Моя первая статья. Вообще, я сторонник всевозможных уроков «Дилетантам от дилетанта». Я сам не так давно начал практиковать SQL-инъекции, и именно поэтому, пока еще свежи воспоминания о том, в чем у меня были проблемы, я постараюсь изложить основы наиболее понятным новичку языков. Опытным хакерам-дедам просьба не беспокоиться. Также, я прекрасно знаю, что тема изъезжена вдоль и поперек и что статей по ней великое множество. Но, тем не менее, я хочу претендовать на то, что моя будет самой понятной. Я совсем не хочу поместить в статью все тонкости и нюансы, просто хочу рассказать основы, необходимые для понимания более полных и профессиональных статей.

Благодарности:

Konqi , ибо именно у него я консультировался в самом начале пути;

Авторам этих статей:

SQL injection и заливка шелла

SQL injection полный FAQ

Итак, приступим.

Что такое SQL Injection? Это внедрение злоумышленником постороннего SQL-кода при помощи составлении специального URL (адреса, для танкистов). Найти уязвимость очень просто. Как – покажу на примере. Здесь у нас, кстати, рассматриваются MySQL базы данных (далее – БД), причем пятой версии.

Казалось бы, что такого особенного в этой странице? 774 – это значение переменной id. Давайте попробуем сунуть к этому значению кавычку:

Хм, новости исчезли. Теперь давайте попробуем выполнить арифметическое действие:

Отображается то же самое, что и при id=774. Это хорошо. Мы можем с уверенностью сказать, что здесь имеет место быть уязвимость. Кстати, очень важный момент. В этом примере при подстановке кавычки на странице исчезают новости, которые там по идее должны быть – это значит, что вывод ошибок отключен. Но чаще, когда мы находим уязвимость, получается ошибка навроде «1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ” ORDER BY p.pid DESC LIMIT 0, 20′ at line 12». Почему же для базы данных наш запрос – ошибочен? Сейчас объясню. Запрос к БД, допустим, выглядит так:

(Если не понимаете логики запроса – «Выбрать все из news где id='774'»). А что получилось, когда мы подставили кавычку?

Логика и синтаксис полетели к чертям и БД не может понять, что мы требуем.

Вы не забыли, что цель SQL-инъекции – сделать свой запрос? Так вот, делать мы его будем при помощи оператора UNION – он служит для объединения двух запросов в один. Но прежде нюанс – количество столбцов до этого UNION и после должно соответствовать. Пока особо в это не вдумывайтесь, это теория, потом поймете. Будем подбирать количество столбцов при помощи оператора ORDER BY. Еще сверхважный момент – при составлении url вместо пробела пишите плюс. И вот еще – в MySQL начало комментария обозначается двойным дефисом --, причем до и после него должен быть пробел (помните про плюс?). Я также читал, что комментарий обозначается /*, не знаю, если честно, в чем отличия. Ну, на всякий случай, давайте дописывать в конец url знак начала комментария. Итак, начинаем подбирать количество столбцов вот так:

Крайнее число – 22, стало быть, столбцов 22. Если не поняли – при написании числа, меньшего или равного количеству столбцов, содержимое отображается, а при написании числа, большего, чем количество столбцов, ошибка.

Теперь, собственно, UNION. Перед этим лучше поставьте значение id=-1 или допишите что-нибудь ложное, например, 1=0, чтобы содержимое не отображалось и не мешало думать.

Ничего не отображается, естественно.

Сейчас нам нужно узнать версию MySQL. Для этого есть функция version(). Узнаем версию мы так:

Вы ведь помните, что у нас 22 столбца?

Отображается какая-то фигня) В том числе такое большое красивое число 19. И вместо числа 19 в url подставляем нашу функцию version():

Версия 5, отлично! Почему отлично? Потому что в MySQL пятой версии есть такая замечательная штука, как INFORMATION_SCHEMA.TABLES, которая содержит имена всех таблиц БД! И если к ней есть доступ, мы сможем подсмотреть имена таблиц:

Обратите внимание на group_concat(table_name)вместо того же числа 19. Если написать просто table_name, то почти наверняка отобразится одно название и все. А нам нужны все. Результат такого запроса – вывод имен всех таблиц. Теперь просто смотрим на имена и предполагаем, в какой таблице лежит то, что нам нужно. Допустим, нам нужен логин и пароль администратора. Замечаем таблицу AdminSite – давайте посмотрим, что в ней за столбцы. Делаем вот так:

INFORMATION_SCHEMA.COLUMNS, обратите внимание. Не тейблс. И не забудьте «где имя таблицы = AdminSite». Так, а что же такое? Пустота. А давайте попробуем использовать такую замечательную вещь, как CHAR. Ищем любой ascii конвертер. Возьмем этот. Вбиваем AdminSite, ниже показывается «65 100 109 105 110 83 105 116 101». Быстренько пихаем в ворд и делаем замену пробелов на запятые. Потом составляем такой url:

Я думаю, вы заметили – CHAR(AdminSite в ascii). Теперь получилось! Итак, у нас есть имена столбцов. Теперь приступаем к самому сладкому - мы видим столбцы «login» и «passw». Очевидно, что в них хранится логин и пароль админа. Делаем такой url:

Обратите внимание на 0x3a между «login» и «passw». Это двоеточие в hex, если написать там просто двоеточие, не выйдет. Итак, на страницу выводится логин и пароль админа. Ура! Но вот важное замечание: хранить пароли в БД в открытом виде довольно небезопасно, поэтому чаще можно извлечь не пароли, а хеши, которые еще нужно расшифровать. Тут много вариантов – попросить на Античате, попробовать онлайн-сервисы, побрутить самому.

Вот, собственно, и все. Надеюсь, моя статейка поможет кому-то. Имхо, SQL инъекции идеальны для начинающего хацкера

Статья написана исключительно в целях помочь всевозможным администраторам уберечься от SQL-инъекций. За использование полученных из статьи сведений автор отвественности не несет!

Спасибо за внимание, жду аргументированной критики и вопросов)