SQL Injection
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
'n SQL-inspuiting is 'n sekuriteitsfout wat aanvallers toelaat om in te gryp in databasisnavrae van 'n toepassing. Hierdie kwesbaarheid kan aanvallers in staat stel om te sien, te wysig, of te verwyder data waartoe hulle nie toegang behoort te hê nie, insluitend inligting van ander gebruikers of enige data wat die toepassing kan toegang. Sulke aksies kan lei tot permanente veranderinge aan die toepassing se funksionaliteit of inhoud of selfs kompromittering van die bediener of ontkenning van diens.
Wanneer 'n webwerf blyk te wees kwesbaar vir SQL-inspuiting (SQLi) as gevolg van ongewone bedienerreaksies op SQLi-verwante insette, is die eerste stap om te verstaan hoe om data in die navraag in te spuit sonder om dit te ontwrig. Dit vereis om die metode te identifiseer om doeltreffend uit die huidige konteks te ontsnap. Hierdie is 'n paar nuttige voorbeelde:
Dan moet jy weet hoe om die query reg te maak sodat daar nie foute is nie. Om die query reg te maak, kan jy data invoer sodat die vorige query die nuwe data aanvaar, of jy kan net jou data invoer en 'n kommentaar simbool aan die einde voeg.
Let daarop dat as jy foutboodskappe kan sien of jy kan verskille opmerk wanneer 'n query werk en wanneer dit nie werk nie, sal hierdie fase makliker wees.
'n Betroubare metode om 'n SQL-inspuitingskwesbaarheid te bevestig, behels die uitvoering van 'n logiese operasie en die waarneming van die verwagte uitkomste. Byvoorbeeld, 'n GET-parameter soos ?username=Peter
wat identiese inhoud lewer wanneer dit verander word na ?username=Peter' or '1'='1
, dui op 'n SQL-inspuitingskwesbaarheid.
Net so dien die toepassing van wiskundige operasies as 'n effektiewe bevestigingstegniek. Byvoorbeeld, as toegang tot ?id=1
en ?id=2-1
dieselfde resultaat lewer, is dit 'n aanduiding van SQL-inspuiting.
Voorbeelde wat logiese operasiebevestiging demonstreer:
Hierdie woordlys is geskep om te probeer om SQLinjections op die voorgestelde manier te bevestig:
In sommige gevalle sal jy geen verandering opgemerk op die bladsy wat jy toets nie. Daarom is 'n goeie manier om blinde SQL injections te ontdek om die DB aksies te laat uitvoer wat 'n invloed op die tyd sal hê wat die bladsy benodig om te laai. Daarom gaan ons in die SQL-navraag 'n operasie byvoeg wat baie tyd sal neem om te voltooi:
In sommige gevalle sal die slaap funksies nie toegelaat word nie. Dan, in plaas daarvan om daardie funksies te gebruik, kan jy die navraag kompleks operasies laat uitvoer wat verskeie sekondes sal neem. Voorbeelde van hierdie tegnieke sal apart op elke tegnologie kommentaar lewer (indien enige).
Die beste manier om die agtergrond te identifiseer, is om te probeer om funksies van die verskillende agtergronde uit te voer. Jy kan die slaap funksies van die vorige afdeling of hierdie gebruik (tabel van payloadsallthethings:
Ook, as jy toegang het tot die uitvoer van die navraag, kan jy dit druk die weergawe van die databasis.
In 'n voortsetting gaan ons verskillende metodes bespreek om verskillende soorte SQL-inspuitings te ontgin. Ons sal MySQL as voorbeeld gebruik.
As jy die uitvoer van die navraag kan sien, is dit die beste manier om dit te ontgin. Eerstens moet ons uitvind wat die aantal kolomme is wat die aanvanklike versoek teruggee. Dit is omdat albei navrae dieselfde aantal kolomme moet teruggee. Twee metodes word tipies vir hierdie doel gebruik:
Om die aantal kolomme in 'n navraag te bepaal, pas die getal wat in ORDER BY of GROUP BY klousules gebruik word, geleidelik aan totdat 'n vals antwoord ontvang word. Ten spyte van die verskillende funksies van GROUP BY en ORDER BY binne SQL, kan albei identies gebruik word om die kolomtelling van die navraag te bepaal.
Kies meer en meer null waardes totdat die navraag korrek is:
Jy moet null
waardes gebruik soos in sommige gevalle die tipe van die kolomme aan beide kante van die navraag dieselfde moet wees en null is geldig in elke geval.
In die volgende voorbeelde gaan ons die naam van al die databasisse, die tabelnaam van 'n databasis, die kolomnamen van die tabel onttrek:
Daar is 'n ander manier om hierdie data op elke verskillende databasis te ontdek, maar dit is altyd dieselfde metodologie.
Wanneer die uitvoer van 'n navraag sigbaar is, maar 'n union-gebaseerde inspuiting onbereikbaar blyk te wees, dui dit op die teenwoordigheid van 'n verborgene union-gebaseerde inspuiting. Hierdie scenario lei dikwels tot 'n blinde inspuitingsituasie. Om 'n blinde inspuiting in 'n union-gebaseerde een te transformeer, moet die uitvoeringsnavraag op die agterkant verstaan word.
Dit kan bereik word deur die gebruik van blinde inspuitingstegnieke saam met die standaard tabelle wat spesifiek is vir jou teiken Databasisbestuurstelsel (DBMS). Om hierdie standaard tabelle te verstaan, word dit aanbeveel om die dokumentasie van die teiken DBMS te raadpleeg.
Sodra die navraag onttrek is, is dit nodig om jou payload aan te pas om die oorspronklike navraag veilig te sluit. Vervolgens word 'n union-navraag by jou payload gevoeg, wat die uitbuiting van die nuut toeganklike union-gebaseerde inspuiting fasiliteer.
Vir meer omvattende insigte, verwys na die volledige artikel beskikbaar by Healing Blind Injections.
As jy om een of ander rede nie die uitvoer van die navraag kan sien nie, maar jy kan die foutboodskappe sien, kan jy hierdie foutboodskappe gebruik om data uit die databasis te ex-filtrate. Volg 'n soortgelyke vloei soos in die Union Based uitbuiting, kan jy daarin slaag om die DB te dump.
In hierdie geval kan jy nie die resultate van die navraag of die foute sien nie, maar jy kan onderskei wanneer die navraag teruggee 'n ware of 'n valse antwoord omdat daar verskillende inhoud op die bladsy is. In hierdie geval kan jy daardie gedrag misbruik om die databasis karakter vir karakter te dump:
Dit is die selfde geval as voorheen maar in plaas daarvan om tussen 'n waar/onwaar antwoord van die navraag te onderskei, kan jy onderskei tussen 'n fout in die SQL-navraag of nie (miskien omdat die HTTP-bediener ineenstort). Daarom kan jy in hierdie geval 'n SQL-fout afdwing elke keer wanneer jy die karakter korrek raai:
In hierdie geval is daar nie enige manier om die antwoord van die navraag te onderskei op grond van die konteks van die bladsy nie. Maar, jy kan die bladsy langer neem om te laai as die geraamde karakter korrek is. Ons het hierdie tegniek al voorheen gesien in orde om 'n SQLi kwesbaarheid te bevestig.
Jy kan gestapelde vrae gebruik om meerdere vrae agtereenvolgens uit te voer. Let daarop dat terwyl die daaropvolgende vrae uitgevoer word, die resultate nie aan die toepassing teruggestuur word nie. Daarom is hierdie tegniek hoofsaaklik nuttig in verband met blindes kwesbaarhede waar jy 'n tweede vraag kan gebruik om 'n DNS-opsoek, voorwaardelike fout of tydsvertraging te aktiveer.
Oracle ondersteun nie gestapelde vrae nie. MySQL, Microsoft en PostgreSQL ondersteun dit: QUERY-1-HERE; QUERY-2-HERE
As geen ander eksploitasiemetode gewerk het nie, kan jy probeer om die databasis die inligting na 'n eksterne gasheer wat deur jou beheer word, te laat uitvloe. Byvoorbeeld, via DNS-vrae:
Kyk na die SQLMap Cheatsheet om 'n SQLi kwesbaarheid met sqlmap te exploiteer.
Ons het reeds al die maniere bespreek om 'n SQL Injection kwesbaarheid te exploiteer. Vind nog 'n paar truuks wat afhanklik is van databastegnologie in hierdie boek:
Of jy sal baie truuks vind rakende: MySQL, PostgreSQL, Oracle, MSSQL, SQLite en HQL in https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/SQL%20Injection
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
Lys om te probeer om die aanmeldfunksionaliteit te omseil:
Login bypass ListHierdie navraag demonstreer 'n kwesbaarheid wanneer MD5 met waar vir rou uitvoer in outentikasie kontroles gebruik word, wat die stelsel vatbaar maak vir SQL-inspuiting. Aanvallers kan dit benut deur insette te skep wat, wanneer gehas, onverwagte SQL-opdragdele produseer, wat lei tot ongeoorloofde toegang.
Aanbevole lys:
Jy moet elke lyn van die lys as gebruikersnaam gebruik en as wagwoord altyd: Pass1234. (Hierdie payloads is ook ingesluit in die groot lys wat aan die begin van hierdie afdeling genoem word)
IF ' word geskaap kan jy %A8%27 gebruik, en wanneer ' geskaap word sal dit geskep word: 0xA80x5c0x27 (╘')
Python-skrip:
Om dit te doen, moet jy probeer om 'n nuwe objek te skep met die naam "master object" (waarskynlik admin in die geval van gebruikers) deur iets te wysig:
Skep gebruiker met naam: AdMIn (hoofletters & kleinletters)
Skep 'n gebruiker met naam: admin=
SQL Truncation Attack (wanneer daar 'n soort lengte beperking in die gebruikersnaam of e-pos is) --> Skep gebruiker met naam: admin [baie spasie] a
As die databasis kwesbaar is en die maksimum aantal karakters vir gebruikersnaam byvoorbeeld 30 is en jy wil die gebruiker admin naboots, probeer om 'n gebruikersnaam te skep genaamd: "admin [30 spasies] a" en enige wagwoord.
Die databasis sal kontroleer of die ingevoerde gebruikersnaam bestaande is in die databasis. As nie, sal dit die gebruikersnaam afkap tot die maksimum toegelate aantal karakters (in hierdie geval tot: "admin [25 spasies]") en dan sal dit automaties al die spasies aan die einde verwyder terwyl dit die gebruiker "admin" met die nuwe wagwoord in die databasis opdateer (sommige foute kan verskyn, maar dit beteken nie dat dit nie gewerk het nie).
Meer inligting: https://blog.lucideus.com/2018/03/sql-truncation-attack-2018-lucideus.html & https://resources.infosecinstitute.com/sql-truncation-attack/#gref
Note: Hierdie aanval sal nie meer werk soos hierbo beskryf in die nuutste MySQL-installasies nie. Terwyl vergelykings steeds agtergrondspasies standaard ignoreer, sal die poging om 'n string in te voeg wat langer is as die lengte van 'n veld 'n fout tot gevolg hê, en die invoeging sal misluk. Vir meer inligting oor hierdie kontrole: https://heinosass.gitbook.io/leet-sheet/web-app-hacking/exploitation/interesting-outdated-attacks/sql-truncation
Voeg soveel ','',''
by as wat jy oorweeg om die VALUES-stelling te verlaat. As daar 'n vertraging is, het jy 'n SQLInjection.
Die ON DUPLICATE KEY UPDATE
klousule in MySQL word gebruik om aksies vir die databasis spesifiek aan te dui wanneer 'n poging aangewend word om 'n ry in te voeg wat 'n duplikaatwaarde in 'n UNIEKE indeks of PRIMÊRE SLUITING sou veroorsaak. Die volgende voorbeeld demonstreer hoe hierdie kenmerk uitgebuit kan word om die wagwoord van 'n administrateurrekening te wysig:
Example Payload Injection:
'n Invoegpayload kan soos volg saamgestel word, waar twee rye probeer word om in die users
tabel ingevoeg te word. Die eerste ry is 'n lokval, en die tweede ry teiken 'n bestaande administrateur se e-pos met die bedoeling om die wagwoord op te dateer:
Hier is hoe dit werk:
Die navraag probeer om twee rye in te voeg: een vir generic_user@example.com
en 'n ander vir admin_generic@example.com
.
As die ry vir admin_generic@example.com
reeds bestaan, word die ON DUPLICATE KEY UPDATE
klousule geaktiveer, wat MySQL instrueer om die password
veld van die bestaande ry op "bcrypt_hash_of_newpassword" te werk.
Gevolglik kan verifikasie dan probeer word met admin_generic@example.com
met die wagwoord wat ooreenstem met die bcrypt-hash ("bcrypt_hash_of_newpassword" verteenwoordig die nuwe wagwoord se bcrypt-hash, wat vervang moet word met die werklike hash van die gewenste wagwoord).
Wanneer daar probeer word om 'n nuwe gebruiker en gebruikersnaam te skep, is wagwoord en e-pos nodig:
Met hierdie tegniek kan jy inligting onttrek deur slegs 1 rekening te skep. Dit is belangrik om te noem dat jy nie enige kommentaar hoef te lewer nie.
Gebruik hex2dec en substr:
Om die teks te verkry kan jy gebruik:
Gebruik hex en replace (en substr):
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
Routed SQL-inspuiting is 'n situasie waar die inspuitbare navraag nie die een is wat uitvoer gee nie, maar die uitvoer van die inspuitbare navraag gaan na die navraag wat uitvoer gee. (From Paper)
Voorbeeld:
Geen Spasie (%20) - omseiling met behulp van witruimte-alternatiewe
Geen Spasië - omseil met behulp van kommentaar
Geen Spasië - omseil met behulp van haakies
Geen Komma - omseiling met OFFSET, FROM en JOIN
Swartlys met sleutelwoorde - omseil met hoofletters/kleinletters
Blacklist gebruik sleutelwoorde nie-hoofletters sensitief - omseil met 'n ekwivalente operator
Jy kan 'n meer gedetailleerde verduideliking van hierdie truuk in die gosecure blog vind. Basies kan jy die wetenskaplike notasie op onverwagte maniere gebruik om die WAF te omseil:
Eerstens, let op dat as die oorspronklike navraag en die tabel waaruit jy die vlag wil onttrek dieselfde aantal kolomme het, jy net kan doen: 0 UNION SELECT * FROM flag
Dit is moontlik om toegang te verkry tot die derde kolom van 'n tabel sonder om sy naam te gebruik met 'n navraag soos die volgende: SELECT F.3 FROM (SELECT 1, 2, 3 UNION SELECT * FROM demo)F;
, so in 'n sqlinjection sal dit lyk soos:
Of deur 'n komma omseiling te gebruik:
This trick was taken from https://secgroup.github.io/2017/01/03/33c3ctf-writeup-shia/
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)