Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Que hacer después de explotar un SQLi

  • 5 Respuestas
  • 6968 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5473
  • Actividad:
    20%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« en: Octubre 18, 2017, 03:54:56 pm »

¿Qué hacer después de explotar un SQli?

Esta es una pregunta que me han hecho más de una vez y también hay que reconocer de que muchas veces los papers sobre SQLi explican como explotar la vulnerabilidad pero no van más allá de eso.

Para responder la pregunta, luego de explotar un SQLi, obviamente hay que reportarlo al administrador del sitio.

Todos aquellos que tenemos un sitio web, sabemos lo que cuesta mantenerlo y la cantidad de horas que hay que dedicarle para tenerlo activo, destacando también de que hay mucha gente que vive de su sitio web, y es de muy mal gusto que alguien encuentre una vulnerabilidad y la explote, tirando a la basura tanto tiempo dedicado en el sitio. Es por ello que lo más humano sería y lo que yo recomiendo es reportarlo para que esto no ocurra.

Más allá de esto, veremos el daño que se puede hacer explotando esta vulnerabilidad.

Para evitar todo el rodeo de inyectar en la URL, usaré directamente sqlmap para obtener las credenciales. Aún así, acá les dejo el link de uno de los talleres de Underc0de que justamente es para explotar esta falla desde cero:

Taller de Seguridad Web #2: SQLi desde cero: https://underc0de.org/foro/talleres-underc0de-213/taller-seguridad-web-2/


Como se puede ver, en la captura, he obtenido las credenciales de una tabla llamada tb_usuario. Cabe aclarar que en este caso, la password no estaba con ningun tipo de hash, es decir, estaba en texto plano.

El paso siguiente es encontrar un panel para podernos loguear con estas credenciales obtenidas. Para ello debemos utilizar algun tipo de scanner, crawler o panel finder para encontrarlo.

Yo les dejaré dos links que son bastante útiles:

Por un lado este panel finder online: http://overflowzone.com/tools/admin-finder


Como se puede ver en la imagen, solo ponemos la URL a analizar y comenzará a probar distintas combinaciones.

Y por otro lado también pueden utilizar un Crawler, el cual recopila todas las URL y paths que tiene el sitio web como por ejemplo este: http://freetools.webmasterworld.com/tools/crawler-google-sitemap-generator/

Es un generador de Sitemaps, pero justamente recolecta todas las urls que tiene el sitio web


Otros tips útiles es ver el robots.txt del sitio, o usar los comodines de Google como por ejemplo “site:sitio.com” y ver todo lo indexado.

Existen miles de herramientas similares, es cuestión de probar y quedarse con la que más cómoda nos resulte.

Una vez ubicado el panel, probaremos las credenciales obtenidas:


Y como podemos ver, pudimos ingresar. Aparentemente como administradores ya que podemos agregar y ver varias cosas dentro del panel.


El paso siguiente será explorar un poco el sitio y ver si logramos encontrar algún uploader para poder subir una shell.

¿Qué es una Shell?

Para los que no sepan lo que es una Shell, lo explicaré brevemente diciendo que es un fragmento de código escrito en PHP, JS, Python, Perl, etc que tiene como finalidad “manipular” el sitio web como si fuesemos administradores.

Es decir, podemos descargarnos toda la web, ejecutarle comandos al servidor o incluso borrar todo y subir un index como que el sitio ha sido defaceado. Es un daño muy grande el que se puede hacer con esta falla de seguridad que es el SQLi.

Pueden encontrar una buena cantidad de shells y herramientas en nuestra colección: https://shells.underc0de.org/

Para este ejemplo usaré una llamada C99.php que es una muy conocida y que pueden descargar del link que les he dejado.

Subiendo la Shell

Explorando el sitio web, me topé con un formulario para agregar “versiones de autos” y que tiene un uploader (Para subir archivos al servidor)


Probaremos completando todo el formulario y subiendo la shell por ese uploader y veremos si verdaderamente lo sube o no.


Completamos todos los datos y damos en guardar y veremos si nos deja subir la shell.


Al parecer todo marcha bien! Hemos podido salvar los cambios sin recibir ningún error diciendo que el archivo subido es inválido ni nada de eso.

lo siguiente será ver en donde quedó subido y si verdaderamente quedó guardado como PHP para poderse ejecutar cuando la abramos.


Volvemos al listado y damos en editar, para saber si tenemos algo extra de información de donde puede estar la shell.


Como se puede ver, en donde dice “Archivo actual” me ha cambiado el nombre de la shell, le ha agregado el img_2017…. Pero si vemos abajo en la izquierda, lo ha guardado como PHP, esto quiere decir, que si abrimos esa URL, podremos ver la shell.


Y efectivamente ahí esta la shell y todos los archivos listados de la web. Como se puede ver, podemos editarlos, descargarlos, borrarlos, etc.

Tiene opción de hacer brute force al FTP, ver bases de datos, etc.

Con esto ya estaría explotada la falla al 100%, pero como bien dije antes, yo recomiendo reportarlo al administrador, tal como lo hice yo con este sitio web. El administrador ya fue notificado del fallo y le comenté la gravedad del mismo.

Espero que les haya gustado a modo educativo y no destructivo.

ANTRAX
« Última modificación: Noviembre 28, 2017, 11:41:19 am por ANTRAX »


Desconectado diegoh66

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Noviembre 28, 2017, 05:18:58 pm »
y que pasa si no puedo subir la shell?, como podría bypassear las restricciones, por ejemplo que no se permiten extensiones php o al subir la imagen te lo cambia con extensión .txt

Desconectado d3mVs

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Noviembre 29, 2017, 07:55:43 am »
Muy buena ANTRAX!

y que pasa si no puedo subir la shell?, como podría bypassear las restricciones, por ejemplo que no se permiten extensiones php o al subir la imagen te lo cambia con extensión .txt

Subelo con otra extensión y después intenta renombrarlo. Si conseguiste nivel para subir archivos fácilmente podrás inyectar algún comando de sistema. Depende el caso.

Saludos

Desconectado labacuo

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Enero 15, 2018, 04:45:10 pm »
Pero si la web vulnerable no tiene la opción de subir ficheros, siendo admin de la base de datos, que otra cosa puedes hacer?...

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5473
  • Actividad:
    20%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Enero 23, 2018, 02:59:18 pm »
Pero si la web vulnerable no tiene la opción de subir ficheros, siendo admin de la base de datos, que otra cosa puedes hacer?...

si el user que accede a la bd es dba, puedes subir shell con sqlmap

Saludos,
ANTRAX


Desconectado Psychic

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: Root914xD
« Respuesta #5 en: Abril 13, 2018, 02:59:18 pm »
Antrax cuándo descifro el panel del administrador con los tools de la web que dejaste como se cual es la clave del panel del administrador?

 

¿Te gustó el post? COMPARTILO!



0D1N v2.6 – Herramienta de seguridad web para hacer difusos en HTTP / S

Iniciado por Gold Master

Respuestas: 0
Vistas: 1226
Último mensaje Abril 16, 2019, 09:16:37 pm
por Gold Master
Realizando un ataque báscio de SQLi mediante metodo POST desde 0

Iniciado por m0rf30

Respuestas: 1
Vistas: 2623
Último mensaje Julio 16, 2016, 05:42:55 am
por Uservzk80
WhoUr herramienta para recopilar informacion de una web y buscar webs a vul sqli

Iniciado por jopcode

Respuestas: 0
Vistas: 2234
Último mensaje Noviembre 30, 2017, 10:57:00 pm
por jopcode
Como hacer ataques DDoS [linux]

Iniciado por unkdown

Respuestas: 3
Vistas: 3193
Último mensaje Julio 21, 2015, 07:51:12 pm
por Baxtar
[Video- español] Curso de SQL INJECTION (SQLI) - Básico a Avanzado

Iniciado por Franciscodc

Respuestas: 1
Vistas: 5584
Último mensaje Agosto 29, 2018, 02:50:31 am
por Lmntr1x