ВХ03 SQL-инъекции

slqi00801

Здравствуйте. Мы приступаем к изучению одной из самых распространенных  веб-атак  - SQL-инъекции.

  • Введение.
  • Что такое SQL-инъекция?
  • Виды SQL-инъекций.
  • Материалы по уязвимостям.
  • Как можно использовать SQL-инъекции?
  • Практика.
  • Автоматизация.

Введение.

В данной статье будут дано достаточно материала, чтобы вы смогли уловить общую концепцию и продолжить изучение самостоятельно. Но прежде чем приступить к делу, я хотел бы акцентировать ваше внимание на одном важном моменте:

Если вы до сих пор не разобрались с языком SQL, то дальнейшее чтение для вас бессмысленно.

Поэтому как минимум прочтите эту книжку (Бен Форта - SQL. 10 минут на урок):

sqlЭто будет для вас полезнее в десятки раз, чем все сотню раз переписанные статьи со школо-хэко-форумов где учат копипастить URLы в Havij. Я думаю будет уместно дополнить, что чтение более серьезных книг по SQL и технической документации по конкретным СУБД будет еще полезнее, чем "10 минут на урок".

Ну а теперь, когда меньшиство посетителей уже закрыло вкладку (большинство и не открывало), мы с вами перейдем к делу.

Что такое SQL-инъекция?

Существует два вида приложений. Первый вид - приложение, которое ведет себя именно так, как задумал программист. Второй  - приложение, которое ведет себя не совсем так, как задумал программист.

И вся суть SQL-инъекции (а также php-инъекций, xml-инъекций и т.д.) состоит в том, чтобы найти приложение второго вида и заставить его выполнить некоторое полезное нам действие, возможность которого не планировалась программистом.

К примеру, есть некий скрипт articles.php. И туда методом Get передается значение параметра id. Кодер когда писал свое приложение думал примерно так:

"Кроче, берем id из адресной строки. Пихаем иво в скуль-запрос. Если в базе есть такой id, то выводим страницу, которая к энтому Id прикручена, а ежеле нету, то тохда ибись оно в рот и ничово не выводем."

В зависимости от того, что мы будем передавать в параметр id, приложение будет возвращать разный результат. Но любой результат можно свести к одному из трех вариантов:

  • Пустой ответ
  • Нормальный ответ
  • Ошибка

Теперь давайте посмотрим, что получится, если мы будем пихать разные значения в параметр id:

Параметр/значение Ожидания кодера Суровая действительность
id=1 Страница 1 Страница 1
id=2 Страница 2 Страница 2
id=3 Страница 3 Страница 3
id=4000000 Пустой ответ Пустой ответ
id=0 Пустой ответ Пустой ответ
id=1kkdka Пустой ответ Пустой ответ
id=asdf Пустой ответ Пустой ответ
id=-1 Пустой ответ Пустой ответ
id=9999.9 Пустой ответ Пустой ответ
id=2-1 Пустой ответ Пустой ответ
id=-1' Пустой ответ Ошибка
id=-1\ Пустой ответ Ошибка
id=9999.9' or id='2 Пустой ответ Страница 2

Очевидно, что в суровой действительности веб-приложение ведет себя не совсем так, как это представлялось кодеру в его влажных мечтах.  И по сути, в последнем варианте параметр/значение мы уже провели небольшую SQL-инъекцию.

Остается дело за малым  - раскрутить эту самую инъекцию (попробовать вывести данные из бд, прочитать файлы, залить шелл и т.д.)

Стоит сразу отметить 2 нюанса:

  1. Если ошибки не выводятся, это совсем не значит, что в приложении нет SQL-инъекции.
  2. Помните, что есть существенная разница между выводом ошибок от интерпретатора и выводом ошибок от СУБД.

Если вы ни черта не поняли из того что было написано в этой части статьи - либо я очень херово все описал (и это ведь только начало!), либо вам надо учить матчасть.

Виды SQL-инъекций.

SQL-инъекции разделяют на множество видов

1) По типу переменной:

Integer (целочисленная). Параметр не обрамлен кавычками:

String (строковая). Параметр обрамлен кавычками:

2) По типу SQL-запроса и месту инъекции в запросе. В теории, инъекция может быть в абсолютно любом месте абсолютно любого SQL-запроса, если туда попадают недостаточно фильтруемые данные. Чаще всего инъекции находят в SELECT (отдельно выделяют инъекции после order by, потому как их реализация чуть сложнее), реже в UPDATE, INSERT, DELETE. Поэтому можно встретить разделение - Update based, Insert based и т.д.

3) Данные в SQL-запрос могут попадать через Get, Post, Cookie, HTTP заголовки (реферрер, юзерагент, или еще что-то, на что хватит фантазии у программиста).

Также стоит отметить такой класс инъекций как Second order injection. Это когда данные попадают в SQL-запрос не напрямую от пользователя (get, post, cookie, http headers), а из БД, из файла, от самого Аллаха или еще из какого места куда мы могли ранее ввести данные.

К примеру, есть форма регистрации (все очень условно):

Данные экранируются, SQL-инъекции нет. Далее, форма авторизации:

И наконец форма для смены пароля:

Тут тоже нет SQL-инъекции. Но! Если зарегистрировать пользователя с логином "admin' #", то можно сменить пароль для пользователя "admin", не зная его действующий пароль (проверьте на досуге). Это и будет Second order SQL-injection.

4) По типу SQL-инъекции:

4.1) Union-based. Инъекция в SELECT запросе, вывод данных из БД производится с помощью оператора UNION. Этот метод работает, когда веб-приложение напрямую возвращает результат вывода команды SELECT на страницу (поэтому без разницы, включен вывод ошибок или нет).

  • http://example.com/?id=9999.9' union select 1,2,3,4,5,6,7 --+

В начале стоит 9999.9 (хотя могло быть и 0, -1 и т.д.) для того, чтобы первый запрос вернул пустой результат, а второй (уже внедренный нами), вернул то, что нам нужно.

4.2) Error-based (double query). Если использовать UNION не получается (нет колонки для вывода или инъекция в UPDATE, INSERT или DELETE), то можно вывести данные из базы искусственно вызывая ошибки.

Например такой запрос:
SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY MID(user(), FLOOR(RAND(0)*2), 64)
Вызовет ошибку, в отчете о которой мы увидим данные, которые нам были нужны:
Duplicate entry 'root@localhost' for key 1

Для понимания, проведем примитивную аналогию. Представьте, что чекист спрашивает еврея:
- Правда, что самый жадный еврей украл завтра шекель у старушки?
- Вы непгавильно задали вопгос, нельзя навегняка сказать, Изя завтга укгадет что-то или таки-нет.

4.3) Blind-based (boolean based). Если данные нельзя вывести через union, а ошибки никак не выводятся, то скорее всего мы имеем дело со слепой инъекцией.

Как вы помните, приложение может вернуть либо нормальный результат, либо пустой, либо ошибку. Ошибки в данном случае подавляются. Поэтому мы можем использовать только, что пустой ответ это false, а нормальный ответ - true.

Параметр/значение Результат
id=1' and Ascii(substring((Select user()),1,1))>97 --+ True
id=1' and Ascii(substring((Select user()),1,1))>120 --+ False
id=1' and Ascii(substring((Select user()),1,1))>110 --+ True
id=1' and Ascii(substring((Select user()),1,1))>115 --+ False
id=1' and Ascii(substring((Select user()),1,1))<113 --+ False
id=1' and Ascii(substring((Select user()),1,1))=114 --+ True

И это только чтобы узнать, что первый символ в имени пользователя базы данных это "r" (114 это ascii-код этого символа).

Если продолжать примитивные аналогии, то представьте что вы общаетесь с суперкомпьютером, который говорит "да" в случае правильного утверждения и молчит в случае неправильного утверждения:
-  Бог есть?
- (молчание)
- Ислам мирная религия?
- (молчание)
- Мир захватят огромные человекоподобные роботы?
- Да.

4.4) Time-based (double blind). А теперь представьте, что SQL-инъекция есть, но результат отдаваемый веб-приложением, не меняется вообще никак. Нельзя как-то выделить, что будет false, а что будет true? Что делать тогда? Использовать временные задержки.

Параметр/значение Результат
id=1' and if (Ascii(substring((Select user()),1,1))>97, sleep(10),0) --+ True 
id=1' and if (Ascii(substring((Select user()),1,1))>120, sleep(10),0) --+ False
id=1' and if (Ascii(substring((Select user()),1,1))>110, sleep(10),0) --+ True 
id=1' and if (Ascii(substring((Select user()),1,1))>115, sleep(10),0) --+ False
id=1' and if (Ascii(substring((Select user()),1,1))<113, sleep(10),0) --+ False
id=1' and if (Ascii(substring((Select user()),1,1))=114, sleep(10),0) --+ True 

Там где будет True, сервак будет тупить 10 секунд, прежде чем вернуть страницу. В остальном все идентично обычным слепым (boolean based) инъекциям.

Вернемся в наш уголок примитивных аналогий. Представьте, что бравый гестаповец допрашивает партизана. А тот на любые вопросы отвечает "я тебе ничего не скажу!" Но наблюдательный гестаповец замечает, что если задать правильный вопрос, то гордый партизан молчит десять секунд перед тем как ответить:
- Говори русски свиня!
- Я тебе ничего не скажу.
- Русски спрятать танк в лесу?
- Я тебе ничего не скажу.
- Русски спрятать танк на опушка?
- (10 секунд гордого молчания) Я тебе ничего не скажу.
- Alles klar. Nehmen Sie ihn weg.

Чтобы как-то уложилось в голове (вывод ошибок - от СУБД!):sqli002

Теперь, по мере изучения дальнейших материалов, вы, надеюсь, не будете путаться в классификации инъекций. Если что-то было непонятно, вы с легкостью восполните пробелы в знаниях, изучив соответствующие материалы.

Материалы.

SQL.

  • http://rutracker.org/forum/viewtopic.php?t=4621035
  • http://rutracker.org/forum/viewtopic.php?t=129425
  • Lynn Beighley. Head first SQL
  • Алан Бьюли. Изучаем SQL
  • http://dev.mysql.com/doc/
  • https://msdn.microsoft.com/ru-ru/library/bb545450.aspx
  • http://www.oracle.com/technetwork/ru/database/express-edition/documentation/index.html
  • https://www.sqlite.org/docs.html
  • http://postgresql.ru.net/manual/

 SQL-инъекции

  • https://rdot.org/forum/
  • https://rdot.org/forum/showthread.php?t=124
  • http://forum.antichat.ru/threadedpost3817395.html (1500 страниц практических примеров)
  • http://www.securityidiots.com/Web-Pentest/SQL-Injection/
  • PentestIT - SQL инъекции
  • http://www.securitytube.net/tags/SQLi
  • http://www.websec.ca/kb/sql_injection
  • http://ptsecurity.ru/download/PT-devteev-Advanced-SQL-Injection.pdf
  • http://pentestmonkey.net/category/cheat-sheet/sql-injection
  • http://www.sqlinjectionwiki.com/
  • http://sqligenerator.altervista.org/index.php (генератор ссылок на уязвимые ресурсы)
  • Юрий Жуков. Основы веб-хакинга
  • Justin Clarke. SQL injection. Attacks and Defense.

Как можно использовать SQL-инъекции?

Манипуляции с базой данных. В базе данных может быть что угодно. Если у нас есть возможность читать данные из бд, мы можем узнать много интересного:

  • Логины/пароли
  • Почтовые ящики
  • Кредитки и личные данные
  • Токены (например для восстановления пароля)
  • Переписки
  • Скрытый контент
  • Информация о заказах
  • Цифровые товары
  • Коды запуска ядерных боеголовок
  • (вставьте свой вариант)

А инъекция в INSERT, UPDATE или возможность конкатенации запросов позволит нам произвольно менять данные в БД. Сменить пароль, назначить нового администратора, отредактировать или удалить новость, изменить статус заказа или его сумму, изменить баланс на счете...

Запись в файл/чтение файлов. Если звезды сложились удачно и у нас есть достаточно прав, известен абсолютный путь к файлам и не фильтруются кавычки, мы можем с легкостью залить шелл. Читать файлы можно даже при ограниченных правах. Например, можно прочесть из конфига логин/пароль от соединения с базой данных, и если повезет, подключиться напрямую. Если очень повезет - узнать пароль от фтп (в конфигах jooml'ы иногда хранится).

SiXSS. Union based и Error based инъекции позволяют провести XSS атаку. Для этого, вместо вывода данных из таблицы, мы пишем необходимый нам js-код:

По сути - это тоже самое, что и пассивная XSS (она же отраженная), т.к. вся нагрузка уже в самом запросе. Но в отличиии от обычной пассивки, она способна обойти защиту большинства браузеров (которые хавают обычные пассивки на раз-два):

Обход авторизации. Если уязвимость спряталась в форме авторизации, то вам не нужно будет знать пароль (а иногда и логин) для входа под учеткой другого пользователя/администратора.

SQLi + Denial of Service. С помощью одного нехитрого запроса можно повалить сайт к ебени-матери (например используя вложенный Benchmark).

Практика.

Чтобы действительно вьехать в тему, недостаточно просто изучить теорию. Нужно обязательно практиковаться:

  1. Ковырять заведомо уязвимые скрипты (DVWA, Mutillidae и подобные).
  2. Разбирать эксплоиты.
  3. Разбирать чужие взломы (отлично подойдет - http://forum.antichat.ru/threadedpost3817395.html).
  4. Участвовать в конкурсах и CTF.

Первые три я бы рекомендовал в первую очередь. 4 вариант для тех, кто уже уверен в своих силах.  В ближайших статьях я планирую вернуться к теме тренировок в SQL-инъекциях и данный блок будет обновлен.

Автоматизация.

Частенько мелькают сообщения на андергрант-форумах, дескать илита не пользуется софтом, а раскручивает все ручками. Возможно где-то и есть уникумы, которые time based скулю раскручивает с секундомером в руках, в качестве браузера используют telnet на 80 порт, а md5 хеши брутфорсят с помощью калькулятора, карандаша и листа A4, но мы к такой илите не относимся (мы вообще к илите не относимся).

Как я уже советовал вам ранее, поставьте Burp Suite. Хотя вы можете использовать любые другие отладочные прокси (Fiddler, Charles и т.д.), это уже скорее дело привычки, но Burp Suite все-таки заточен именно под поиск и эксплуатацию уязвимостей. Берем http-запрос, отправляем в Intruder, сразу смотрим результат. Шик же.

Если говорить об автоматизации sql-инъекций, то тут две софтины впереди планеты всей.

sqli003

havij - утилита must have для школо-хеккера (а также сценарной детки). Многие из тех кто используют эту программу, не знают, как провести атаку, если уязвимый параметр передается Post'ом или в куках. И это при том, что есть вполне сносная справка на сайте.

Любознательным товарищам будет полезно запустить havij через прокси (тот же burp suite или fiddler), чтобы увидеть и понять, как именно работает havij. Софт заточен под винду, имеет free и pro версию. "Крякнутые" версии практически всегда с чем-то склеены, и не обладают полным функционалом.

Определенно, есть много объективных причин (и все на поверхности), почему софт так популярен в массах. Есть масса аналогов, Pangolin, SQLi-helper и других, которые даже до havij не всегда дотягивают. Те же яйца, вид сбоку.

screenshot

sqlmap - на сегодняшний день, это лучший софт, для автоматизации SQL-инъекций. Любой пацык на районе подтвердит. Правда, нужно установить питон. И программа консольная (хотя и GUI обертку легко найти). Но это тока шобы отпугивать всякую шерсть, которая не сечет фишку.

Чтобы подтянуть знания по SQL-инъекциям, можно посмотреть исходники sqlmap (ну или поснифать запросы через веб-прокси).

Алгоритм для автоматизации простой:

  1. Burp Proxy. Сохраняем интересный запрос в файл request.txt (ПКМ -> Copy to file)
  2. Запускаем: sqlmap.py -r request.txt

Можно поставить плагин для burp (https://code.google.com/p/gason/) и отправлять запрос из Burp Proxy в sqlmap двумя кликами.

Это что касается автоматизации тестирования на sql-инъекции на одном сайте. Если вам нужно чекнуть на скули несколько десятков (сотен, тысяч) сайтов, то алгоритм, приведенный выше, вряд ли подойдет (если только вы не Дункан Маклауд).

О глобальной автоматизации (и создании убер-комбайна по взлому сайтов) мы поговорим в следующих статьях.