SQL Injection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en todas las disciplinas.
Una inyección SQL es una falla de seguridad que permite a los atacantes interferir con las consultas de la base de datos de una aplicación. Esta vulnerabilidad puede permitir a los atacantes ver, modificar o eliminar datos a los que no deberían tener acceso, incluyendo información de otros usuarios o cualquier dato al que la aplicación pueda acceder. Tales acciones pueden resultar en cambios permanentes en la funcionalidad o contenido de la aplicación o incluso en la compromisión del servidor o denegación de servicio.
Cuando un sitio parece ser vulnerable a la inyección SQL (SQLi) debido a respuestas inusuales del servidor a entradas relacionadas con SQLi, el primer paso es entender cómo inyectar datos en la consulta sin interrumpirla. Esto requiere identificar el método para escapar del contexto actual de manera efectiva. Estos son algunos ejemplos útiles:
Entonces, necesitas saber cómo arreglar la consulta para que no haya errores. Para arreglar la consulta, puedes ingresar datos para que la consulta anterior acepte los nuevos datos, o simplemente puedes ingresar tus datos y agregar un símbolo de comentario al final.
Ten en cuenta que si puedes ver mensajes de error o puedes notar diferencias cuando una consulta está funcionando y cuando no, esta fase será más fácil.
Un método confiable para confirmar una vulnerabilidad de inyección SQL implica ejecutar una operación lógica y observar los resultados esperados. Por ejemplo, un parámetro GET como ?username=Peter
que produce contenido idéntico cuando se modifica a ?username=Peter' o '1'='1
indica una vulnerabilidad de inyección SQL.
De manera similar, la aplicación de operaciones matemáticas sirve como una técnica de confirmación efectiva. Por ejemplo, si acceder a ?id=1
y ?id=2-1
produce el mismo resultado, es indicativo de inyección SQL.
Ejemplos que demuestran la confirmación de operaciones lógicas:
Esta lista de palabras fue creada para intentar confirmar SQLinjections de la manera propuesta:
En algunos casos no notarás ningún cambio en la página que estás probando. Por lo tanto, una buena manera de descubrir inyecciones SQL ciegas es hacer que la base de datos realice acciones que tendrán un impacto en el tiempo que necesita la página para cargar. Por lo tanto, vamos a concatenar en la consulta SQL una operación que tomará mucho tiempo en completarse:
En algunos casos, las funciones de sleep no estarán permitidas. Entonces, en lugar de usar esas funciones, podrías hacer que la consulta realice operaciones complejas que tomarán varios segundos. Ejemplos de estas técnicas se comentarán por separado en cada tecnología (si las hay).
La mejor manera de identificar el back-end es intentar ejecutar funciones de los diferentes back-ends. Podrías usar las funciones de sleep de la sección anterior o estas (tabla de payloadsallthethings:
También, si tienes acceso a la salida de la consulta, podrías hacer que imprima la versión de la base de datos.
En una continuación, vamos a discutir diferentes métodos para explotar diferentes tipos de SQL Injection. Usaremos MySQL como ejemplo.
Si puedes ver la salida de la consulta, esta es la mejor manera de explotarla. Primero que nada, necesitamos averiguar el número de columnas que la solicitud inicial está devolviendo. Esto se debe a que ambas consultas deben devolver el mismo número de columnas. Se utilizan típicamente dos métodos para este propósito:
Para determinar el número de columnas en una consulta, ajusta incrementalmente el número utilizado en las cláusulas ORDER BY o GROUP BY hasta que se reciba una respuesta falsa. A pesar de las distintas funcionalidades de GROUP BY y ORDER BY dentro de SQL, ambos pueden ser utilizados de manera idéntica para determinar el conteo de columnas de la consulta.
Selecciona más y más valores nulos hasta que la consulta sea correcta:
Deberías usar valores null
ya que en algunos casos el tipo de las columnas de ambos lados de la consulta debe ser el mismo y null es válido en todos los casos.
En los siguientes ejemplos vamos a recuperar el nombre de todas las bases de datos, el nombre de la tabla de una base de datos, los nombres de las columnas de la tabla:
Hay una forma diferente de descubrir estos datos en cada base de datos diferente, pero siempre es la misma metodología.
Cuando la salida de una consulta es visible, pero una inyección basada en unión parece inalcanzable, esto significa la presencia de una inyección basada en unión oculta. Este escenario a menudo conduce a una situación de inyección ciega. Para transformar una inyección ciega en una basada en unión, es necesario discernir la consulta de ejecución en el backend.
Esto se puede lograr mediante el uso de técnicas de inyección ciega junto con las tablas predeterminadas específicas de su Sistema de Gestión de Bases de Datos (DBMS) objetivo. Para entender estas tablas predeterminadas, se aconseja consultar la documentación del DBMS objetivo.
Una vez que se ha extraído la consulta, es necesario adaptar su carga útil para cerrar de manera segura la consulta original. Posteriormente, se añade una consulta de unión a su carga útil, facilitando la explotación de la nueva inyección basada en unión accesible.
Para obtener información más completa, consulte el artículo completo disponible en Healing Blind Injections.
Si por alguna razón no puede ver la salida de la consulta pero puede ver los mensajes de error, puede hacer que estos mensajes de error exfiltren datos de la base de datos. Siguiendo un flujo similar al de la explotación basada en unión, podría lograr volcar la base de datos.
En este caso, no puedes ver los resultados de la consulta ni los errores, pero puedes distinguir cuando la consulta devuelve una respuesta verdadera o falsa porque hay diferentes contenidos en la página. En este caso, puedes abusar de ese comportamiento para volcar la base de datos carácter por carácter:
Este es el mismo caso que antes pero en lugar de distinguir entre una respuesta verdadera/falsa de la consulta, puedes distinguir entre un error en la consulta SQL o no (quizás porque el servidor HTTP se bloquea). Por lo tanto, en este caso puedes forzar un SQLerror cada vez que adivinas correctamente el carácter:
En este caso no hay ninguna manera de distinguir la respuesta de la consulta basada en el contexto de la página. Pero, puedes hacer que la página tarde más en cargar si el carácter adivinado es correcto. Ya hemos visto esta técnica en uso anteriormente para confirmar una vulnerabilidad SQLi.
Puedes usar consultas apiladas para ejecutar múltiples consultas en sucesión. Ten en cuenta que, aunque las consultas posteriores se ejecutan, los resultados no se devuelven a la aplicación. Por lo tanto, esta técnica es principalmente útil en relación con vulnerabilidades ciegas donde puedes usar una segunda consulta para activar una búsqueda DNS, un error condicional o un retraso de tiempo.
Oracle no soporta consultas apiladas. MySQL, Microsoft y PostgreSQL las soportan: QUERY-1-HERE; QUERY-2-HERE
Si ningún otro método de explotación funcionó, puedes intentar hacer que la base de datos exfiltre la información a un host externo controlado por ti. Por ejemplo, a través de consultas DNS:
Consulta la Hoja de trucos de SQLMap para explotar una vulnerabilidad de SQLi con sqlmap.
Ya hemos discutido todas las formas de explotar una vulnerabilidad de Inyección SQL. Encuentra algunos trucos más dependientes de la tecnología de base de datos en este libro:
O encontrarás muchos trucos sobre: MySQL, PostgreSQL, Oracle, MSSQL, SQLite y HQL en https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/SQL%20Injection
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Lista para intentar eludir la funcionalidad de inicio de sesión:
Login bypass ListEsta consulta muestra una vulnerabilidad cuando se utiliza MD5 con verdadero para la salida en bruto en las verificaciones de autenticación, lo que hace que el sistema sea susceptible a la inyección SQL. Los atacantes pueden explotar esto creando entradas que, cuando se hash, producen partes inesperadas de comandos SQL, lo que lleva a un acceso no autorizado.
Lista recomendada:
Deberías usar como nombre de usuario cada línea de la lista y como contraseña siempre: Pass1234. (Estos payloads también están incluidos en la gran lista mencionada al principio de esta sección)
SI ' está siendo escapado puedes usar %A8%27, y cuando ' se escapa se creará: 0xA80x5c0x27 (╘')
Python script:
Para hacerlo, debes intentar crear un nuevo objeto llamado como el "objeto maestro" (probablemente admin en el caso de usuarios) modificando algo:
Crear un usuario llamado: AdMIn (letras mayúsculas y minúsculas)
Crear un usuario llamado: admin=
SQL Truncation Attack (cuando hay algún tipo de límite de longitud en el nombre de usuario o correo electrónico) --> Crear un usuario con el nombre: admin [muchos espacios] a
Si la base de datos es vulnerable y el número máximo de caracteres para el nombre de usuario es, por ejemplo, 30 y deseas suplantar al usuario admin, intenta crear un nombre de usuario llamado: "admin [30 espacios] a" y cualquier contraseña.
La base de datos verificará si el nombre de usuario introducido existe dentro de la base de datos. Si no, cortará el nombre de usuario al número máximo permitido de caracteres (en este caso a: "admin [25 espacios]") y luego eliminará automáticamente todos los espacios al final actualizando dentro de la base de datos al usuario "admin" con la nueva contraseña (puede aparecer algún error, pero eso no significa que no haya funcionado).
Más información: https://blog.lucideus.com/2018/03/sql-truncation-attack-2018-lucideus.html & https://resources.infosecinstitute.com/sql-truncation-attack/#gref
Note: Este ataque ya no funcionará como se describe arriba en las últimas instalaciones de MySQL. Si bien las comparaciones aún ignoran los espacios en blanco al final por defecto, intentar insertar una cadena que sea más larga que la longitud de un campo resultará en un error, y la inserción fallará. Para más información sobre esta verificación: https://heinosass.gitbook.io/leet-sheet/web-app-hacking/exploitation/interesting-outdated-attacks/sql-truncation
Agrega tanto ','',''
como consideres para salir de la declaración VALUES. Si se ejecuta un retraso, tienes una SQLInjection.
La cláusula ON DUPLICATE KEY UPDATE
en MySQL se utiliza para especificar acciones que la base de datos debe tomar cuando se intenta insertar una fila que resultaría en un valor duplicado en un índice UNIQUE o en la PRIMARY KEY. El siguiente ejemplo demuestra cómo se puede explotar esta característica para modificar la contraseña de una cuenta de administrador:
Ejemplo de Inyección de Payload:
Un payload de inyección podría ser elaborado de la siguiente manera, donde se intenta insertar dos filas en la tabla users
. La primera fila es un señuelo, y la segunda fila apunta al correo electrónico de un administrador existente con la intención de actualizar la contraseña:
Aquí está cómo funciona:
La consulta intenta insertar dos filas: una para generic_user@example.com
y otra para admin_generic@example.com
.
Si la fila para admin_generic@example.com
ya existe, la cláusula ON DUPLICATE KEY UPDATE
se activa, instruyendo a MySQL para actualizar el campo password
de la fila existente a "bcrypt_hash_of_newpassword".
En consecuencia, se puede intentar la autenticación utilizando admin_generic@example.com
con la contraseña correspondiente al hash bcrypt ("bcrypt_hash_of_newpassword" representa el hash bcrypt de la nueva contraseña, que debe ser reemplazado por el hash real de la contraseña deseada).
Al intentar crear un nuevo usuario, se necesitan el nombre de usuario, la contraseña y el correo electrónico:
Con esta técnica puedes extraer información creando solo 1 cuenta. Es importante notar que no necesitas comentar nada.
Usando hex2dec y substr:
Para obtener el texto, puedes usar:
Usando hex y replace (y substr):
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
La inyección SQL enrutada es una situación donde la consulta inyectable no es la que da salida, sino que la salida de la consulta inyectable va a la consulta que da salida. (From Paper)
Ejemplo:
No Space (%20) - bypass utilizando alternativas de espacio en blanco
No Whitespace - eludir usando comentarios
No Whitespace - eludir usando paréntesis
No Comma - eludir usando OFFSET, FROM y JOIN
Lista negra usando palabras clave - eludir usando mayúsculas/minúsculas
Blacklist usando palabras clave sin distinción de mayúsculas y minúsculas - eludir usando un operador equivalente
Puedes encontrar una explicación más detallada de este truco en el blog de gosecure. Básicamente, puedes usar la notación científica de maneras inesperadas para el WAF para eludirlo:
Primero que nada, ten en cuenta que si la consulta original y la tabla de la que deseas extraer la bandera tienen la misma cantidad de columnas puedes simplemente hacer: 0 UNION SELECT * FROM flag
Es posible acceder a la tercera columna de una tabla sin usar su nombre utilizando una consulta como la siguiente: SELECT F.3 FROM (SELECT 1, 2, 3 UNION SELECT * FROM demo)F;
, así que en una sqlinjection esto se vería así:
O usando un bypass de coma:
Este truco fue tomado de https://secgroup.github.io/2017/01/03/33c3ctf-writeup-shia/
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)