https://forum.antichat.xyz/attachmen...d459d5d226.png

В январе 2025 года кто-то проэксплуатировал CVE-2025-1094 в PostgreSQL - баг в функциях
,
и
библиотеки libpq (CWE-149, Improper Neutralization of Quoting Syntax, CVSS 8.1 HIGH, вектор AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H). Цепочка прошла через BeyondTrust Remote Support и закончилась в инфраструктуре Министерства финансов США. Суть уязвимости - некорректная обработка пользовательского ввода в запросе к базе данных. Тот самый класс багов, который существует двадцать с лишним лет и никуда не собирается.

По OWASP, SQL-инъекция стабильно сидит в Top 10 под категорией A03:2021 - Injection. По MITRE ATT&CK, эксплуатация публичных приложений (T1190, Initial Access) - один из основных начальных векторов для APT-групп: APT28, APT39, APT41, Agrius, Axiom и Dragonfly документированно используют SQL-инъекции для первоначального доступа к целевым сетям.

Это не пересказ документации. Это разбор конкретных техник эксплуатации SQL-инъекций в 2025 году с позиции пентестера: какие пейлоады работают против реальных WAF, как отладить sqlmap, когда он упорно не видит инъекцию, и чем отличается time-based атака на MySQL от PostgreSQL.
Пять типов SQL-инъекций и их место в kill chain
Прежде чем открывать sqlmap, разберитесь, с каким типом инъекции вы столкнулись. От этого зависит выбор техники, инструмента и тактика обхода защитных средств.
Error-based и UNION-based: классический in-band
In-band SQL injection - ответ приходит через тот же HTTP-ответ, в который улетел пейлоад. Два подтипа:

Error-based - приложение отдаёт ошибки СУБД прямо в тело ответа. Отправляете
(MySQL) - и в сообщении об ошибке всплывает версия базы. На PostgreSQL аналогичный результат даёт
- приведение строки к numeric вызывает ошибку, а в ней - полезные данные.

UNION-based - атакующий дописывает
к легитимному запросу, подтягивая данные из других таблиц. Условие: количество столбцов в UNION должно совпадать с оригинальным запросом. На практике это определяется тупым перебором:
,
и так до ошибки. По OWASP, классические сигнатуры вроде
WAF блокирует на раз - поэтому в реальных пентестах нужны обфусцированные варианты (об этом ниже).

С точки зрения MITRE ATT&CK, успешная in-band инъекция ведёт к тактике Collection - извлечение данных из баз (T1213.006, Databases). Если атакующий вытащит учётные данные администратора - это прямой путь к Valid Accounts (T1078).
Blind SQL injection: boolean и time-based эксплуатация
Blind SQL injection - приложение не отдаёт ни ошибок СУБД, ни данных из запроса. Ответ один и тот же, что ни подставь. Но разница всё-таки есть - надо знать, где искать.

Boolean-based blind - задаёте базе вопрос «да/нет» и судите по поведению приложения. Запрос
возвращает валидный контент (условие истинно), а
- пустой ответ (ложь). Посимвольно вытаскивая данные через
, реконструируете содержимое базы. Медленно - сотни запросов на один пароль. Но надёжно.

Time-based blind - ещё более скрытный вариант. Приложение возвращает идентичный ответ на любой ввод. Единственный сигнал - время отклика. На MySQL:
. Первый символ пароля - «a»? Ответ придёт через 5 секунд. Нет - мгновенно. На PostgreSQL
не существует - нужен
. На MSSQL -
. Эта разница между движками критична при ручном тестировании и при написании кастомных скриптов (у меня на этом горело не раз).

По данным OWASP, многие WAF пропускают blind-инъекции, если заменить стандартные функции синонимами:
на
или
,
на
или
,
на
. Часто не блокируются нестандартные операторы сравнения:
,
,
вместо
. Конструкция
возвращает 0 при совпадении, 1 или -1 при несовпадении - и WAF-правила пропускают её значительно чаще.
Out-of-band и second-order SQL injection атаки
Out-of-band (OOB) - данные уходят не через HTTP-ответ, а через внешний канал: DNS-запрос, HTTP-обращение с сервера БД на контролируемый атакующим хост. На MSSQL:
- сервер инициирует SMB-соединение на порт 445, что вызывает DNS-резолвинг hostname, а его видно в DNS-логах. Для чистой DNS-exfiltration используется конструкция с
+
. На MySQL (только Windows-хосты с FILE privilege и
или пустым):
. На Linux эта техника не работает - UNC-пути не поддерживаются. OOB-инъекция пригождается, когда time-based ненадёжна (WAF фильтрует задержки), а boolean-blind невозможна (ответ всегда одинаковый).

Second-order - самый подлый тип с точки зрения обнаружения. Пейлоад сохраняется в базу через безопасный INSERT (параметризованный), но срабатывает позже - когда другая часть приложения достаёт это значение и подставляет в новый запрос без санитизации. Пример: пользователь регистрируется с именем
. При регистрации всё чисто - prepared statement. Но при смене пароля приложение строит запрос
- и пароль админа перезаписан. Автоматические сканеры, включая sqlmap, second-order инъекции находят крайне редко. Тут нужен ручной code review и понимание логики приложения.
Обход WAF при SQL-инъекции: практические техники 2025
Обнаружить инъекцию - полдела. Проэксплуатировать её за WAF - вот на что уходит 80% времени пентеста.
HTTP Parameter Pollution и фрагментация запросов
По исследованию OWASP, HTTP Parameter Pollution (HPP) - один из самых эффективных методов обхода WAF. Суть: пейлоад разбивается между несколькими одноимёнными параметрами. WAF анализирует каждый отдельно и не видит полной картины, а бэкенд конкатенирует их.

Пример из OWASP: запрос
блокируется. Но
проходит - WAF видит два «безобидных» значения параметра
, а серверное окружение склеивает их. Но поведение зависит от платформы, и тут начинается зоопарк: ASP.NET/IIS конкатенирует через запятую - приведённый пример работает именно для этого стека. PHP/Apache берёт последнее значение (
), и инъекция в таком виде не сработает. JSP/Tomcat берёт первое значение (
). Node.js (Express) возвращает массив
, что требует явной обработки на стороне приложения.

HTTP Parameter Fragmentation (HPF) развивает идею: пейлоад дробится между разными параметрами уязвимого запроса. Если серверный код строит запрос из нескольких GET-параметров -

- можно отправить

Код:

---

/?a=1+union/&b=/select+1,2

---

. SQL-запрос станет:

Код:

---

select

---

. Блок
превращается в SQL-комментарий. Красиво, правда?
Обфускация пейлоадов: комментарии, кодировки и нормализация
OWASP документирует уязвимость в функциях нормализации WAF. Если WAF вырезает опасные ключевые слова (заменяет на пустую строку), можно вложить одно ключевое слово в другое:
. После очистки WAF убирает внутренние
и
, а на выходе - валидный
. Тот же принцип с
- если WAF удаляет
, результат - рабочий SQL.

Другие рабочие техники обфускации из данных OWASP:

• Скобочная обфускация:
  
  Код:

  ---

  (1)union(select(1),mid(hash,1,32)from(users))

  ---

  - пробелы заменены скобками, сигнатуры WAF ломаются
  
• Конкатенация строк:
  
  Код:

  ---

  1+union+(select'1',concat(login,hash)from+users)

  ---

  - кавычка прилипает к
  
  Код:

  ---

  select

  ---

  без пробела
  
• Вложенные скобки:
  
  Код:

  ---

  (1)union(((((((select(1),hex(hash)from(users))))))))

  ---

  - глубокая вложенность обходит regex-правила
  
• MySQL versioned comments:
  
  Код:

  ---

  /!50000UNION/ /!50000SELECT/

  ---

  - MySQL выполняет содержимое, если версия >= 5.00.00; WAF видит комментарий. Техника специфична для MySQL/MariaDB; MySQL 8.0 штатно поддерживает
  
  Код:

  ---

  /!nnnnn /

  ---

  , но в MariaDB 10.7+ поддержка executable comments ограничена - проверяйте на целевой версии
  
• Hex-кодирование:
  
  Код:

  ---

  0x50=0x50

  ---

  вместо
  
  Код:

  ---

  'P'='P'

  ---

  - многие WAF не декодируют hex при анализе

По MITRE ATT&CK обфускация пейлоадов SQL-инъекции прямо соответствует технике Command Obfuscation (T1027.010, Defense Evasion).
sqlmap автоматизация пентест: от разведки до эксплуатации
Требования к окружению


🔓 Часть контента скрыта: Эксклюзивный контент для зарегистрированных пользователей.

Зарегистрироваться
или
Войти

Перед запуском убедитесь: Python 3.x установлен, sqlmap клонирован из репозитория (
), Burp Suite Pro запущен и слушает на
. Для воспроизведения сценариев из этой статьи нужен тестовый стенд - DVWA, SQLi-labs или авторизованный scope bug bounty программы.
Когда sqlmap не видит инъекцию: отладка через Burp Suite
Знакомая ситуация: Burp Scanner нашёл потенциальную SQL-инъекцию, вы запускаете sqlmap - а он говорит «parameter does not seem to be injectable». Каждый пентестер через это проходил. Ниже - реальный workflow отладки, основанный на кейсе, описанном исследователями Vaadata.

Сценарий: Burp обнаружил boolean-blind инъекцию в параметре
. Два запроса Burp: с условием
(истина) сервер вернул данные, с
(ложь) - пустой ответ. Инъекция подтверждена вручную. Но
выдаёт «not injectable».

Шаг 1 - добавить прокси и уточнить технику. Запускаем sqlmap через Burp-прокси, указываем boolean-blind и строку, означающую «ложный» ответ:

Код:


Снова «not injectable». Но теперь трафик идёт через Burp, и в HTTP History видно: сервер возвращает HTTP 200 с
на каждый запрос sqlmap. Пустой ответ - WAF блокирует запросы по сигнатуре User-Agent.

Шаг 2 - сменить User-Agent. Добавляем
- и WAF отступает:

Код:


Инъекция найдена. Дальше - стандартная эксплуатация:
для перечисления баз,
для извлечения данных.

Вывод тут простой: sqlmap не заменяет понимание того, что происходит на уровне HTTP. Если он не находит инъекцию, которую вы подтвердили вручную - проблема в WAF, cookie-зависимости, нестандартном формате ответа или rate-limiting. Burp-прокси делает эти проблемы видимыми.


Tamper-скрипты sqlmap для обхода WAF
Флаг
подключает скрипты модификации пейлоадов перед отправкой. В комплекте sqlmap более 50 tamper-скриптов. Вот комбинации, которые чаще всего срабатывают на практике:

Для ModSecurity CRS:
.
заменяет пробелы на
,
заменяет
на
и
на
(ломая сигнатуры, ориентированные на оператор равенства),
рандомизирует регистр -
вместо
.

Для MySQL-специфичных окружений:
.
заменяет пробел на
с переводом строки (MySQL трактует
как однострочный комментарий),
оборачивает ключевые слова в MySQL versioned comments.

Для Cloudflare:
с дополнительным
и задержкой
(чтобы не сработал rate-limiter).

Tamper-скрипты - не серебряная пуля. Каждый WAF обновляет правила, и комбинация, работавшая вчера, может быть заблокирована сегодня. Если стандартные tamper-скрипты не помогают - пишите свой. Кастомный tamper-скрипт - Python-файл с функцией
, которая принимает пейлоад и возвращает модифицированную строку.

Дополнительные флаги sqlmap, повышающие эффективность при работе с WAF:

• Код:

  ---

  --level=5 --risk=3

  ---

  - максимальные уровни тестирования, включают проверку cookie, referer, user-agent
  
• Код:

  ---

  --batch

  ---

  - автоматические ответы на все вопросы (для скриптинга)
  
• Код:

  ---

  --technique=BEUSTQ

  ---

  - конкретные типы инъекций для проверки (B=boolean, E=error, U=union, S=stacked, T=time, Q=inline query)
  
• Код:

  ---

  --prefix="')" --suffix="-- -"

  ---

  - кастомные префикс и суффикс для пейлоада, когда вы знаете структуру уязвимого запроса

Burp Suite и SQL injection: ручная верификация перед автоматизацией
Workflow, который минимизирует ложные срабатывания и экономит время:

Этап 1 - пассивный сбор. Проходите по приложению через Burp Proxy, собирая все endpoint'ы. В Target → Site map ищите параметры, которые потенциально попадают в SQL-запросы:
,
,
,
,
,
.

Этап 2 - ручное тестирование в Repeater. Берёте подозрительный запрос, отправляете в Repeater. Вставляете простейшие пейлоады: одинарная кавычка
(ищите ошибку),
vs
(ищите разницу в ответе),
(ищите задержку). Расширение Hackvertor позволяет на лету кодировать пейлоады - URL-encode, hex, unicode - без ручного пересчёта.

Этап 3 - передача в sqlmap. Инъекция подтверждена вручную - сохраняете запрос из Burp в файл (правый клик → Save item) и передаёте через
. Так sqlmap использует те же cookie, заголовки и параметры, что и ваш ручной тест. Расширение SQLiPy для Burp Suite позволяет отправить запрос напрямую в sqlmap API из интерфейса Burp.

Этап 4 - анализ результатов. sqlmap нашёл инъекцию - смотрите тип: union-based - данные можно вытащить быстро. Time-based - готовьтесь к длительному ожиданию и используйте
для параллелизации (если целевой сервер выдерживает нагрузку).
DBMS-специфичные пейлоады при SQL injection атаках
Одна из типичных ошибок - гонять MySQL-пейлоады против PostgreSQL или MSSQL. Движки по-разному обрабатывают синтаксис, и пейлоад, идеальный для одной СУБД, вызовет синтаксическую ошибку на другой.

Конкатенация строк. MySQL:
. Оператор
в MySQL по умолчанию - логическое ИЛИ, а не конкатенация (в отличие от PostgreSQL/Oracle); но если на сервере установлен
с
или
,
будет конкатенацией - проверяйте через
. PostgreSQL:
. MSSQL:
. Критично при error-based инъекциях, где нужно собрать строку для вывода.

Задержки для time-based. MySQL:
или
. PostgreSQL:
. MSSQL:
. Oracle:
. Пишете кастомный скрипт для автоматизации time-based инъекции - проверяйте движок перед выбором функции задержки.

Определение версии. MySQL:
или
. PostgreSQL:
. MSSQL:
. Oracle:
.

Комментарии. MySQL:
(с пробелом после),
,

. PostgreSQL:

Код:

---

--

---

,

Код:

---

/

---

. MSSQL:
,
. MySQL уникален поддержкой
как однострочного комментария - tamper-скрипт
эксплуатирует именно эту особенность и бесполезен против PostgreSQL.

Stacked queries. PostgreSQL и MSSQL нативно поддерживают выполнение нескольких запросов через
. MySQL в связке с типичными клиентами (PHP
, PDO, Python MySQLdb) stacked queries по умолчанию не поддерживает - нужна
. На практике:
сработает на PostgreSQL, но с высокой вероятностью упадёт с ошибкой на MySQL.

Вернёмся к CVE-2025-1094: уязвимость в функциях экранирования PostgreSQL (CWE-149) позволяла обойти quoting-механизм libpq и получить выполнение произвольного SQL в контексте psql. Вектор CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - атака по сети, не требует привилегий и взаимодействия пользователя, но сложность высокая (AC:H). Именно эта сложность означала, что sqlmap без кастомной настройки не мог автоматически проэксплуатировать эту уязвимость.
SQL injection обнаружение и защита: что видно в логах
Со стороны обороны SQL-инъекции оставляют характерные следы. Вот что искать в access-логах WAF и веб-сервера:

• Строки
  
  Код:

  ---

  UNION SELECT

  ---

  ,
  
  Код:

  ---

  SLEEP(

  ---

  ,
  
  Код:

  ---

  BENCHMARK(

  ---

  ,
  
  Код:

  ---

  pg_sleep

  ---

  ,
  
  Код:

  ---

  WAITFOR DELAY

  ---

  в параметрах запросов
  
• Символы
  
  Код:

  ---

  '

  ---

  ,
  
  Код:

  ---

  --

  ---

  ,
  
  Код:

  ---

  /


  ---

  
  ,
  
  Код:

  ---

  ---

  Код:

  ---

  /

  ---

  ,
  
  Код:

  ---

  #

  ---

  в нехарактерных полях (имена пользователей, числовые ID)
  
• Аномальная длина параметров: поле
  
  Код:

  ---

  id

  ---

  , обычно содержащее 1-5 цифр, внезапно получает 200+ символов
  
• Аномальное время выполнения запросов к БД: обычно 50ms, внезапно 5000ms+ (сигнал time-based инъекции)
  
• Серия однотипных запросов с минимальной вариацией одного символа (сигнал автоматизированной blind-инъекции)
  
• User-Agent содержащий
  
  Код:

  ---

  sqlmap

  ---

  - тривиальный индикатор, но удивительно часто встречается при скане ботами

Для SQL-инъекций через SQL Stored Procedures (T1505.001, Persistence по MITRE ATT&CK) - мониторьте логи СУБД на предмет создания новых хранимых процедур или изменения существующих. Это может означать, что атакующий закрепляется через бэкдор внутри базы.

На уровне SIEM выстраивайте корреляцию: всплеск 500-ошибок от одного IP + аномальная длина параметров + последующие запросы к чувствительным endpoint'ам = высоковероятная попытка SQL-инъекции.

Что касается защиты - prepared statements (параметризованные запросы) остаются единственным надёжным методом. ORM снижают риск, но не устраняют его:
в Django,
в Node.js,
в Ruby on Rails - все они позволяют писать «сырой» SQL и мгновенно создают уязвимость. WAF - дополнительный слой, не основная защита. Принцип наименьших привилегий для учётной записи БД, под которой работает приложение, ограничивает ущерб: если аккаунт имеет только SELECT на нужные таблицы, stacked query с
не пройдёт.
Вопрос к читателям
При настройке sqlmap под конкретный WAF выбор tamper-скриптов определяет успех или провал эксплуатации. Выше я описал комбинации
для ModSecurity CRS и
для Cloudflare. Но WAF-правила обновляются, и эти комбинации не вечны. У кого есть свежий опыт обхода конкретного WAF через
? Какая связка сработала, против какого WAF-движка и версии CRS? Покажите вашу рабочую строку
- это ценнее любой теории.