En este tutorial intentare mostrar como inyectar en una database
MySQL Version 4....
Antes que nada debemos tener un poco de conocimientos de SQL o MySQL.
Bueno tenemos una url vulnerable.... En este caso pues yo ya se que es Version 4...
Empecemos....
Primero empezaremos viendo si la pagina es vulnerable para ello pondremos en la consulta host de la pagina un
' o " o \ o cualquier caracter no valido que pueda romper una query(peticion)....
Bueno como vemos hemos roto la consulta con un ' y sabemos que nuestra
DBMS es MySQL.... ahora empecemos a ordernar columnas :D
hicimos un
order by 10 es decir que ordenemos las columnas por la columna 10... pero como esa columna no existe nos envia un error
"Unknown column '10' in 'order clause' " que dice que no existe la columna 10 en order by clause ....
entonces vamos intentando menos... como sabemos que no existe 10 por logica entonces debemos intentar menos por que no 5? :D
vemos que nos arroja la pagina entonces con esto sabemos que si logro ordenar por
5 columnas esto no quiere decir que tenga 5... intentemos ponerle 6 :D order by 6 :P
Ahora
si estamos seguros de que esta consulta tiene 5 columnas por que a la 6 nos arrojo que no existia entonces estaria algo asi:
$query='select column1,column2,column3,column4,column5 from table where id=$id';
bueno entonces como ya sabemos cuantas columnas contiene solamente las unimos....
union select 1,2,3,4,5
cuando hacemos el union de columnas nos arroja unos numeros con eso sabemos que esos son los
campos vulnerables 3 y 4 y podemos inyectar ahi nuestras funciones.... por ejemplo:
version() user() database(), etc...
bueno ahi tenemos sacamos la version() que es 4.1.22 y el user con el que podriamos conectar a mysql....
entonces como sabemos que es una
version 4 en esta version no se encuentra la base de datos de tipo metadatos information_schema con la que se podria conseguir las otras bases de datos, tablas, columnas y registros por lo que en este caso tendriamos que adivinar :D
entonces si ya sabemos los numeros de columnas que hay en la query solo haria falta saber desde que tabla esta seleccionando esos datos.... para ello vamos a hacer adivinando (modo bruteforce) entonces nuestra consulta formada seria de la siguiente manera:
union select 1,2,version(),user(),5 from admin
como ven admin es una tabla que no sabemos si es o no admin solo que estamos adivinando.... podria ser cualquier otra pueden usar, ya hay tablas mas usadas para ello pueden usar las que dejo
seth http://pastebin.com/LkGT4Dii
entonces que nos saldra con la de admin ....
union select 1,2,version(),user(),5 from admin.....
como ven dice que la tabla admin no existe con eso sabemos que tenemos que buscar otra tabla y asi hasta dar con una tabla que pueda ser interesante....
el error seria:
table database.admin doesn't exist
entonces seguiremos intentando con las tablas.....
como la pagina se mostro normal con las columnas que insertamos entonces sabemos que la tabla es correcta, la tabla seria administrators....
union select 1,2,version(),user(),5 from administrators
ahora entre los campos vulnerables tenemos que empezar a buscar adivinando las columnas que pueda haber en la tabla administrators....
y bueno para no seguir lo mismo pueden usar la tabla de arriba
e intentar adivinar (bruteforce) por ejemplo puedes usar id que seria normal que haya muchos usuarios en esa tabla entonces insertamos id como columna....
union select 1,2,id,user(),5 from administrators
vemos que id es un campo correcto entonces podemos
ir anotando datos en un bloc de notas, gedit, kate, etc....
seguimos intentando a bruteforce (adivinando), hasta encontrar todos los campos en este caso encontre que eran:
id,user_name,user_password ....
entonces podriamos hacer un group_concat para que nos mostrara todos los registros juntos,
group_concat no puede devolver todos los registros si son demasiados por lo que muchas veces necesitaras utilizar solamente concat o concat_ws con un limit de los registros a devolver.....
en este caso seria algo asi:
union select 1,2,group_concat(id,0x2d,user_name,0x2d,user_password),user(),5 from administrators
donde
0x2d seria un campo hexadecimal un divisor para que sepamos donde esta cada registro 2d es igual a - en hex pero para que
mysql lo reconosca como hexadecimal agregamos 0x :P
entonces tenenemos dos usuarios administrators esto lo sabemos por el
separador o divisor - id-user_name-user_password
como ven nuestro usuario esta encriptado y para saber el tipo de encriptacion solo hay que saber algo sobre criptografia.....
en este caso es un
md5($pass,$salt)
podemos usar un software como
john the ripper o
hashcat para intentar desencriptarlo por medio de
diccionarios.....
o tambien puedes utizar webs online que realizan este trabajo de una manera mas rapida por que tienen guardados los datos en su base de datos.....
encontradas las passwords podemos buscar si esta aplicacion tiene programado algun
panel de admin pero como tiene user y pass deberia tener no(?)
:P entonces podriamos empezar a buscar por robots.....
pagina.com/robots.txt
muchas veces podemos encontrar cosas interesantes....
la otra opcion que se puede usar es
google o
bing o
cualquier buscador :D
site: http://pagina.com/
y encontrar enlaces que puedan servir....
otra opcion es algun directory fuzzer o admin panels finders hay online tambien de estos..... aunque en este caso no utilizare por que se cual es podrias usar por ejemplo:
OWASP DirBuster o un servicio
online
Bueno ahi tenemos nuestro login entonces lo que aqui sabemos es que es un
CMS osCommerce nos logeamos con el user y password(desencriptada)
Encontre que la pagina de administracion tenia un script que redirigia a otra web despues de acceder por lo que active
noscript para que no se ejecutara el script....
revisando la pagina de
administracion no tenia nada para subir shell, entonces lo que hice es como tenemos acceso a la administracion y sabemos que tenemos
un cms un poco desactualizado buscamos algunas vulenrabilidades por google :D
y me encontre con uno
http://www.exploit-db.com/exploits/12811/
lo siguiente subir mi shell.....
Listo de aqui terminaria el articulo
podriamos hacer mas ataques de vulnerabilidades, o simplemente borrar la shell dejar un simple txt para darte un credito y avisar al administrador.....
nunca defacear por que como dijo okol en su articulo de vulnerabilidades web comunes muchos webmasters se enojan y te buscan para encarcelarte, otros puede que sean tus amigos pero la mayoria se enojaria a nadie le gusta que le digan sus errores xD :P
