|
Título: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 15 Marzo 2010, 00:35 am Hola a todos.
¿Que tal? Aver si me pueden hechar una mano. Este fin de semana, he estado prácticando en la web de un amigo (que hizó de prueba, una tienda online con asp un poco cutre) el tema de sql injection. El caso es qué aposté con el una cenita si conseguia encontrar/explotar algún fallo de seguridad en su página web que él recientemente habia hecho. El caso es que he encontrado un fallo de seguridad con lo que se puede jugar con sql injection, el problema es que, no consigo hacer todo lo que quiero... La sql injection está aqui: Código: http://www.paginaweb.com/cgi-bin/datos.asp?user=46&id='Select * from productos.ref--' Detrás de la variable id= puedo jugar con sql injection, pero no consigo, por ejemplo, hacer un insert....: Código: http://www.paginaweb.com/cgi-bin/datos.asp?user=46&id='Select * from productos.ref--' Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' Dice que no puede convertir datos de varchar a float... pero... ¿que datos? Si solamente le estoy diciendo que muestre datos.. El caso es que...con (Select Count(*)...) si pudé adivinar los campos que tenia dicha tabla, ya que jugando con > & < pudé dar con los items disponbiles en la tabla productos, pero poco más.. ¿Alguna idea? Un saludo. Muchas gracias. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: Shell Root en 15 Marzo 2010, 00:41 am Creo que te puede servir
:http://mx0x.diosdelared.com/?coment=2456 Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 15 Marzo 2010, 00:59 am Hola tooRllehS@xelA y muchisimas gracias por tu respuesta...
Entonces.... por donde estoy intentando hacer sql injection no puedo hacer más cosas? ¿No podria solucionar el error que me esta dando y asi conseguir info? Un saludo. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: tragantras en 16 Marzo 2010, 00:19 am es precisamente con los errores como se consigue la información, la técnica se denomina "técnica del error".
mirate el documento que te puso shellroot Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 17 Marzo 2010, 12:39 pm Hola de nuevo y gracias a todos por vuestro interes y respuestas.
Si ya sé que con esta técnica la información se consigue de los errores pero.....si necesito conseguir algun dato de alguna tabla, primero debo de saber como se llama esa tabla,cierto?? El problema es ese, que no puedo visualizar las tablas o ver que tablas ahi. ¿No podria hacerlo? ¿Tendria que ir probando hasta acertar con el nombre de la tabla donde este el pass de administrador? Un saludo. Muchas gracias. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: tragantras en 17 Marzo 2010, 14:05 pm al inyectar esto:
Código: ' HAVING 1=1-- un saludo :) Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 17 Marzo 2010, 17:38 pm Hola de nuevo y gracias por vuestras respuestas de verdad :D .
El problema es que al insertar la sentencia "HAVING" me da problemas de sintáxis... Por ej: Código: variable=38715333 AND HAVING 1=1-- (38715333) Representa la referencia de un producto en la base de datos. Al insertarle eso que introdujé anteriormente, me suelta esto: Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e14' Tambien he probado cerrando primero la comilla simple, osea quedaria asi: Código: variable=38715333 AND 'HAVING 1=1-- Pero ahi me suelta lo siguiente (avisandome de que una comilla simple no ha sido cerrada) Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e14' Tambien he probado esscribiendo la sentencia having de esta forma: Código: variable=38715333 AND 'HAVING 1=1--' Y entonces la base de datos me responde lo siguiente: Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e14' Pero bueno....estas 2 segundas opciones son las combinaciones que he hecho yo para probar si la base de datos no se quejaba. Lo que no entiendo es porque se queja con "Problema de Sintáxis" En la 1º inyección que he posteado. ¿Que falla aquí? Un saludo y muchisimas gracias por su atención y ayuda. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: Shell Root en 17 Marzo 2010, 18:12 pm xD, pero te tiro lo que necesitas saber!
[Microsoft][ODBC SQL Server Driver][SQL Server]... Productos.ref'. Your Pwned!, debes de leerte algo de esto, antes de intentar hacerlo!Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 17 Marzo 2010, 18:49 pm Hola.
No te entendí. ¿Que es lo que debo leerme? Muchas gracias man. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: Shell Root en 17 Marzo 2010, 20:20 pm Mira, ese tipo de inyecciones son de las más dificiles, en ocasiones encuentras 1 y de un momento a otro despues de llevar más de 20 min sacando tablas y campos, no podes seguir. xD;
Para que entiendas mejor, miraté este Tutorial de The X-C3LL. http://foro.portalhacker.net/index.php/topic,65891.0.html Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 18 Marzo 2010, 00:03 am Hola de nuevo y gracias por tu respuesta shellroot.
Ya entendí lo que dijiste en el anterior mensaje.... Claro,con ese error me soltó lo que queria saber,que es el nombre de la tabla (con el que estamos trabajando) y el campo, pero en esa tabla no ahi ningun dato valioso, me gustaria saber si puedo acceder desde ahi a otras tablas... ¿Es posible? ¿como podria trabajar con otras tablas dispnibles en la db? Muchisimas gracias man :) Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: Shell Root en 18 Marzo 2010, 00:07 am Nunca me llamo la antencion ese tipo de tecnica, es muy dificil y gastaria mucho tiempo, para al final depronto no conseguir nada. xD
Supongo que seria como una Blind SQL, no sé... Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 18 Marzo 2010, 00:12 am Pero...¿es muy dificil? pero si es una sql inyection normal,no? lo único que ocurre es que no nos enfrentamos con un formulario, es lo único que veo diferente.
Lo único que quiero saber es eso, si podria llegar a listar las tablas, osea, que no tenga que ejecutar sentencias si o si en la tabla que estamos ejecutando, que pueda trabajar con otras tablas aparte de la que esta trabajando la variable donde esta el sql inyection. ¿se entiende? Un saludo y muchisimas gracias alex@shellroot . Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: Shell Root en 18 Marzo 2010, 00:23 am Se entiende correctamente, pero lo dudo bastante, dentro de MySQL seh se puede hacer. Pero dentro de este tipo de inyeccion se trabaja bajo MSSQL, si te sirve de algo, esta consulta lista todas las tablas de una base de datos.
Código
PD: Mejor espera que algun usuario de alto nivel (WHK, sirdarckcat, entre otros), respondan mejor la pregunta. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 18 Marzo 2010, 00:40 am El problema principal de esto es que me da error de sintáxis y no se porque...si yo añado esta sentencia, me da error de sintaxis:
Código: http://www.paginaweb.com/productos.asp?variable=38715333 AND Select * from productos Con esta nueva inyección (Select * from productos) me da error de sintáxis: Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e14' ¿Algo hago mal? Muchas gracias de nuevo. Título: Re: [SQL INJECTION] (TRANSACT-SQL) ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 18 Marzo 2010, 00:56 am Hola...
Conseguí ejecutar la sentencia 'SELECT @@version' y ver información del sistema... Pero he tenido que hacer una cosa, y no entiendo el PORQUE funciona, aver si me lo podeis explicar: La inyección ha sido la siguiente: Código: AND (SELECT @@version)<=1 -- Y como se puede observar, despues de la inyección, he tenido que añadir el menor o igual que 1 (<=1) y asi si funciona, y se ejecuta la sentencia devolviendo lo siguiente: Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' Por lo que se ve, funcionaaa... Ahora no entiendo 2 cosas, aver si me podeis explicar.... 1 - ¿Porque sin parantesis la sentencia no funciona? 2 - ¿Porque tengo que añadir esa comparación númerica? ¿Alguien me puede aclarar estos 2 puntos, se lo agradeceria muchisimo. Un saludo. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: Shell Root en 18 Marzo 2010, 02:21 am xD, creo que no entendiste lo que te dijé.
Nunca dijé que con esa sentencia podrias listar todas las tablas de esa base de datos, solo dije que si te servia de algo, asi se podria listar las tablas de una base de datos en MSSQL. Es decir, dentro del IDE! No dentro de la inyección. Además, no creo que sea así de simple al ejecutar una sentencia SQL y se ejecute en el servidor, más bien, creo que debes de investigar en que consiste la Blind SQL y entenderas un poco lo que podrias hacer. Y repito lo mismo espera que algun usuario de alto nivel (WHK, sirdarckcat, entre otros), respondan mejor la pregunta. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 18 Marzo 2010, 03:10 am Hola de nuevo y gracias por responder otra vez man.
Traigo novedades frescas a la mesa jeje.... Con la función convert() he podido obtener algunos datos de los productos que ahi en la db, por ejemplo haciendo: Código: variable=convert(int,(select+productos.referencia)) Me responde una referencia del 1º articulo de la base de datos, respuesta: Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' Como podeis ver, me ha devuelto la referencia: 'A35678956'.. He estado probando combinaciones con nombre de tablas (donde pudiera estar los datos de administrador). He probado un monton de nombres de tablas para ver si encontraba esa info, pero ninguna concuerda ccon la tabla donde se almacenan los datos valiosos.. Sigo esperando a que alguien me diga si puedo listar todas las tablas de la base de datos, o algo similar. Muchisimas gracias. Saludos. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: ZaPa en 18 Marzo 2010, 12:22 pm Hola de nuevo a todos.
Ya he conseguido saber las tablas que ahi en la base de datos y demas, incluso estoy accediendo a los valores de cada columna, pero....... realmente no entiendo esto, os explico: Anteriormente con injecciones simples del tipo ("Select * from TABLA) y demás, me daba error de sintáxis, buscando,buscando, me he dado cuenta que para las páginas asp utilizan la función convert() para obtenre datos de la base de datos...... Por ej: Código:
Con esto conseguiriamos mostrar el 1º campo de la tabla usuarios y columna usuario. ¿Porque esto funciona asi, es decir, porque tengo que utilizar convert() y lo que es la sintáxis de las llamadas sql tampoco son igual que las de php, es asi para MSSQL SERVER? Un saludo. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: Shell Root en 18 Marzo 2010, 18:03 pm Lo de convert(), supongo que es para setear el tipo de datos devuelvo por el query. Ahora lo segundo que preguntas no lo entendí bien, pero supongo que preguntas, porque no te funciono la sentencia:
Código Tuviste que usar el query: Código Así como en la Inyección en MySQL, sebes de sacar dato por dato, es decir, campo por campo, registro por registro. Tambien debe de ser igual en MSSQL, no podeis mostrar todos los datos inmediatamente, tenes que irlo sacando por partes. Título: Re: [SQL INJECTION] ¿Me ayudas en un reto? (Abierto) Publicado por: WHK en 19 Marzo 2010, 20:26 pm Hola, la diferencia de una inyección MySQL y MSSQL es que en MSSQL la mayoría de las veces si no tienes la forma de devolver datos puedes forzar errores y que te debuelvan cosas que tu quieras.
En MySQL no puedes por ejemplo hacer dos select, digamos que la query "select * from test where id = $_GET[id]", en ese caso id no puede transformarse en otra query como lo hace mssql "where id = (select id from x limit 1)". Ahora, como en mssql podemos encerrar nuevas querys una dentro de otra forzamos a que nos mande error y eso lo podemos lograr con la función "convert()" y hay muchas mas, ahora decimos que convert deve aceptar solo numeros integers: Código: CONVERT(int, test) Con eso decimos que test debe ser obligadamente integer, pero que pasa si le entregamos un valor que no sea un número? Código: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' Entonces donde está la inyección le enviamos el convert y hacemos la query de la columna que queremos sacar. Digamos que atraves de errores ya sacaste las tablas, puedes ir intentando con havving como explicaron mas arriba y con eso ya obtienes las tablas y columnas y puedes comenzar a hacer querys a cada valor que te pueda interesar. Por ejemplo Código: test.asp?id=convert(int, (select password from usuarios where nick = 'admin')) -- Se entiende correctamente, pero lo dudo bastante, dentro de MySQL seh se puede hacer. Pero dentro de este tipo de inyeccion se trabaja bajo MSSQL, si te sirve de algo, esta consulta lista todas las tablas de una base de datos. Código
schema no existe en mssql. Saludos. Título: Re: [SQL INJECTION] (TRANSACT-SQL) ¿Me ayudas en un reto? (Abierto) Publicado por: tragantras en 20 Marzo 2010, 14:56 pm Código: AND (SELECT @@version)<=1 -- Ahora no entiendo 2 cosas, aver si me podeis explicar.... 1 - ¿Porque sin parantesis la sentencia no funciona? 2 - ¿Porque tengo que añadir esa comparación númerica? ¿Alguien me puede aclarar estos 2 puntos, se lo agradeceria muchisimo. Un saludo. 1.- No funciona porque lo que estás comparando es el resultado entero del SELECT. El select te devuelve la versión y es ESO lo que comparas con el <=1. Si no pones el paréntesis te compara "version" que... "no es nah" xD 2.- La query que manda el .asp al motor de la base de datos es esto: Código
tu inyectas en la la parte de "where campo = ", de manera que se queda, con la inyección ya puesta: Código
el and es un operador booleano, la operacion <=1 te devolverá TRUE or FALSE, lo que necsita el operador AND, vamos xD Esta técnica es el principal motor para explotar una BSQLi |