Tutorial De Inyección SQL Para Principiantes.

Primero y antes que nada, debemos saber muy bien los conceptos de cada uno que tocaremos en este tema.

¿Qué es SQL?

Significa un Lenguaje de Consulta Estructurado (en ingles Structured Query Languaje). Como su nombre lo indica es un lenguaje para tener acceso a una Base de Datos que nos permite realizar varias operaciones en ella, como poder guardar información privada de un sitio web, contraseñas, nombres, y otras cosas.

Sin embargo, muchos CMS Sistema de Gestión de Contenidos (en ingles Content Management System) utilizan SQL para acceder a una Base de Datos (PhpMyAdmin) y guardar información.

CMS (Sistema de Gestión de Contenidos) no es ningún tipo de programa literalmente, sin embargo, es programado para que los usuarios tengan la facilidad de crear su pagina web utilizando una base de datos.

Algunos CMS son muy populares como lo son; SMF, Wordpress, y Blogger entre otros.

¿Y qué significa SQLi?

Son la abreviatura de SQL Injection. Aunque, SQLi es un bug bastante viejo, existen CMS o páginas web con esta vulnerabilidad.

Debido que es un post para principiantes y un poco largo, no iré muy a fondo sobre los conceptos, por eso mejor aquí la dejamos y vamos al tutorial.

¿Donde puedo encontrar paginas vulnerables a SQLi?

En Google, sin embargo, existen Dorks (Palabras claves para poder encontrar CMS vulnerables con facilidad). De cualquier manera no es muy difícil encontrar sitios (Probablemente) vulnerables a SQLi.

Solo es cuestión de ingeniarse las palabras claves para encontrar sitios Web con este bug.  

¿No entendiste? La Inyección SQL se empieza por encontrar en una url muy parecido a esto: /index.php?id=28, sin embargo, la inyección se comienza en la variable id=28.

Tutorial Inyección SQL para principiantes

Primera fase:

Un ejemplo de como buscar en Google

1) Nos dirigimos a la pagina de Google y en el buscador colocamos esto id = cat index.php?

Nota: Actualmente Google ha actualizado su buscador, ha mejorado sus herramientas, y la interfaz grafica.

Sin embargo, obtendremos tal resultado como la imagen:

2) También podemos utilizar la barra lateral Izquierda para encontrar más sitios vulnerables.

¿Como saber si la página es vulnerable?

Bastante sencillo, tan solo colocar una ' (Comillas, coma, punto, cualquier caracter) al final de la variable es decir /index.php?id=28' nos deberá marcar un error más o menos así (Puede variar los errores, pero el más común entre ellos es este):

Sí de lo contrario no muestra error, quizás el sitio no sea vulnerable.. (Pero no significa que no sea vulnerable a SQLi).

¿Como? ¿Osea es vulnerable o no? 

Déjame explicarlo, muchos administradores no tienen idea lo fácil que es arreglar este bug (SQLi) en su pagina web, lo que ellos hacen es unicamente agregar una función en PHP para evitar que se muestren los errores de la web es un error muy grave que cometen los webmaster, ni más ni menos, este es el sencillo código PHP que utilizan:

<?php error_reporting(0); ?>

Cabe mencionar que es un error muy común por parte de los administradores, ya que eso no arregla el bug, sin embargo, el bug sigue allí.. Es un problema para la seguridad de su sitio, ya que el atacante podrá darse cuenta y seguir intentando hasta tener el usuario y contraseña de la administración fácilmente.

Explicación resumida:

Tenemos la siguiente página como ejemplo http://www.asfasd.com/index.php?cat=45 

Agregamos una comilla al final de la url http://www.asfasd.com/index.php?cat=45'

Nos muestra el siguiente error You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

Explotando el Bug

Segunda fase:

Viene la parte un poco más tediosa.

Pero antes de llegar a esta parte necesitamos entender dos conceptos:

UNION se usa para combinar el resultado de un número de comandos 

SELECT en un conjunto de resultados.

Ahora ya habíamos visto que nos lanzo un error anteriormente y que si era vulnerable, ahora es tiempo de buscar hasta encontrar la columna vulnerable.

Un ejemplo sencillo de como empezar la inyección tenemos lo siguiente /index.php?cat=45 ahora antes de la variable (45) y después del signo (=) agregaremos el signo de menos (-) deberá quedar así:

Seguiremos así, hasta que no nos vuelva salir error como el anterior

¿Como sabre si el numero de la columna es vulnerable?

Al momento que veas uno o más números en la web y que no haya un error quiere decir que le hemos dado a la columna vulnerable, un ejemplo real:

Lo que esta marcado en recuadro esos números no son errores, y en la barra de direcciones esta la semi-inyección. 

En resumen los números marca que podemos concluir la inyección en este caso me iré sobre el numero 2 (color azul).

Hay que tener en cuenta también, la versión de la base de datos si es 5.*.* - comunity se podrán sacar los nombres de las tablas y columnas, si de lo contrario es inferior a la versión 5, es decir versión 4 no se podrá extraer los nombres de las tablas y/o columnas, se tiene que hacer a ciegas y es un poco tedioso.

Para saber la versión de la base de datos (SQL) solo agregamos al final de union+select+1,2,3,4,5 database()

Tercera fase:

Sacando nombre de las Tablas

Desde la barra de direcciones remplazamos el numero 2 por group_concat(table_name) debe quedar algo así:

También es importante agregar el +from+information_schema.tables-- al final, después ingresamos esa url y nos da como resultado todos los nombres de las tablas que existen en la Base de dados.

Ejemplo real:

Nota | Como se ve en la imagen, tenemos como resultado los nombres de las tablas. Pero hay un pequeño problema, el tamaño de la página nos limita a que solo veamos una cierta cantidad de numero de tablas (Por naturaleza). 

Sin embargo, no hay nada que nos impida, pues gracias a una función de SQL podemos utilizar otra alternativa, en este caso será la opción limit que nos permitirá limitar el rango de registro, y así poder acceder a la tabla del administrador o la de usuarios.

En este caso hay que hacer lo siguiente, quitamos group_concat() y solo dejamos table_name y al final de information_schema.tables agregamos +limit+1,1-- así quedará la url:

Lo cuál nos mostrará el nombre de la primer tabla, es decir, tendremos que buscar la tabla en donde se encuentra la del admin o la de usuarios

Nota | Puedes seguir utilizando la misma serie de 10 en 10 para que sea más rápido de encontrar la tabla de usuarios, ya que esta en orden alfabético de la a - z.

Un ejemplo sencillo:

Seguimos aumentando de 10 en 10:

Seguimos intentado..

Y así, hasta dar con el nombre de la tabla uno que diga: admin, administrador, usuarios, users, usuaris, etc.. (Puede variar los nombres de las tablas y columnas por el idioma)

Una ves que tengamos el nombre de la tabla que queremos y es en este caso admin vamos a convertirla en ASCII les dejo la herramienta online para el conversor de String a ASCII | http://easycalculation.com/ascii-hex.php

admin = 97 100 109 105 110 

Como ven, la cadena admin esta en ASCII.

Extracción de columnas de la tabla

Cuarta fase:

Ahora modificamos nuestra url algo que quede así (incluyendo admin, pero convertida en ASCII):

Nota | Lo marcado en negritas es lo que modifico la url anterior.

Como resultado nos tendrá que imprimir los nombres de las columnas, por ejemplo:

email, contrasena, usuario, pwd

Un ejemplo real es este:

Otra alternativa pero utilizando la misma opción es utilizando el limit lo cuál solo nos imprimirá el rango de la columna que le indiquemos.

Ejemplo:

Extracción de usuario y contraseña 

Quinta fase:

Esta parte es la más fácil, ya que lo anterior era lo complicado. Supongamos que ya sabemos los nombres de la tabla en este caso es admin y las columnas que nos interesan son usuario y pwd (contraseña), ahora hay que extraer los datos de esas dos columnas y para eso hacemos lo siguiente.:

Nota | Recuerda que lo remarcado en negritas es lo que cambia la url anterior.

Con esa simple inyección nos mostrará el usuario y contraseña de la administración.

: = 0x3a (Hexadecimal)

usuario = Columna

pwd = Columna

admin = Tabla

La contraseña esta encriptada en MD5 Hash

Es lo peor que viene en este caso al no poder ver la contraseña real cuando esta encriptada en MD5 Hash.

Pero gracias a que existen herramientas y diccionarios para crackear MD5 las contraseñas se pueden desencriptar.

Pero hay que tener muy en cuenta que no todos los Hash son MD5 puede variar el tipo de Hash por la seguridad del CMS, hay contraseñas encriptadas en SHA-1, MD4, Base64, etc.. Son muy diferentes al MD5.

Pero les dejo una lista para que puedan diferenciar el tipo de Hash | http://www.insidepro.com/hashes.php también una herramienta en PHP para crackear Hash MD5 Online, tienen que subirlo a un FTP.

Herramienta crack MD5 Hash online mult.

¿No encuentro el login o la administración de la página? 

Por suerte también existen herramientas para poder encontrar el path en la que se encuentre el login de la administración, acá les dejo uno codeado por neutralised | Admin Panel Finder PHP.

Pagina para practicar

Como se pudieron dar cuenta, este tutorial me guié en una pagina vulnerable y esa pagina es esta:

http://www.ancvm.com/articulo.php?articulo=-230

Administración de la pagina, la administración de la web esta en este path

http://www.ancvm.com/admin/login.php

NOTA | Recuerden que esta pagina puede que por el tiempo no sea vulnerable a este tipo de Inyección, también no abusen de los datos del administrador ni anden jodiendo la web, este tutorial es de uso educativo y el administrador de este blog no se hace responsable de lo que el usuario pudiera hacer con esta información.

Fin del Tutorial

[Si tienen dudas o sugerencias pueden escribirlas en este mismo post].