MySQL injection
RootedCON je najrelevantniji kibernetički događaj u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i kibernetičkih profesionalaca u svakoj disciplini.
Komentari
Interesantne funkcije
Potvrda Mysql-a:
Korisne funkcije
The following functions can be useful when performing MySQL injection:
Sledeće funkcije mogu biti korisne prilikom izvođenja MySQL ubacivanja:
version(): Returns the version of the MySQL server.database(): Returns the name of the current database.user(): Returns the username used to connect to the MySQL server.current_user(): Returns the current user.schema(): Returns the name of the current schema.@@hostname: Returns the hostname of the MySQL server.@@datadir: Returns the data directory of the MySQL server.@@basedir: Returns the base directory of the MySQL server.@@version_compile_os: Returns the operating system on which the MySQL server was compiled.@@version: Returns the version and version comment of the MySQL server.@@global.version_compile_os: Returns the operating system on which the MySQL server is running.@@global.version: Returns the version and version comment of the MySQL server.@@global.plugin_dir: Returns the directory where plugins are installed.@@global.datadir: Returns the global data directory.@@global.basedir: Returns the global base directory.@@global.character_set_filesystem: Returns the character set used for file names on the server's file system.@@global.character_set_client: Returns the character set used by the client.@@global.character_set_connection: Returns the character set used for the connection.@@global.character_set_results: Returns the character set used for the result.@@global.collation_connection: Returns the collation used for the connection.@@global.collation_server: Returns the collation used by the server.@@global.init_connect: Returns the value of theinit_connectsystem variable.@@global.innodb_version: Returns the version of the InnoDB storage engine.@@global.max_allowed_packet: Returns the value of themax_allowed_packetsystem variable.@@global.sql_mode: Returns the value of thesql_modesystem variable.@@global.time_zone: Returns the value of thetime_zonesystem variable.@@global.tx_isolation: Returns the value of thetx_isolationsystem variable.@@global.version_comment: Returns the version comment of the MySQL server.@@global.wait_timeout: Returns the value of thewait_timeoutsystem variable.@@global.have_ssl: ReturnsYESif the server supports SSL,NOotherwise.@@global.have_compress: ReturnsYESif the server supports compression,NOotherwise.@@global.have_crypt: ReturnsYESif the server supports encryption,NOotherwise.@@global.have_dynamic_loading: ReturnsYESif the server supports dynamic loading,NOotherwise.@@global.have_geometry: ReturnsYESif the server supports spatial data types,NOotherwise.@@global.have_innodb: ReturnsYESif the server supports the InnoDB storage engine,NOotherwise.@@global.have_ndbcluster: ReturnsYESif the server supports the NDB storage engine,NOotherwise.@@global.have_openssl: ReturnsYESif the server supports OpenSSL,NOotherwise.@@global.have_partitioning: ReturnsYESif the server supports partitioning,NOotherwise.@@global.have_profiling: ReturnsYESif the server supports profiling,NOotherwise.@@global.have_query_cache: ReturnsYESif the server supports the query cache,NOotherwise.@@global.have_rtree_keys: ReturnsYESif the server supports R-tree indexes,NOotherwise.@@global.have_ssl: ReturnsYESif the server supports SSL,NOotherwise.@@global.have_symlink: ReturnsYESif the server supports symbolic links,NOotherwise.@@global.have_system_time_zone: ReturnsYESif the server has a system time zone,NOotherwise.@@global.have_timezone_support: ReturnsYESif the server supports time zones,NOotherwise.@@global.have_udf: ReturnsYESif the server supports user-defined functions,NOotherwise.@@global.have_utf8mb4: ReturnsYESif the server supports the utf8mb4 character set,NOotherwise.@@global.have_xml: ReturnsYESif the server supports XML,NOotherwise.@@global.have_zip: ReturnsYESif the server supports ZIP,NOotherwise.@@global.have_partitioning: ReturnsYESif the server supports partitioning,NOotherwise.@@global.have_profiling: ReturnsYESif the server supports profiling,NOotherwise.@@global.have_query_cache: ReturnsYESif the server supports the query cache,NOotherwise.@@global.have_rtree_keys: ReturnsYESif the server supports R-tree indexes,NOotherwise.@@global.have_ssl: ReturnsYESif the server supports SSL,NOotherwise.@@global.have_symlink: ReturnsYESif the server supports symbolic links,NOotherwise.@@global.have_system_time_zone: ReturnsYESif the server has a system time zone,NOotherwise.@@global.have_timezone_support: ReturnsYESif the server supports time zones,NOotherwise.@@global.have_udf: ReturnsYESif the server supports user-defined functions,NOotherwise.@@global.have_utf8mb4: ReturnsYESif the server supports the utf8mb4 character set,NOotherwise.@@global.have_xml: ReturnsYESif the server supports XML,NOotherwise.@@global.have_zip: ReturnsYESif the server supports ZIP,NOotherwise.
These functions can provide valuable information about the MySQL server, which can be useful during a penetration test or security assessment.
Sve vrste ubrizgavanja
SQL ubrizgavanje u MySQL
SQL ubrizgavanje je jedna od najčešćih i najopasnijih ranjivosti web aplikacija. Kada se koristi MySQL baza podataka, napadač može iskoristiti ovu ranjivost kako bi izvršio zlonamerni SQL kod na serveru baze podataka.
Ubrizgavanje jednostavnih izjava
Ubrizgavanje jednostavnih izjava je najosnovniji oblik SQL ubrizgavanja. Napadač može umetnuti zlonamerni SQL kod u unos koji se prosleđuje bazi podataka. Na primer, napadač može umetnuti ' OR '1'='1 u polje za unos korisničkog imena i lozinke kako bi zaobišao proveru autentičnosti.
Ubrizgavanje bazirano na vremenu
Ubrizgavanje bazirano na vremenu je tehnika koja se koristi kada se ne dobija direktni rezultat ubrizgavanja. Napadač može iskoristiti ovu tehniku kako bi izvršio zlonamerni SQL kod i dobio informacije o bazi podataka na osnovu vremena potrebnog za izvršavanje SQL upita.
Ubrizgavanje bazirano na greškama
Ubrizgavanje bazirano na greškama je tehnika koja se koristi kada se dobija greška prilikom izvršavanja SQL upita. Napadač može iskoristiti ovu grešku kako bi dobio informacije o bazi podataka ili izvršio zlonamerni SQL kod.
Ubrizgavanje bazirano na uniji
Ubrizgavanje bazirano na uniji je tehnika koja se koristi kada se koristi SQL upit koji koristi operaciju unije. Napadač može iskoristiti ovu tehniku kako bi dobio informacije o bazi podataka iz drugih tabela.
Ubrizgavanje bazirano na slepoj ubrizgavanju
Ubrizgavanje bazirano na slepoj ubrizgavanju je tehnika koja se koristi kada se ne dobija direktni rezultat ubrizgavanja i ne dolazi do greške prilikom izvršavanja SQL upita. Napadač može iskoristiti ovu tehniku kako bi dobio informacije o bazi podataka na osnovu uslova koji se ispituju.
Ubrizgavanje bazirano na višestrukim upitima
Ubrizgavanje bazirano na višestrukim upitima je tehnika koja se koristi kada se izvršava više SQL upita odjednom. Napadač može iskoristiti ovu tehniku kako bi izvršio zlonamerni SQL kod i dobio informacije o bazi podataka.
Ubrizgavanje bazirano na funkcijama
Ubrizgavanje bazirano na funkcijama je tehnika koja se koristi kada se koriste SQL funkcije. Napadač može iskoristiti ovu tehniku kako bi izvršio zlonamerni SQL kod i dobio informacije o bazi podataka.
Ubrizgavanje bazirano na izvršavanju sistema
Ubrizgavanje bazirano na izvršavanju sistema je tehnika koja se koristi kada se koristi SQL funkcija koja omogućava izvršavanje sistema. Napadač može iskoristiti ovu tehniku kako bi izvršio zlonamerni kod na serveru baze podataka.
Ubrizgavanje bazirano na izvršavanju datoteka
Ubrizgavanje bazirano na izvršavanju datoteka je tehnika koja se koristi kada se koristi SQL funkcija koja omogućava izvršavanje datoteka. Napadač može iskoristiti ovu tehniku kako bi izvršio zlonamerni kod na serveru baze podataka.
Ubrizgavanje bazirano na izvršavanju operativnog sistema
Ubrizgavanje bazirano na izvršavanju operativnog sistema je tehnika koja se koristi kada se koristi SQL funkcija koja omogućava izvršavanje operativnog sistema. Napadač može iskoristiti ovu tehniku kako bi izvršio zlonamerni kod na serveru baze podataka.
sa https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/
Tok
Zapamtite da u "modernim" verzijama MySQL-a možete zameniti "information_schema.tables" sa "mysql.innodb_table_stats" (Ovo može biti korisno za zaobilaženje WAF-ova).
Samo 1 vrednost
group_concat()Limit X,1
Slepo jedan po jedan
substr(version(),X,1)='r'ilisubstring(version(),X,1)=0x70iliascii(substr(version(),X,1))=112mid(version(),X,1)='5'
Slepo dodavanje
LPAD(version(),1...lenght(version()),'1')='asd'...RPAD(version(),1...lenght(version()),'1')='asd'...SELECT RIGHT(version(),1...lenght(version()))='asd'...SELECT LEFT(version(),1...lenght(version()))='asd'...SELECT INSTR('foobarbar', 'fo...')=1
Otkrivanje broja kolona
Koristeći jednostavno ORDER
MySQL baziran na Uniji
Opis
MySQL baziran na Uniji je tehnika SQL injekcije koja se koristi za izvlačenje podataka iz baze podataka kroz kombinovanje rezultata više SQL upita. Ova tehnika se koristi kada je ciljna aplikacija podložna SQL injekciji i koristi MySQL bazu podataka.
Postupak
Da biste izvršili MySQL baziran na Uniji, pratite sledeće korake:
Identifikujte tačke injekcije: Pronađite ulazne tačke u ciljnoj aplikaciji gde možete ubaciti SQL kod.
Utvrdite broj kolona: Koristite
ORDER BYklauzulu da biste utvrdili broj kolona u rezultatu SQL upita. Povećavajte broj kolona dok ne dobijete grešku ili ispravan rezultat.Identifikujte tip podataka: Koristite
UNION SELECTizraz da biste identifikovali tip podataka u svakoj koloni. Povećavajte broj kolona i pratite greške ili ispravne rezultate kako biste utvrdili tip podataka.Izvlačenje podataka: Koristite
UNION SELECTizraz da biste izvukli podatke iz baze podataka. Možete koristiti funkcijuCONCAT()da biste kombinovali podatke iz različitih kolona u jedan rezultat.
Primer
Pretpostavimo da imamo sledeći SQL upit u ciljnoj aplikaciji:
Da bismo izvršili MySQL baziran na Uniji, možemo koristiti sledeći payload:
Ovaj payload će izvršiti sledeći SQL upit:
Kao rezultat, dobićemo kombinovane rezultate iz prvog upita (SELECT name, email FROM users WHERE id = '') i drugog upita (SELECT 1,2 FROM users).
SSRF
Ovde možete naučiti različite opcije za zloupotrebu Mysql ubacivanja kako biste dobili SSRF.
Trikovi za zaobilaženje WAF-a
Alternative za information_schema
Zapamtite da u "modernim" verzijama MySQL-a možete zameniti information_schema.tables sa mysql.innodb_table_stats ili sa sys.x$schema_flattened_keys ili sa sys.schema_table_statistics
MySQL ubacivanje bez ZAREZA
Izaberite 2 kolone bez korišćenja zareza (https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma):
Dobijanje vrednosti bez imena kolone
Ako u nekom trenutku znate ime tabele, ali ne znate ime kolona unutar tabele, možete pokušati da pronađete koliko ima kolona izvršavanjem nečega poput:
Pretpostavljajući da postoje 2 kolone (pri čemu je prva ID, a druga zastava), možete pokušati brutalno probiti sadržaj zastave pokušavajući karakter po karakter:
Više informacija možete pronaći na https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952
Istorija MySQL-a
Možete videti druge izvršavanja unutar MySQL-a čitajući tabelu: sys.x$statement_analysis
Alternative verzije
Ostali vodiči za MYSQL ubacivanje
Reference
RootedCON je najrelevantniji događaj u oblasti sajber bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i sajber bezbednosnih profesionalaca u svakoj disciplini.
Last updated
