ВЕБ-ХАКИНГ. Часть 3
INHIDE![](/file/51214daa2a5a1299014b2.jpg)
SQL-Инъекции
Здравствуйте. Мы приступаем к изучению одной из самых распространенных веб-атак - SQL-инъекции.
- Введение.
- Что такое SQL-инъекция?
- Виды SQL-инъекций.
- Материалы по уязвимостям.
- Как можно использовать SQL-инъекции?
- Практика.
- Автоматизация.
Введение.
В данной статье будут дано достаточно материала, чтобы вы смогли уловить общую концепцию и продолжить изучение самостоятельно. Но прежде чем приступить к делу, я хотел бы акцентировать ваше внимание на одном важном моменте:
Если вы до сих пор не разобрались с языком SQL, то дальнейшее чтение для вас бессмысленно.
Поэтому как минимум прочтите эту книжку (Бен Форта - SQL. 10 минут на урок):Если вы до сих пор не разобрались с языком SQL, то дальнейшее чтение для вас бессмысленно.
![](https://image.prntscr.com/image/-OFOz1KEROKDCv4SrPbh7w.png)
Это будет для вас полезнее в десятки раз, чем все сотню раз переписанные статьи со школо-хэко-форумов где учат копипастить URLы в Havij. Я думаю будет уместно дополнить, что чтение более серьезных книг по SQL и технической документации по конкретным СУБД будет еще полезнее, чем "10 минут на урок".
Ну а теперь, когда меньшиство посетителей уже закрыло вкладку (большинство и не открывало), мы с вами перейдем к делу.
Что такое SQL-инъекция?
Существует два вида приложений. Первый вид - приложение, которое ведет себя именно так, как задумал программист. Второй - приложение, которое ведет себя не совсем так, как задумал программист.
И вся суть SQL-инъекции (а также php-инъекций, xml-инъекций и т.д.) состоит в том, чтобы найти приложение второго вида и заставить его выполнить некоторое полезное нам действие, возможность которого не планировалась программистом.
К примеру, есть некий скрипт articles.php. И туда методом Get передается значение параметра id. Кодер когда писал свое приложение думал примерно так:
"Кроче, берем id из адресной строки. Пихаем иво в скуль-запрос. Если в базе есть такой id, то выводим страницу, которая к энтому Id прикручена, а ежеле нету, то тохда ибись оно в рот и ничово не выводем."
Код:
<?php //articles.php include("db_config"); $id = $_GET['id']; $sql = "SELECT * FROM articles WHERE id = '$id' "; $result = mysql_query($query) or die(mysql_error()); $row = mysql_fetch_array($result) or die("НИЧОВО НЕТУ!!!"); //...
В зависимости от того, что мы будем передавать в параметр id, приложение будет возвращать разный результат. Но любой результат можно свести к одному из трех вариантов:
- Пустой ответ
- Нормальный ответ
- Ошибка
Теперь давайте посмотрим, что получится, если мы будем пихать разные значения в параметр id:
![](https://image.prntscr.com/image/tjxY9bAES0_Q-y1RLT7i2Q.png)
Очевидно, что в суровой действительности веб-приложение ведет себя не совсем так, как это представлялось кодеру в его влажных мечтах. И по сути, в последнем варианте параметр/значение мы уже провели небольшую SQL-инъекцию.
Остается дело за малым - раскрутить эту самую инъекцию (попробовать вывести данные из бд, прочитать файлы, залить шелл и т.д.)
Стоит сразу отметить 2 нюанса:
- Если ошибки не выводятся, это совсем не значит, что в приложении нет SQL-инъекции.
- Помните, что есть существенная разница между выводом ошибок от интерпретатора и выводом ошибок от СУБД.
Если вы ни черта не поняли из того что было написано в этой части статьи - либо я очень херово все описал (и это ведь только начало!), либо вам надо учить матчасть.
Виды SQL-инъекций.
SQL-инъекции разделяют на множество видов
1) По типу переменной:
Integer (целочисленная). Параметр не обрамлен кавычками:
Код:
SQL-инъекции разделяют на множество видов 1) По типу переменной: Integer (целочисленная). Параметр не обрамлен кавычками:
String (строковая). Параметр обрамлен кавычками:
Код:
SELECT * FROM articles WHERE id = ' $id '; SELECT * FROM `$articles` WHERE id = 123 ; SELECT * FROM articles WHERE id = " $id ";
2) По типу SQL-запроса и месту инъекции в запросе. В теории, инъекция может быть в абсолютно любом месте абсолютно любого SQL-запроса, если туда попадают недостаточно фильтруемые данные. Чаще всего инъекции находят в SELECT (отдельно выделяют инъекции после order by, потому как их реализация чуть сложнее), реже в UPDATE, INSERT, DELETE. Поэтому можно встретить разделение - Update based, Insert based и т.д.
3) Данные в SQL-запрос могут попадать через Get, Post, Cookie, HTTP заголовки (реферрер, юзерагент, или еще что-то, на что хватит фантазии у программиста).
Также стоит отметить такой класс инъекций как Second order injection. Это когда данные попадают в SQL-запрос не напрямую от пользователя (get, post, cookie, http headers), а из БД, из файла, от самого Аллаха или еще из какого места куда мы могли ранее ввести данные.
К примеру, есть форма регистрации (все очень условно):
Код:
<?php //Форма регистрации $username = mysql_real_escape_string($_POST['username']); $pass = mysql_real_escape_string($_POST['pass']); $sql = "INSERT INTO users (username, pass) VALUES ('$username','$pass') "; mysql_query($query) or die('Хакир, игрой в доту!');
Данные экранируются, SQL-инъекции нет. Далее, форма авторизации:
Код:
<?php //Форма аутентификации. Логин попадает в сессию $username = mysql_real_escape_string($_POST['username']); $pass = mysql_real_escape_string($_POST['pass']); $sql = "SELECT * FROM users WHERE username='$username' AND pass='$pass'"; $result = mysql_query($query) or die('Хакир, учи уроке!'); $row = mysql_fetch_row($result); $_SESSION['username'] = $row['username'];
И наконец форма для смены пароля:
Код:
<?php //Форма смены пароля. $username=$_SESSION['username']; $password = mysql_real_escape_string($_POST['pass']); $new_pass = mysql_real_escape_string($_POST['new_pass']); $sql = "UPDATE users SET PASSWORD='$new_pass' where username='$username' and password='$password' "; $result = mysql_query($query) or die('Пативэн выехал...');
Тут тоже нет SQL-инъекции. Но! Если зарегистрировать пользователя с логином "admin' #", то можно сменить пароль для пользователя "admin", не зная его действующий пароль (проверьте на досуге). Это и будет Second order SQL-injection.
4) По типу SQL-инъекции:
4.1) Union-based. Инъекция в SELECT запросе, вывод данных из БД производится с помощью оператора UNION. Этот метод работает, когда веб-приложение напрямую возвращает результат вывода команды SELECT на страницу (поэтому без разницы, включен вывод ошибок или нет).
- http://example.com/?id=9999.9' union select 1,2,3,4,5,6,7 --+
В начале стоит 9999.9 (хотя могло быть и 0, -1 и т.д.) для того, чтобы первый запрос вернул пустой результат, а второй (уже внедренный нами), вернул то, что нам нужно.
4.2) Error-based (double query). Если использовать UNION не получается (нет колонки для вывода или инъекция в UPDATE, INSERT или DELETE), то можно вывести данные из базы искусственно вызывая ошибки.
Например такой запрос:
SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY MID(user(), FLOOR(RAND(0)*2), 64)
Вызовет ошибку, в отчете о которой мы увидим данные, которые нам были нужны:
Duplicate entry 'root@localhost' for key 1
![](https://image.prntscr.com/image/y4HaHM6VTtqVZk1FrOO9YA.png)
4.3) Blind-based (boolean based). Если данные нельзя вывести через union, а ошибки никак не выводятся, то скорее всего мы имеем дело со слепой инъекцией.
Как вы помните, приложение может вернуть либо нормальный результат, либо пустой, либо ошибку. Ошибки в данном случае подавляются. Поэтому мы можем использовать только, что пустой ответ это false, а нормальный ответ - true.
![](https://image.prntscr.com/image/IBs2iIQmSUS49CCHv7iMwQ.png)
И это только чтобы узнать, что первый символ в имени пользователя базы данных это "r" (114 это ascii-код этого символа).
![](https://image.prntscr.com/image/BG1_ThM5SC_-S0059SCNwg.png)
4.4) Time-based (double blind). А теперь представьте, что SQL-инъекция есть, но результат отдаваемый веб-приложением, не меняется вообще никак. Нельзя как-то выделить, что будет false, а что будет true? Что делать тогда? Использовать временные задержки.
![](https://image.prntscr.com/image/fzWUw3omQTCkLCiJULY84g.png)
Там где будет True, сервак будет тупить 10 секунд, прежде чем вернуть страницу. В остальном все идентично обычным слепым (boolean based) инъекциям.
![](https://image.prntscr.com/image/yaCGED4GTZaWPJUkdpohig.png)
Чтобы как-то уложилось в голове (вывод ошибок - от СУБД!):
![](https://image.prntscr.com/image/X98c27WvQm2dytZnQ_WT0g.png)
Теперь, по мере изучения дальнейших материалов, вы, надеюсь, не будете путаться в классификации инъекций. Если что-то было непонятно, вы с легкостью восполните пробелы в знаниях, изучив соответствующие материалы.
Материалы:
SQL.
- http://rutracker.org/forum/viewtopic.php?t=4621035
- http://rutracker.org/forum/viewtopic.php?t=129425
- Lynn Beighley. Head first SQL
- Алан Бьюли. Изучаем SQL
- http://dev.mysql.com/doc/
- https://msdn.microsoft.com/ru-ru/library/bb545450.aspx
- http://www.oracle.com/technetwork/ru...ion/index.html
- https://www.sqlite.org/docs.html
- http://postgresql.ru.net/manual/
SQL-инъекции
- https://rdot.org/forum/
- https://rdot.org/forum/showthread.php?t=124
- http://forum.antichat.ru/threadedpost3817395.html (1500 страниц практических примеров)
- http://www.securityidiots.com/Web-Pe...SQL-Injection/
- PentestIT - SQL инъекции
- http://www.securitytube.net/tags/SQLi
- http://www.websec.ca/kb/sql_injection
- http://ptsecurity.ru/download/PT-dev...-Injection.pdf
- http://pentestmonkey.net/category/ch.../sql-injection
- http://www.sqlinjectionwiki.com/
- http://sqligenerator.altervista.org/index.php (генератор ссылок на уязвимые ресурсы)
- Юрий Жуков. Основы веб-хакинга
- Justin Clarke. SQL injection. Attacks and Defense.
Как можно использовать SQL-инъекции?
Манипуляции с базой данных. В базе данных может быть что угодно. Если у нас есть возможность читать данные из бд, мы можем узнать много интересного:
- Логины/пароли
- Почтовые ящики
- Кредитки и личные данные
- Токены (например для восстановления пароля)
- Переписки
- Скрытый контент
- Информация о заказах
- Цифровые товары
- Коды запуска ядерных боеголовок
- (вставьте свой вариант)
А инъекция в INSERT, UPDATE или возможность конкатенации запросов позволит нам произвольно менять данные в БД. Сменить пароль, назначить нового администратора, отредактировать или удалить новость, изменить статус заказа или его сумму, изменить баланс на счете...
Запись в файл/чтение файлов. Если звезды сложились удачно и у нас есть достаточно прав, известен абсолютный путь к файлам и не фильтруются кавычки, мы можем с легкостью залить шелл. Читать файлы можно даже при ограниченных правах. Например, можно прочесть из конфига логин/пароль от соединения с базой данных, и если повезет, подключиться напрямую. Если очень повезет - узнать пароль от фтп (в конфигах jooml'ы иногда хранится).
SiXSS. Union based и Error based инъекции позволяют провести XSS атаку. Для этого, вместо вывода данных из таблицы, мы пишем необходимый нам js-код:
?id=-1' union select 1,2,3,4,5,<script>alert('xss');</script>,6,7,8 --+
По сути - это тоже самое, что и пассивная XSS (она же отраженная), т.к. вся нагрузка уже в самом запросе. Но в отличиии от обычной пассивки, она способна обойти защиту большинства браузеров (которые хавают обычные пассивки на раз-два):
?id=-1' union select 1,2,3,4,5,unhex('3c7363726970743e616c657274285c277 873735c27293b3c2f7363726970743e'),6,7,8 --+
Обход авторизации. Если уязвимость спряталась в форме авторизации, то вам не нужно будет знать пароль (а иногда и логин) для входа под учеткой другого пользователя/администратора.
SQLi + Denial of Service. С помощью одного нехитрого запроса можно повалить сайт к ебени-матери (например используя вложенный Benchmark).
Практика.
Чтобы действительно вьехать в тему, недостаточно просто изучить теорию. Нужно обязательно практиковаться:
- Ковырять заведомо уязвимые скрипты (DVWA, Mutillidae и подобные).
- Разбирать эксплоиты.
- Разбирать чужие взломы (отлично подойдут различные хак ресурсы).
- Участвовать в конкурсах и CTF.
Первые три я бы рекомендовал в первую очередь. 4 вариант для тех, кто уже уверен в своих силах. В ближайших статьях я планирую вернуться к теме тренировок в SQL-инъекциях и данный блок будет обновлен.
Автоматизация.
Частенько мелькают сообщения на андергрант-форумах, дескать илита не пользуется софтом, а раскручивает все ручками. Возможно где-то и есть уникумы, которые time based скулю раскручивает с секундомером в руках, в качестве браузера используют telnet на 80 порт, а md5 хеши брутфорсят с помощью калькулятора, карандаша и листа A4, но мы к такой илите не относимся (мы вообще к илите не относимся).
Как я уже советовал вам ранее, поставьте Burp Suite. Хотя вы можете использовать любые другие отладочные прокси (Fiddler, Charles и т.д.), это уже скорее дело привычки, но Burp Suite все-таки заточен именно под поиск и эксплуатацию уязвимостей. Берем http-запрос, отправляем в Intruder, сразу смотрим результат. Шик же.
Если говорить об автоматизации sql-инъекций, то тут две софтины впереди планеты всей.
![](https://image.prntscr.com/image/hIH97x35Th_au0x8X4KhCg.png)
havij - утилита must have для школо-хеккера (а также сценарной детки). Многие из тех кто используют эту программу, не знают, как провести атаку, если уязвимый параметр передается Post'ом или в куках. И это при том, что есть вполне сносная справка на сайте.
Любознательным товарищам будет полезно запустить havij через прокси (тот же burp suite или fiddler), чтобы увидеть и понять, как именно работает havij. Софт заточен под винду, имеет free и pro версию. "Крякнутые" версии практически всегда с чем-то склеены, и не обладают полным функционалом.
Определенно, есть много объективных причин (и все на поверхности), почему софт так популярен в массах. Есть масса аналогов, Pangolin, SQLi-helper и других, которые даже до havij не всегда дотягивают. Те же яйца, вид сбоку.
![](https://image.prntscr.com/image/UgBn1iKISPG1ZHtJzcgC8w.png)
sqlmap - на сегодняшний день, это лучший софт, для автоматизации SQL-инъекций. Любой пацык на районе подтвердит. Правда, нужно установить питон. И программа консольная (хотя и GUI обертку легко найти). Но это тока шобы отпугивать всякую шерсть, которая не сечет фишку.
Чтобы подтянуть знания по SQL-инъекциям, можно посмотреть исходники sqlmap (ну или поснифать запросы через веб-прокси).
Алгоритм для автоматизации простой:
- Burp Proxy. Сохраняем интересный запрос в файл request.txt (ПКМ -> Copy to file)
Запускаем: sqlmap.py -r request.txt
Можно поставить плагин для burp (https://code.google.com/p/gason/) и отправлять запрос из Burp Proxy в sqlmap двумя кликами.
Это что касается автоматизации тестирования на sql-инъекции на одном сайте. Если вам нужно чекнуть на скули несколько десятков (сотен, тысяч) сайтов, то алгоритм, приведенный выше, вряд ли подойдет (если только вы не Дункан Маклауд).