ISR-sqlget por F. Amato
Hola piezas!
Para la charla en la Universidad de Buenos Aires tuve la ocasión de poder disfrutar de la compañía de Francisco Amato. ¡Gracias! Aquí os dejo una foto de un momento sobre el escenario.
Explicándose con las manos
Este “pallo” argentino dio en el mes de Noviembre una charla en la Ekoparty del 2007 sobre “evilgrade” en la que explicaba como saltarse los procesos de actualización de software mal implementados para poder introducir troyanos, conseguir una Shell remota o cualquier otra “guarangada”.
Allí además de explicarme cositas y detalles sobre el funcionamiento de su framework para evilgrade también me dedicó unos minutos para analizar los últimos ejemplos de ataques a resolución DNS y por supuesto para explicarme su herramienta de SQL Injection.
Esta herramienta, llamada ISR-sqlget, está pensada para entornos de inyección en recordsets, es decir, en una aplicación web que va a generar una llamada SQL a la base de datos esperando un recordset y que va a ser "pintado" en pantalla. En esos entornos se puede utilizar un ataque de UNION para añadir al recordset original un recordet al gusto del atacante. Por ejemplo, supongamos que el programador espera un día de la semana para mostrar el horario y el título de las películas que se van a emitir ese día en el cine:
http://www.server.com/peliculas.php?dia=12
Esta llamada generaría algo como:
Select horario, título from piniculas where dia=12;
Y en este entorno un atacante podría hacer algo como:
http://www.server.com/peliculas.php?dia=12 union select user, password from usuarios
Nos quedaría algo cómo esto:
Select horario, título from piniculas where dia=12 union select user, password from usuarios
La herramienta que Francisco ha desarrollado está en Perl, y está disponible en la web de Infobyte y realiza justo esto. Primero hace una llamada de este tipo para traer la estructura de la base de datos. Para ello ha analizado los diccionarios de datos de las siguientes bases de datos: IBM DB2, Microsoft SQL Server, Oracle, Postgres, Mysql, IBM Informix, Sybase, Hsqldb, Mimer, Pervasive, Virtuoso, SQLite, Interbase/Yaffil/Firebird, H2, Mckoi, Ingres, MonetDB, MaxDB, ThinkSQL y SQLBase.
Una vez descargada la estructura se puede descargar todo el contenido de cada tabla con diferentes llamadas.
Para poder hacerlo más legible la herramienta formatea los resultados, pues los datos deben ser extraídos de una respuesta HTML e incluso saca una representación gráfica de la estructura de la base de datos. ¿Es o no un crack el amigo Amato? Junto con la herramienta hay unos ejemplos de cómo configurar los ficheros para distintas bases de datos. No obstante ya os prepararé un ejemplo step by step.
Ahora él, junto a un grupo de personas excelentes y capaces, están embarcados en la organización de la próxima EkoParty que se realizará en Buenos Aires el próximo 2 y 3 de Otubre y ya han abierto el Call For Papers… ¿os animáis a conocer Argentina y a estos tipos?
Saludos Malignos!
Para la charla en la Universidad de Buenos Aires tuve la ocasión de poder disfrutar de la compañía de Francisco Amato. ¡Gracias! Aquí os dejo una foto de un momento sobre el escenario.
Explicándose con las manos
Este “pallo” argentino dio en el mes de Noviembre una charla en la Ekoparty del 2007 sobre “evilgrade” en la que explicaba como saltarse los procesos de actualización de software mal implementados para poder introducir troyanos, conseguir una Shell remota o cualquier otra “guarangada”.
Allí además de explicarme cositas y detalles sobre el funcionamiento de su framework para evilgrade también me dedicó unos minutos para analizar los últimos ejemplos de ataques a resolución DNS y por supuesto para explicarme su herramienta de SQL Injection.
Esta herramienta, llamada ISR-sqlget, está pensada para entornos de inyección en recordsets, es decir, en una aplicación web que va a generar una llamada SQL a la base de datos esperando un recordset y que va a ser "pintado" en pantalla. En esos entornos se puede utilizar un ataque de UNION para añadir al recordset original un recordet al gusto del atacante. Por ejemplo, supongamos que el programador espera un día de la semana para mostrar el horario y el título de las películas que se van a emitir ese día en el cine:
http://www.server.com/peliculas.php?dia=12
Esta llamada generaría algo como:
Select horario, título from piniculas where dia=12;
Y en este entorno un atacante podría hacer algo como:
http://www.server.com/peliculas.php?dia=12 union select user, password from usuarios
Nos quedaría algo cómo esto:
Select horario, título from piniculas where dia=12 union select user, password from usuarios
La herramienta que Francisco ha desarrollado está en Perl, y está disponible en la web de Infobyte y realiza justo esto. Primero hace una llamada de este tipo para traer la estructura de la base de datos. Para ello ha analizado los diccionarios de datos de las siguientes bases de datos: IBM DB2, Microsoft SQL Server, Oracle, Postgres, Mysql, IBM Informix, Sybase, Hsqldb, Mimer, Pervasive, Virtuoso, SQLite, Interbase/Yaffil/Firebird, H2, Mckoi, Ingres, MonetDB, MaxDB, ThinkSQL y SQLBase.
Una vez descargada la estructura se puede descargar todo el contenido de cada tabla con diferentes llamadas.
Para poder hacerlo más legible la herramienta formatea los resultados, pues los datos deben ser extraídos de una respuesta HTML e incluso saca una representación gráfica de la estructura de la base de datos. ¿Es o no un crack el amigo Amato? Junto con la herramienta hay unos ejemplos de cómo configurar los ficheros para distintas bases de datos. No obstante ya os prepararé un ejemplo step by step.
Ahora él, junto a un grupo de personas excelentes y capaces, están embarcados en la organización de la próxima EkoParty que se realizará en Buenos Aires el próximo 2 y 3 de Otubre y ya han abierto el Call For Papers… ¿os animáis a conocer Argentina y a estos tipos?
Saludos Malignos!
2 comentarios:
Muy buena herramienta Evilgrade. Me preguntaba si existe algun manual de uso de esta herramienta. Y si es posible instalar un troyano en Windows XP SP2 mediante ella.
Tengo crackeada la clave WEP de una red Wifi, de la que pueda escuchar el trafico mediante ARP Spoofing. Ahora lo que pretendo es instalar un troyano en el equipo victima mediante evilgrade.
Gracias y un saludo!!
Hola Javier,
Gracias por los comentarios, la herramienta la voy a estar publicando en mayo, despues de la www.troopers08.org.
Les aviso mediante el blog.infobyte.com.ar.
Saludos,
Publicar un comentario