MS Access SQL Injection
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
String-Verkettung ist mit den Zeichen & (%26)
und + (%2b)
möglich.
Es gibt keine Kommentare in MS Access, aber anscheinend ist es möglich, das letzte Zeichen einer Abfrage mit einem NULL-Zeichen zu entfernen:
Wenn dies nicht funktioniert, könnten Sie immer die Syntax der Abfrage korrigieren:
Sie werden nicht unterstützt.
Der LIMIT
Operator ist nicht implementiert. Es ist jedoch möglich, die Ergebnisse von SELECT-Abfragen auf die ersten N Tabellenzeilen mit dem TOP
Operator zu beschränken. TOP
akzeptiert als Argument eine Ganzzahl, die die Anzahl der zurückzugebenden Zeilen darstellt.
Just like TOP you can use LAST
which will get the Zeilen vom Ende.
In einer SQLi möchten Sie normalerweise irgendwie eine neue Abfrage ausführen, um Informationen aus anderen Tabellen zu extrahieren. MS Access erfordert immer, dass in Unterabfragen oder zusätzlichen Abfragen ein FROM
angegeben wird.
Wenn Sie also ein UNION SELECT
oder UNION ALL SELECT
oder ein SELECT
in Klammern in einer Bedingung ausführen möchten, müssen Sie immer ein FROM
mit einem gültigen Tabellennamen angeben.
Daher müssen Sie einen gültigen Tabellennamen kennen.
Dies ermöglicht es Ihnen, Werte der aktuellen Tabelle zu exfiltrieren, ohne den Namen der Tabelle zu kennen.
MS Access erlaubt seltsame Syntax wie '1'=2='3'='asd'=false
. Wie üblich wird die SQL-Injection innerhalb einer WHERE
-Klausel sein, die wir ausnutzen können.
Stellen Sie sich vor, Sie haben eine SQLi in einer MS Access-Datenbank und Sie wissen (oder haben geraten), dass ein Spaltenname username ist, und das ist das Feld, das Sie exfiltrieren möchten. Sie könnten die verschiedenen Antworten der Webanwendung überprüfen, wenn die Chaining Equals-Technik verwendet wird, und möglicherweise Inhalte mit einer boolean injection exfiltrieren, indem Sie die Mid
-Funktion verwenden, um Teilstrings zu erhalten.
Wenn Sie den Namen der Tabelle und Spalte kennen, die Sie dumpen möchten, können Sie eine Kombination aus Mid
, LAST
und TOP
verwenden, um alle Informationen über boolean SQLi zu leaken:
Fühlen Sie sich frei, dies im Online-Spielplatz zu überprüfen.
Mit der Chaining Equals-Technik können Sie auch Tabellennamen bruteforcen mit etwas wie:
Sie können auch eine traditionellere Methode verwenden:
Fühlen Sie sich frei, dies im Online-Spielplatz zu überprüfen.
Sqlmap häufige Tabellennamen: https://github.com/sqlmapproject/sqlmap/blob/master/data/txt/common-tables.txt
Es gibt eine weitere Liste unter http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html
Sie können aktuelle Spaltennamen brute-forcen mit dem Ketten-Equals-Trick mit:
Oder mit einem group by:
Oder Sie können die Spaltennamen einer anderen Tabelle mit folgendem Befehl brute-forcen:
Wir haben bereits die chaining equals technique besprochen, um Daten aus der aktuellen und anderen Tabellen zu dumpen. Aber es gibt auch andere Möglichkeiten:
In Kürze verwendet die Abfrage eine "if-then"-Anweisung, um im Erfolgsfall einen "200 OK" oder andernfalls einen "500 Internal Error" auszulösen. Durch die Nutzung des TOP 10-Operators ist es möglich, die ersten zehn Ergebnisse auszuwählen. Die anschließende Verwendung von LAST ermöglicht es, nur das 10. Tupel zu betrachten. Mit diesem Wert kann man unter Verwendung des MID-Operators einen einfachen Zeichenvergleich durchführen. Durch das ordnungsgemäße Ändern des Index von MID und TOP können wir den Inhalt des Feldes "username" für alle Zeilen dumpen.
Überprüfen Sie https://docs.microsoft.com/en-us/previous-versions/tn-archive/cc512676(v=technet.10)?redirectedfrom=MSDN
Mid('admin',1,1)
erhält Teilzeichenfolge von Position 1 Länge 1 (Startposition ist 1)
LEN('1234')
erhält die Länge der Zeichenfolge
ASC('A')
erhält den ASCII-Wert des Zeichens
CHR(65)
erhält die Zeichenfolge aus dem ASCII-Wert
IIF(1=1,'a','b')
wenn dann
COUNT(*)
Zählt die Anzahl der Elemente
Von hier können Sie eine Abfrage sehen, um Tabellennamen zu erhalten:
However, note that is very typical to find SQL Injections where you keinen Zugriff auf die Tabelle MSysObjects
haben.
The knowledge of the absoluten Pfad des Web-Root-Verzeichnisses kann weitere Angriffe erleichtern. Wenn Anwendungsfehler nicht vollständig verborgen sind, kann der Verzeichnispfad aufgedeckt werden, indem versucht wird, Daten aus einer nicht existierenden Datenbank auszuwählen.
http://localhost/script.asp?id=1'+'+UNION+SELECT+1+FROM+FakeDB.FakeTable%00
MS Access antwortet mit einer Fehlermeldung, die den vollständigen Pfad des Web-Verzeichnisses enthält.
Der folgende Angriffsvektor kann verwendet werden, um die Existenz einer Datei im Remote-Dateisystem zu erschließen. Wenn die angegebene Datei existiert, löst MS Access eine Fehlermeldung aus, die informiert, dass das Datenbankformat ungültig ist:
http://localhost/script.asp?id=1'+UNION+SELECT+name+FROM+msysobjects+IN+'\boot.ini'%00
Eine andere Möglichkeit, Dateien aufzulisten, besteht darin, ein Datenbank.tabelle-Element anzugeben. Wenn die angegebene Datei existiert, zeigt MS Access eine Fehlermeldung zum Datenbankformat an.
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+C:\boot.ini.TableName%00
Der Datenbankdateiname (.mdb) kann mit der folgenden Abfrage erschlossen werden:
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+name[i].realTable%00
Wo name[i] ein .mdb-Dateiname und realTable eine existierende Tabelle innerhalb der Datenbank ist. Obwohl MS Access immer eine Fehlermeldung auslöst, ist es möglich, zwischen einem ungültigen Dateinamen und einem gültigen .mdb-Dateinamen zu unterscheiden.
Access PassView ist ein kostenloses Dienstprogramm, das verwendet werden kann, um das Hauptdatenbankpasswort von Microsoft Access 95/97/2000/XP oder Jet Database Engine 3.0/4.0 wiederherzustellen.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)