miércoles, marzo 25, 2009

Serialized SQL Injection (Parte VI de VI)

*************************************************************************************************
Serialized SQL Injection (Parte I de VI)
Serialized SQL Injection (Parte II de VI)
Serialized SQL Injection (Parte III de VI)
Serialized SQL Injection (Parte IV de VI)
Serialized SQL Injection (Parte V de VI)
Serialized SQL Injection (Parte VI de VI)
*************************************************************************************************

Automatización

Una vez vistas las formas en las que es posible extraer un gran conjunto de información en una única columna mediante serialización XML, la automatización es bastante sencilla. Al ser obtenidos los datos en XML es cómodo asociar los datos recibidos a un componente que los procese en un cómodo interfaz gráfico.

Trabajando sobre la base de Marathon Tool, de la que está disponible el código fuente, es fácil adaptar la herramienta para que funcione con los tres motores de bases de datos analizados.


Configuración de la inyección

Una vez configurada la inyección, extraer la estructura de la base de datos sería realizar una consulta para obtener la lista de los nombres de las tablas creadas en esa base de datos o esquema.


Estructura del esquema Oracle

Una vez obtenidas las tablas, se puede extraer la lista de registros con una consulta si es Microsoft SQL Server o con dos si es una base de datos Oracle o MySQL. Para estas dos bases de datos se necesita realizar primero una consulta para conocer los campos de la tabla y la segunda para extraer los datos de la misma. En Microsoft SQL Server no es necesario puesto que hay soporte para el comodín *.


Datos de la tabla extraidos

Como se puede ver, en un entorno Oracle como el de las capturas, son necesarias tres inyecciones para sacar todos los datos de una tabla.


Log de inyecciones necesarias

Referencias

Daniel Kachakil publicó SFX-SQLi con soporte para Microsoft SQL Server 2005 y 2008. La herramienta está publicada en la siguiente URL [http://www.kachakil.com/papers/SFX-SQLi-es.htm] junto con el código fuente y un paper en español e inglés sobre cómo utilizar las inyecciones For XML.


SFX SQLi

La referencia a For XML puede ser encontrada con todos los matices en la biblioteca de MSDN: http://msdn.microsoft.com/en-us/library/ms345137.aspx

La presentación que utilizamos Palako y yo en la ShmooCon dónde se recoge un sumario de Serialized SQL Injection está disponible en la siguiente URL: Re-Playing with SQL Injection.

Alex Kornbrust explicó su método para inyecciones Oracle serializadas en un post en su blog en la siguiente URL: http://blog.red-database-security.com/2009/02/08/new-sql-injection-whitepaper-for-sql-server/

Marathon Tool está disponible en la siguiente URL: http://www.codeplex.com/marathontool

*************************************************************************************************
Serialized SQL Injection (Parte I de VI)
Serialized SQL Injection (Parte II de VI)
Serialized SQL Injection (Parte III de VI)
Serialized SQL Injection (Parte IV de VI)
Serialized SQL Injection (Parte V de VI)
Serialized SQL Injection (Parte VI de VI)
*************************************************************************************************

4 comentarios:

Anónimo dijo...

Felicidades por el documento.

Ariel M. Liguori de Gottig dijo...

Enhorabuena has finalizado tremendo material, mis saludos!

Anónimo dijo...

Felicidades por la serie de posts chema, aunque suene a tópico ya me lo he guardao a buen recaudo y cuando saque tiempo... (someday, snif)

No se quien pondría las descripciones de las tablas jajajaja pero vaya cachondo...

Saludos!

Wi®

manuonda dijo...

Graxis chema y grax por darte tiempo ente tu vida atareada(estudio,descontrol, vida nocturnas,novia,amantes,joda,...)
y por mostrar tus servicios a la gente mortal......
Arigato......

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares