MS Access SQL Injection
Playground en Línea
Limitaciones de la DB
Concatenación de Cadenas
La concatenación de cadenas es posible con los caracteres & (%26)
y + (%2b)
.
Comentarios
No hay comentarios en MS Access, pero aparentemente es posible eliminar el último de una consulta con un carácter NULL:
Si esto no funciona, siempre podrías corregir la sintaxis de la consulta:
Consultas Apiladas
No son compatibles.
LIMIT
El operador LIMIT
no está implementado. Sin embargo, es posible limitar los resultados de la consulta SELECT a las primeras N filas de la tabla utilizando el operador TOP
. TOP
acepta como argumento un entero, que representa el número de filas que se devolverán.
Justo como TOP, puedes usar LAST
que obtendrá las filas desde el final.
Consultas UNION/Subconsultas
En un SQLi, generalmente querrás ejecutar de alguna manera una nueva consulta para extraer información de otras tablas. MS Access siempre requiere que en subconsultas o consultas adicionales se indique un FROM
.
Así que, si deseas ejecutar un UNION SELECT
o UNION ALL SELECT
o un SELECT
entre paréntesis en una condición, siempre necesitas indicar un FROM
con un nombre de tabla válido.
Por lo tanto, necesitas conocer un nombre de tabla válido.
Chaining equals + Substring
Esto te permitirá exfiltrar valores de la tabla actual sin necesidad de conocer el nombre de la tabla.
MS Access permite sintaxis extraña como '1'=2='3'='asd'=false
. Como suele ser, la inyección SQL estará dentro de una cláusula WHERE
, por lo que podemos abusar de eso.
Imagina que tienes una SQLi en una base de datos de MS Access y sabes (o adivinaste) que un nombre de columna es username, y ese es el campo que quieres exfiltrar. Podrías comprobar las diferentes respuestas de la aplicación web cuando se utiliza la técnica de chaining equals y potencialmente exfiltrar contenido con una inyección booleana usando la función Mid
para obtener subcadenas.
Si conoces el nombre de la tabla y columna para volcar, puedes usar una combinación entre Mid
, LAST
y TOP
para filtrar toda la información a través de SQLi booleano:
Feel free to check this in the online playground.
Fuerza bruta de nombres de tablas
Usando la técnica de encadenamiento de iguales, también puedes fuerza bruta de nombres de tablas con algo como:
También puedes usar una forma más tradicional:
Feel free to check this in the online playground.
Nombres de tablas comunes de Sqlmap: https://github.com/sqlmapproject/sqlmap/blob/master/data/txt/common-tables.txt
Hay otra lista en http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html
Fuerza Bruta de Nombres de Columnas
Puedes forzar los nombres de columnas actuales con el truco de encadenar iguales con:
O con un group by:
O puedes forzar los nombres de columna de una tabla diferente con:
Dumping data
Ya hemos discutido la técnica de encadenamiento de iguales para volcar datos de la tabla actual y otras tablas. Pero hay otras maneras:
En resumen, la consulta utiliza una declaración "if-then" para activar un "200 OK" en caso de éxito o un "500 Internal Error" en caso contrario. Aprovechando el operador TOP 10, es posible seleccionar los primeros diez resultados. El uso posterior de LAST permite considerar solo la décima tupla. Con ese valor, utilizando el operador MID, es posible realizar una simple comparación de caracteres. Al cambiar adecuadamente el índice de MID y TOP, podemos volcar el contenido del campo "username" para todas las filas.
Time Based
Otras funciones interesantes
Mid('admin',1,1)
obtiene la subcadena desde la posición 1 de longitud 1 (la posición inicial es 1)LEN('1234')
obtiene la longitud de la cadenaASC('A')
obtiene el valor ascii del carácterCHR(65)
obtiene la cadena del valor asciiIIF(1=1,'a','b')
si entoncesCOUNT(*)
cuenta el número de elementos
Enumerando tablas
Desde aquí puedes ver una consulta para obtener los nombres de las tablas:
Sin embargo, ten en cuenta que es muy típico encontrar inyecciones SQL donde no tienes acceso para leer la tabla MSysObjects
.
Acceso al sistema de archivos
Ruta completa del directorio raíz web
El conocimiento de la ruta absoluta del directorio raíz web puede facilitar ataques posteriores. Si los errores de la aplicación no están completamente ocultos, se puede descubrir la ruta del directorio intentando seleccionar datos de una base de datos inexistente.
http://localhost/script.asp?id=1'+'+UNION+SELECT+1+FROM+FakeDB.FakeTable%00
MS Access responde con un mensaje de error que contiene la ruta completa del directorio web.
Enumeración de archivos
El siguiente vector de ataque se puede utilizar para inferir la existencia de un archivo en el sistema de archivos remoto. Si el archivo especificado existe, MS Access genera un mensaje de error informando que el formato de la base de datos es inválido:
http://localhost/script.asp?id=1'+UNION+SELECT+name+FROM+msysobjects+IN+'\boot.ini'%00
Otra forma de enumerar archivos consiste en especificar un elemento database.table. Si el archivo especificado existe, MS Access muestra un mensaje de error de formato de base de datos.
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+C:\boot.ini.TableName%00
Adivinanza del nombre del archivo .mdb
El nombre del archivo de base de datos (.mdb) se puede inferir con la siguiente consulta:
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+name[i].realTable%00
Donde name[i] es un nombre de archivo .mdb y realTable es una tabla existente dentro de la base de datos. Aunque MS Access siempre generará un mensaje de error, es posible distinguir entre un nombre de archivo inválido y un nombre de archivo .mdb válido.
Cracker de contraseñas .mdb
Access PassView es una utilidad gratuita que se puede utilizar para recuperar la contraseña principal de la base de datos de Microsoft Access 95/97/2000/XP o Jet Database Engine 3.0/4.0.
Referencias
Last updated