_name, chat_id,), reply_markup=menu.main_menu) except(ValueError): log_msg(f"[{message.from_user.username}] Anti-SQL INJECTION Message >>> {message.text}") bot.send_message(chat_id, 'Привет, спасибо за наводку на дыру @nom0st\nДля запуска напиши /start')

А айди то как узнать ?

Qx-bit · 12.12.2020

Kapa написал(а):
А айди то как узнать ?

ID можно узнать в разделе "Профиль"
Вот по этому для эксплуатации дыры надо 2 акка tg