domingo, 23 de enero de 2011

Blind SQL Injection

-“Y que ej ezoh?

Una técnica de ataque a bases de datos de tipo SQL que se suelen utilizar en cualquier página web.
Se basa en un error de programación de la base de datos en la que se muestran mensajes de error al producirse resultados correctos o se muestran mensajes de error mostrando información de la base de datos que el administrador no quiere mostrar al “público”.
Es decir, que se filtra información através de mensajes de error debido a la mala programación de la base de datos.

-Procedimiento

Comprobando el fallo de seguridad...

[…php?id=’ ]   

Consultando...

[1+union+all+select+0,1,2,3,4,5,6…]  hasta que logramos encontrar el número de tablas
Y nos devuelve unos números que son las tablas donde podemos realizar la “inyección” escogemos una y ponemos “table_name” en su lugar y añadimos [from information_schema.tables- -]



[id=-1+union+all+select+0,1,2,3,table,5,6+from+information_schema.tables- -] con esta consulta nos devuelve el nombre de la primera tabla que suele ser la que está por defecto (CHARACTER_SETS) y añadiremos [limit+1,1--]  subiendo el numero del indicador de tabla para encontrar la tabla que más te guste.
Ahora buscamos la columna más “picante”  cambiando la sintaxis [table_name] por [group_concat(column_name)] y seleccionamos las columnas con [from information_schema.columns] y añadimos el nombre de la tabla en hexadecimal con el indicador “0x” (where  table_name=0xXXXXXXXXX)



Una vez encontrando los nombres de las columnas y las tablas que nos interesan, solo nos falta concatenarlo [group_concat(ejemplo,0xXXXXX,ejemplo),4,5 from ejemplo--] para que nos quede este bonito resultado.
Incluso podemos ponerlo más bonito y modificar los resultados poniendo dos puntos o cualquier otro carácter en hexadecimal para separar la información que queremos.



Como este hay muchísimos métodos de inyección “blind sql” muy bien documentados y con herramientas automatizadas como Marathon Tool, entre otras.

Páginas web de todo tipo (tiendas online,universidades,.gov…) tienen este tipo de fallo en sus bases de datos.

-Conclusión

¿ tendrán en cuenta la seguridad informática?

(Si shurmanico, ezoh lo vi yoh en matrih)

¿Esta guay mirarte cuatro blogs para páginas web en vez de pagar a un diseñador que asegure el código para ahorrarte los cuartos y comprometer tu negocio?

PD: No, no hay metadatos en las imágenes J

Victor “Hocker” C.

Fuentes: Wikipedia.org, securiteam.com
Imágenes :  made in feito na casa
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)