🧙‍♂️
nico
  • Design Patterns
    • Factory Method
  • Javascript
    • Como rodar um código JS?
    • Comentários
    • Variáveis
    • Tipos
    • Conversão de tipos
    • Literais
    • Estruturas de Repetição
    • Declaração Condicional
    • Tratamento de Erros
    • Operadores
    • Functions
    • Classes
    • Classes Importantes
    • Programação Assíncrona
    • Módulos
  • Git
    • Básico
    • Branches
    • Listando repositórios remotos e arquivos de configuração
    • Commits
    • Stash
    • Logs
    • Tags
    • Reset e Revert
    • Checkout, Rm e clean
    • Merge
    • Fetch e Pull
    • Show
  • Segurança da Informação
    • Swiss Army Knife
      • Utilitários
    • Information Gathering - Business
      • Métodos de coleta de informações
    • Information Gathering - Business
    • Information Gathering - INFRA
      • Métodos de coletas de informações
    • Information Gathering - Web
      • Métodos de coleta de informações
    • Scanning
      • Tracking the route
      • Firewall
      • Ping Sweep
      • Identificado hosts ativos em uma rede interna utilizando o ARP
      • Nmap: the network mapper
      • Network Sweeping
    • Burlando mecanismos de defesa
      • Bypass Firewall
      • IDS - Intrusion Detection System
      • IPS - Intrusion Prevention System / Bloqueio de Port Scanning
      • Bypass IDS/IPS/FW
    • Enumeration
      • Enumerando HTTP
      • Enumerando HTTPS
      • Identificando WAF - Web Application Firewall
      • Enumerando FTP
      • Enumerando NetBIOS / SMB
      • Enumerando com RPC
      • Automatizando a enumeração NetBIOS/SMB
      • Enumerando POP3
      • Enumerando SMTP
      • Enumerando SSH
      • Enumerando NFS
      • Enumerando SNMP
      • Enumerando MySQL
    • Hashes e Senhas - Linux
      • Entendendo os Hashes
      • Senhas em sistemas Linux
    • Hashes e Senhas - Windows
      • Introdução
      • Obtendo hashes em sistemas modernos
      • Obtendo hashes em servidores AD
      • Descobrindo hashes
      • Obtendo hashes e senhas em cache
      • Validando as credenciais obtidas
      • Obtendo hashes remotamente
      • Obtendo shell no host
      • Pass the Hash
      • Swiss Army Knife
      • Ataque: NBT-NS / LLMNR
    • Pentest Interno
      • Introdução
      • Identificando o escopo na rede.
      • Capturando hashes
      • Validando as credenciais
      • Enumerando as contas do AD
      • Conseguindo domain admin
    • Brute force: Ataques em senhas
      • Wordlists
    • Pentest Web
      • Identificando métodos aceitos
      • Open redirect
      • SQL Injection
      • Full Path Disclosure | Path Traversal or Directory Traversal
      • LFI - Local File Inclusion
      • HTML Injection
      • XSS - Cross Site Scripting
      • Command Injection
      • Bypass upload
    • Buffer Overflow
      • Arquitetura de computadores
      • Introdução
    • Pós exploração
      • Diferença de shells
      • Transferência de arquivos
      • Tunelamento
      • Enumeração Host: Windows
      • Privilégios e Mecanismos de Integridade
      • Bypass UAC
      • Enumeração Host: Linux
  • Docker
    • O que é docker?
    • Criação e edição de containers
    • Criação de imagens
    • Docker compose
  • Backend
    • Gerenciamento de memória
    • Concorrência e paralelismo
  • Data Structures & Alhorithms
    • Binary Search
Powered by GitBook
On this page
  • Como pode ser explorado da maneira mais simples?
  • SQL Injection Error Based
  • Information Schema
  • Do SQL Injection até o RCE
  • Bypass addslashes

Was this helpful?

  1. Segurança da Informação
  2. Pentest Web

SQL Injection

PreviousOpen redirectNextFull Path Disclosure | Path Traversal or Directory Traversal

Last updated 3 years ago

Was this helpful?

O SQL injection, é uma das técnicas de vulnerabilidades web mais conhecida. Ela consiste em basicamente passar uma query SQL em um input que se o banco de dados não tiver um tratamento correto dessa entrada, pode acabar resultado em um vetor de ataque caso essa query seja maliciosa.

Vamos supor que o backend trata a entrada de um login da seguinte forma abaixo.

O problema é que a query que irá para o banco de dados não está sendo filtrada corretamente, passando os parâmetros exatamente como o usuário digita e isso pode ocasionar a vulnerabilidade.

Como pode ser explorado da maneira mais simples?

Vamos então utilizar o payload mais básico para explorar essa falha. A ideia a seguir, é utilizar o campo do usuário para bypassar a consulta. Primeiro temos que fechar as aspas simples e utilizar uma condição de "ou" para que assim a query retorne true e por fim comentar o resto para que seja ignorado, com isso irá trazer os resultados no banco de dados. O payload final fica da seguinte forma: ' or 1=1 # ou ' or 1=1 --

O comentário # e -- varia de acordo com o banco de dados.

Assim, no banco de dados vai retornar o primeiro usuário que a consulta buscar, autenticando assim na aplicação com este usuário.

SQL Injection Error Based

Esse é um tipo de injeção que retorna um erro para o usuário. Para triggar este erro, podemos passar, por exemplo, uma aspas simples para ver o que a aplicação retorna (essa aspas simples irá fechar a consulta no parâmetro que for passado). Se for vulnerável, geralmente irá vir uma mensagem com o seguinte erro:

You have an error in your SQL syntax;

Com isso, podemos utilizar o union do sql para unir uma nova consulta, e passar um %23 que significa o caractere # encodado, já que estamos enviando essas informações pela url (irá comentar o resto da query que estiver no banco). Além do "#", poderia ser passado também um ponto e vírgula ou uma aspas simples, depende de como a aplicação foi feita.

Assim é retornado a seguinte mensagem dizendo que o número de colunas é diferente do que foi passado.

Quando é inserido o número exato de colunas que tem no banco de dados, é retornado as informações (Agencia, Local e Telefone).

Podemos visualizar as tabelas para ficar mais claro o que está acontecendo.

Nesse caso, a aplicação só esta mostrando três colunas, a agência, local e telefone. No union, poderia ser passado qualquer valor além de 3, 4 e 5 como uma string por exemplo ("col1", "col2", "col3", "col4", "col5" ). Dessa forma que foi feito fica mais fácil para entender.

Sabendo quais colunas que está sendo retornado, podemos utilizar alguns comandos para pegarmos informações importantes.

A consulta ficou dessa forma

Information Schema

Agora que conseguimos algumas informações, vamos fazer consultas mais avançadas. Sabendo que o nome do banco de dados é dbmrtur, podemos consultar a information schema para conseguirmos mais informações.

Selecionando as tabelas

Selecionando as colunas

E por fim, selecionando os campos

Podemos utilizar o concat para concatenar as informações com dois pontos.

Do SQL Injection até o RCE

Para conseguirmos um RCE neste cenário, vamos fazer um escrever um arquivo no servidor. Podemos carregar arquivos do sistema operacional utilizando o load_file(), é ótimo para reconhecimento e ler arquivos sensíveis.

Para escrevermos o arquivo, podemos utilizar o INTO OUTFILE e passar o caminho que desejamos junto com o nome do nosso arquivo.

Porém, em determinados casos pode ser que não tenhamos permissão para fazer isso. Porém há um diretório no sistema que tem permissão de escrita. Sabendo disso, e tendo consciência que a aplicação interpreta PHP, podemos escrever um arquivo PHP com uma função system().

Pronto, não houve mais o erro de permissão e conseguimos criar o arquivo com a shell. Agora basta chamar o arquivo passando por parâmetro o que queremos executar.

Bypass addslashes

Algumas vezes, quando é passado um valor por parâmetro, o backend pode fazendo o tratamento colocando uma barra "\" para quebrar a consulta, assim dificultando que o sql injection seja explorado. Porém há uma forma de burlar convertendo as strings para decimais. Temos algumas opções para isso

Utilizando o mysql 

select ascii("a");

Utilizando o bash

echo -n "teste" | od -An -tdC

Ou também utilizar um conversor para isso

Após fazer a conversão, ao invés de passar por parâmetro a string, basta utilizar char() com os decimais. 

where tamble_schema=char(116, 101,115,116,101)
LogoASCII text,Hex,Binary,Decimal,Base64 converter