MS Access SQL Injection
Playground en Línea
Limitaciones de la Base de Datos
Concatenación de Cadenas
La concatenación de cadenas es posible con los caracteres & (%26)
y + (%2b)
.
Comentarios
No hay comentarios en MS Access, pero aparentemente es posible eliminar el último de una consulta con un carácter NULL:
Si esto no funciona, siempre puedes corregir la sintaxis de la consulta:
Consultas Apiladas
No son compatibles.
LIMIT
El operador LIMIT
no está implementado. Sin embargo, es posible limitar los resultados de una consulta SELECT a las primeras N filas de la tabla usando el operador TOP
. TOP
acepta como argumento un número entero, que representa la cantidad de filas a ser devueltas.
Al igual que TOP, puedes usar LAST
que obtendrá las filas desde el final.
Consultas de UNION/Subconsultas
En un SQLi generalmente querrás ejecutar de alguna manera una nueva consulta para extraer información de otras tablas. MS Access siempre requiere que en subconsultas o consultas adicionales se indique un FROM
.
Por lo tanto, si deseas ejecutar un UNION SELECT
o UNION ALL SELECT
o un SELECT
entre paréntesis en una condición, siempre necesitas indicar un FROM
con un nombre de tabla válido.
Por lo tanto, necesitas conocer un nombre de tabla válido.
Encadenamiento de igualdad + Subcadena
Esto te permitirá exfiltrar valores de la tabla actual sin necesidad de conocer el nombre de la tabla.
MS Access permite una sintaxis extraña como '1'=2='3'='asd'=false
. Como generalmente la inyección SQL estará dentro de una cláusula WHERE
, podemos abusar de eso.
Imagina que tienes una inyección SQL en una base de datos de MS Access y sabes (o has adivinado) que un nombre de columna es username, y ese es el campo que deseas exfiltrar. Podrías verificar las diferentes respuestas de la aplicación web cuando se utiliza la técnica de encadenamiento de igualdad y potencialmente exfiltrar contenido con una inyección booleana utilizando la función Mid
para obtener subcadenas.
Si conoces el nombre de la tabla y columna para volcar, puedes usar una combinación de Mid
, LAST
y TOP
para filtrar toda la información a través de SQLi booleano:
Siéntete libre de probar esto en el entorno de pruebas en línea.
Fuerza bruta de nombres de tablas
Usando la técnica de encadenamiento de iguales también puedes realizar fuerza bruta en los nombres de las tablas de la siguiente manera:
El siguiente contenido es de un libro sobre técnicas de hacking. El contenido es de un archivo sobre inyección SQL en MS Access.
By injecting SQL code into the id
parameter, we can retrieve sensitive data from the database.
By following these steps, you can successfully perform SQL injection in MS Access databases.
Siéntete libre de verificar esto en el patio de recreo en línea.
Nombres comunes de tablas en Sqlmap: https://github.com/sqlmapproject/sqlmap/blob/master/data/txt/common-tables.txt
Hay otra lista en http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html
Fuerza bruta de nombres de columnas
Puedes forzar por fuerza bruta los nombres de las columnas actuales con el truco de encadenamiento de iguales con:
O con un group by:
O puedes realizar un ataque de fuerza bruta en los nombres de las columnas de una tabla diferente con:
Volcado de datos
Ya hemos discutido la técnica de encadenamiento de iguales para volcar datos de las tablas actuales y otras. Pero hay otras formas:
En resumen, la consulta utiliza una declaración "si-entonces" para desencadenar un "200 OK" en caso de éxito o un "500 Internal Error" de lo contrario. Aprovechando el operador TOP 10, es posible seleccionar los primeros diez resultados. El uso posterior de LAST permite considerar solo la décima tupla. En ese valor, utilizando el operador MID, es posible realizar una simple comparación de caracteres. Cambiando adecuadamente el índice de MID y TOP, podemos volcar el contenido del campo "username" para todas las filas.
Basado en Tiempo
Otras funciones interesantes
Mid('admin',1,1)
obtener subcadena desde la posición 1 longitud 1 (la posición inicial es 1)LEN('1234')
obtener longitud de cadenaASC('A')
obtener el valor ASCII de un carácterCHR(65)
obtener cadena a partir del valor ASCIIIIF(1=1,'a','b')
si entoncesCOUNT(*)
Contar número de elementos
Enumeración de tablas
Desde aquí puedes ver una consulta para obtener nombres de tablas:
Sin embargo, ten en cuenta que es muy típico encontrar Inyecciones SQL donde no tienes acceso para leer la tabla MSysObjects
.
Acceso al Sistema de Archivos
Ruta Completa del Directorio Raíz Web
El conocimiento de la ruta absoluta del directorio raíz web puede facilitar ataques adicionales. Si los errores de la aplicación no están completamente ocultos, la ruta del directorio puede ser descubierta intentando seleccionar datos de una base de datos inexistente.
http://localhost/script.asp?id=1'+'+UNION+SELECT+1+FROM+FakeDB.FakeTable%00
MS Access responde con un mensaje de error que contiene la ruta completa del directorio web.
Enumeración de Archivos
El siguiente vector de ataque se puede utilizar para inferir la existencia de un archivo en el sistema de archivos remoto. Si el archivo especificado existe, MS Access desencadena un mensaje de error informando que el formato de la base de datos es inválido:
http://localhost/script.asp?id=1'+UNION+SELECT+name+FROM+msysobjects+IN+'\boot.ini'%00
Otra forma de enumerar archivos consiste en especificar un elemento de base de datos.tabla. Si el archivo especificado existe, MS Access muestra un mensaje de error de formato de base de datos.
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+C:\boot.ini.TableName%00
Adivinanza del Nombre del Archivo .mdb
El nombre del archivo de la base de datos (.mdb) se puede inferir con la siguiente consulta:
http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+name[i].realTable%00
Donde name[i] es un nombre de archivo .mdb y realTable es una tabla existente dentro de la base de datos. Aunque MS Access siempre desencadenará un mensaje de error, es posible distinguir entre un nombre de archivo inválido y un nombre de archivo .mdb válido.
Descifrador de Contraseñas .mdb
Access PassView es una utilidad gratuita que se puede utilizar para recuperar la contraseña principal de la base de datos de Microsoft Access 95/97/2000/XP o Jet Database Engine 3.0/4.0.
Referencias
Última actualización