MS Access SQL Injection
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
La concatenación de cadenas es posible con los caracteres & (%26)
y + (%2b)
.
No hay comentarios en MS Access, pero aparentemente es posible eliminar el último de una consulta con un carácter NULL:
Si esto no funciona, siempre podrías corregir la sintaxis de la consulta:
No son compatibles.
El operador LIMIT
no está implementado. Sin embargo, es posible limitar los resultados de la consulta SELECT a las primeras N filas de la tabla utilizando el operador TOP
. TOP
acepta como argumento un entero, que representa el número de filas que se devolverán.
Justo como TOP, puedes usar LAST
que obtendrá las filas desde el final.
En un SQLi, generalmente querrás ejecutar de alguna manera una nueva consulta para extraer información de otras tablas. MS Access siempre requiere que en subconsultas o consultas adicionales se indique un FROM
.
Así que, si deseas ejecutar un UNION SELECT
o UNION ALL SELECT
o un SELECT
entre paréntesis en una condición, siempre necesitas indicar un FROM
con un nombre de tabla válido.
Por lo tanto, necesitas conocer un nombre de tabla válido.
Esto te permitirá exfiltrar valores de la tabla actual sin necesidad de conocer el nombre de la tabla.
MS Access permite sintaxis extraña como '1'=2='3'='asd'=false
. Como suele ser, la inyección SQL estará dentro de una cláusula WHERE
, lo que podemos abusar.
Imagina que tienes una SQLi en una base de datos de MS Access y sabes (o adivinaste) que un nombre de columna es username, y ese es el campo que quieres exfiltrar. Podrías comprobar las diferentes respuestas de la aplicación web cuando se utiliza la técnica de chaining equals y potencialmente exfiltrar contenido con una inyección booleana usando la función Mid
para obtener subcadenas.
Si conoces el nombre de la tabla y columna para volcar, puedes usar una combinación entre Mid
, LAST
y TOP
para filtrar toda la info a través de SQLi booleano:
Feel free to check this in the online playground.
Usando la técnica de encadenamiento de iguales, también puedes fuerza bruta de nombres de tablas con algo como:
También puedes usar una forma más tradicional:
Feel free to check this in the online playground.
Nombres de tablas comunes de Sqlmap: https://github.com/sqlmapproject/sqlmap/blob/master/data/txt/common-tables.txt
Hay otra lista en http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html
Puedes forzar los nombres de columnas actuales con el truco de encadenar iguales con:
O con un group by:
O puedes forzar los nombres de columna de una tabla diferente con:
Ya hemos discutido la técnica de encadenamiento de iguales para volcar datos de la tabla actual y otras tablas. Pero hay otras maneras:
En resumen, la consulta utiliza una declaración "if-then" para activar un "200 OK" en caso de éxito o un "500 Internal Error" en caso contrario. Aprovechando el operador TOP 10, es posible seleccionar los primeros diez resultados. El uso posterior de LAST permite considerar solo la décima tupla. Con ese valor, utilizando el operador MID, es posible realizar una simple comparación de caracteres. Al cambiar adecuadamente el índice de MID y TOP, podemos volcar el contenido del campo "username" para todas las filas.
Mid('admin',1,1)
obtiene la subcadena desde la posición 1 de longitud 1 (la posición inicial es 1)
LEN('1234')
obtiene la longitud de la cadena
ASC('A')
obtiene el valor ascii del carácter
CHR(65)
obtiene la cadena del valor ascii
IIF(1=1,'a','b')
si entonces
COUNT(*)
cuenta el número de elementos
Desde aquí puedes ver una consulta para obtener los nombres de las tablas:
Sin embargo, ten en cuenta que es muy típico encontrar inyecciones SQL donde no tienes acceso para leer la tabla MSysObjects
.
El conocimiento de la ruta absoluta del directorio raíz web puede facilitar ataques posteriores. Si los errores de la aplicación no están completamente ocultos, se puede descubrir la ruta del directorio intentando seleccionar datos de una base de datos inexistente.
http://localhost/script.asp?id=1'+'+UNION+SELECT+1+FROM+FakeDB.FakeTable%00
MS Access responde con un mensaje de error que contiene la ruta completa del directorio web.
El siguiente vector de ataque se puede utilizar para inferir la existencia de un archivo en el sistema de archivos remoto. Si el archivo especificado existe, MS Access genera un mensaje de error informando que el formato de la base de datos es inválido:
http://localhost/script.asp?id=1'+UNION+SELECT+name+FROM+msysobjects+IN+'\boot.ini'%00
Otra forma de enumerar archivos consiste en especificar un elemento database.table. Si el archivo especificado existe, MS Access muestra un mensaje de error de formato de base de datos.
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+C:\boot.ini.TableName%00
El nombre del archivo de base de datos (.mdb) se puede inferir con la siguiente consulta:
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+name[i].realTable%00
Donde name[i] es un nombre de archivo .mdb y realTable es una tabla existente dentro de la base de datos. Aunque MS Access siempre generará un mensaje de error, es posible distinguir entre un nombre de archivo inválido y un nombre de archivo .mdb válido.
Access PassView es una utilidad gratuita que se puede utilizar para recuperar la contraseña principal de la base de datos de Microsoft Access 95/97/2000/XP o Jet Database Engine 3.0/4.0.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)