Sacando Provecho A Inyecciones Ciegas De Sql

Published on hacktimes.com (http://www.hacktimes.com)

MYSQLBFTOOLS - SACANDO PROVECHO A INYECCIONES "CIEGAS" DE SQL.
By MeTalSluG Creado 17 Mar 2006 - 11:34 MySqlbf es una herramienta de pentest que nos permite extraer información de una base de datos MySQL realizando un ataque de fuerza bruta sobre aplicaciones web vulnerables a una inyección “ciega” de SQL (Blind SQL Injection).Inicialmente desarrollada en C por ilo y publicada en www.reversing.org [1], la última versión disponible (v1.2) se acompaña además con otra serie de utilidades nada despreciables. Pese a que el autor ha decidido abandonar el proyecto original, éste ha sido retomado por A.Ramos, quien ha portado la herramienta al lenguaje perl. El código fuente podeis encontrarlo en: bsqlbf.pl [2] junto con un videoexplicativo accesible aquí [3]. La inyección de código SQL, permite al atacante interactuar con el gestor de base de datos utilizado por la aplicación, pudiéndose en ocasiones no sólo obtener, modificar, añadir o borrar el contenido de la base de datos, sino también ir más allá, ejecutando comandos propios del sistema operativo, con las implicaciones de seguridad que obviamente esto supone. Los ataquesson posibles gracias a que la aplicación no realiza un correcto saneamiento de los datos de entrada recibidos por el usuario. El programa acepta y procesa los datos recibidos considerándolos como inocuos, permitiendo al atacante alterar la sentencia SQL original. Para verificar, sin realizar una auditoría del código fuente, si una aplicación es vulnerable a un ataque de este tipo, se envíandeterminados datos de entrada para generar errores en la sintaxis SQL. Basándonos en estos errores que nos muestra el servidor, es posible hacer ingenieria inversa de la sentencia SQL original que se está ejecutando, para de este modo, forzar a la aplicación a ejecutar otra/s sentencias. En ocasiones, no se nos muestra ningún mensaje de error. Esto puede ser debido a que el programador ha modificado lalógica de la aplicación con el fin de ocultar el problema subyacente, quizá redirigiendo al usuario a una página de error personalizada en la que no se muestra ninguna información útil, dando por supuesto que esta contramedida es lo suficientemente eficaz para disuadir a un posible atacante. Craso error. Nos encontramos entonces, ante una situación de inyección “ciega” de SQL, donde la única forma deproceder es formular preguntas a la aplicación, que nos serán contestadas mostrándonos un comportamiento diferente. Nos toca a nosotros interpretar esas respuestas como valores verdaderos ó falsos para extraer

1

información útil, ya sea simplemente averiguar si el usuario con el que se efectúa la conexión a la base de datos es el administrador, o bien preguntas mucho más complejas. Lasherramientas desarrolladas por ilo, nos facilitan esta labor. A destacar también el programa mysqlget que nos permitirá incluso descargar archivos interactuando con el servidor MySQL !! (Para que funcione, el usuario de mysql system_user() necesita tener permisos de lectura del archivo a descargar, y el usuario con el que se ejecuta la select donde se realiza la inyección tiene que tener privilegiosFILE). A continuación os incluimos la traducción del artículo original [4] escrito por ilo. No os perdais el “otro” video [5]. Cuidadito con pestañear ;) INYECCIÓN "CIEGA" EN MySQL Y ESTRESS DE LA BASE DE DATOS Os sugiero completar la información proporcionada por este artículo con el resto de documentos que tratan la inyección ciega en MySql disponibles en la web. Actualmente, ya existen algunasherramientas que permiten obtener información de las tablas de una base de datos (Microsoft SQL Server) cuando existe inyección ciega de código sql, tal es el caso de los programas Datathief o Absinthe. El problema en Mysql es la dificultad para obtener la estructura de la base de datos. En versiones antiguas de Mysql no hay objetos METADATA que definan la estructura de la base de datos o...