*************************************************************************************************
Serialized SQL Injection (Parte I de VI)
Serialized SQL Injection (Parte II de VI)
Serialized SQL Injection (Parte III de VI)
Serialized SQL Injection (Parte IV de VI)
Serialized SQL Injection (Parte V de VI)
Serialized SQL Injection (Parte VI de VI)
*************************************************************************************************
Automatización
Una vez vistas las formas en las que es posible extraer un gran conjunto de información en una única columna mediante serialización XML, la automatización es bastante sencilla. Al ser obtenidos los datos en XML es cómodo asociar los datos recibidos a un componente que los procese en un cómodo interfaz gráfico.
Trabajando sobre la base de Marathon Tool, de la que está disponible el código fuente, es fácil adaptar la herramienta para que funcione con los tres motores de bases de datos analizados.
Configuración de la inyección
Una vez configurada la inyección, extraer la estructura de la base de datos sería realizar una consulta para obtener la lista de los nombres de las tablas creadas en esa base de datos o esquema.
Estructura del esquema Oracle
Una vez obtenidas las tablas, se puede extraer la lista de registros con una consulta si es Microsoft SQL Server o con dos si es una base de datos Oracle o MySQL. Para estas dos bases de datos se necesita realizar primero una consulta para conocer los campos de la tabla y la segunda para extraer los datos de la misma. En Microsoft SQL Server no es necesario puesto que hay soporte para el comodín *.
Datos de la tabla extraidos
Como se puede ver, en un entorno Oracle como el de las capturas, son necesarias tres inyecciones para sacar todos los datos de una tabla.
Log de inyecciones necesarias
Referencias
Daniel Kachakil publicó SFX-SQLi con soporte para Microsoft SQL Server 2005 y 2008. La herramienta está publicada en la siguiente URL [http://www.kachakil.com/papers/SFX-SQLi-es.htm] junto con el código fuente y un paper en español e inglés sobre cómo utilizar las inyecciones For XML.
SFX SQLi
La referencia a For XML puede ser encontrada con todos los matices en la biblioteca de MSDN: http://msdn.microsoft.com/en-us/library/ms345137.aspx
La presentación que utilizamos Palako y yo en la ShmooCon dónde se recoge un sumario de Serialized SQL Injection está disponible en la siguiente URL: Re-Playing with SQL Injection.
Alex Kornbrust explicó su método para inyecciones Oracle serializadas en un post en su blog en la siguiente URL: http://blog.red-database-security.com/2009/02/08/new-sql-injection-whitepaper-for-sql-server/
Marathon Tool está disponible en la siguiente URL: http://www.codeplex.com/marathontool
*************************************************************************************************
Serialized SQL Injection (Parte I de VI)
Serialized SQL Injection (Parte II de VI)
Serialized SQL Injection (Parte III de VI)
Serialized SQL Injection (Parte IV de VI)
Serialized SQL Injection (Parte V de VI)
Serialized SQL Injection (Parte VI de VI)
*************************************************************************************************
Serialized SQL Injection (Parte I de VI)
Serialized SQL Injection (Parte II de VI)
Serialized SQL Injection (Parte III de VI)
Serialized SQL Injection (Parte IV de VI)
Serialized SQL Injection (Parte V de VI)
Serialized SQL Injection (Parte VI de VI)
*************************************************************************************************
Automatización
Una vez vistas las formas en las que es posible extraer un gran conjunto de información en una única columna mediante serialización XML, la automatización es bastante sencilla. Al ser obtenidos los datos en XML es cómodo asociar los datos recibidos a un componente que los procese en un cómodo interfaz gráfico.
Trabajando sobre la base de Marathon Tool, de la que está disponible el código fuente, es fácil adaptar la herramienta para que funcione con los tres motores de bases de datos analizados.
Configuración de la inyección
Una vez configurada la inyección, extraer la estructura de la base de datos sería realizar una consulta para obtener la lista de los nombres de las tablas creadas en esa base de datos o esquema.
Estructura del esquema Oracle
Una vez obtenidas las tablas, se puede extraer la lista de registros con una consulta si es Microsoft SQL Server o con dos si es una base de datos Oracle o MySQL. Para estas dos bases de datos se necesita realizar primero una consulta para conocer los campos de la tabla y la segunda para extraer los datos de la misma. En Microsoft SQL Server no es necesario puesto que hay soporte para el comodín *.
Datos de la tabla extraidos
Como se puede ver, en un entorno Oracle como el de las capturas, son necesarias tres inyecciones para sacar todos los datos de una tabla.
Log de inyecciones necesarias
Referencias
Daniel Kachakil publicó SFX-SQLi con soporte para Microsoft SQL Server 2005 y 2008. La herramienta está publicada en la siguiente URL [http://www.kachakil.com/papers/SFX-SQLi-es.htm] junto con el código fuente y un paper en español e inglés sobre cómo utilizar las inyecciones For XML.
SFX SQLi
La referencia a For XML puede ser encontrada con todos los matices en la biblioteca de MSDN: http://msdn.microsoft.com/en-us/library/ms345137.aspx
La presentación que utilizamos Palako y yo en la ShmooCon dónde se recoge un sumario de Serialized SQL Injection está disponible en la siguiente URL: Re-Playing with SQL Injection.
Alex Kornbrust explicó su método para inyecciones Oracle serializadas en un post en su blog en la siguiente URL: http://blog.red-database-security.com/2009/02/08/new-sql-injection-whitepaper-for-sql-server/
Marathon Tool está disponible en la siguiente URL: http://www.codeplex.com/marathontool
*************************************************************************************************
Serialized SQL Injection (Parte I de VI)
Serialized SQL Injection (Parte II de VI)
Serialized SQL Injection (Parte III de VI)
Serialized SQL Injection (Parte IV de VI)
Serialized SQL Injection (Parte V de VI)
Serialized SQL Injection (Parte VI de VI)
*************************************************************************************************
Felicidades por el documento.
ResponderEliminarEnhorabuena has finalizado tremendo material, mis saludos!
ResponderEliminarFelicidades por la serie de posts chema, aunque suene a tópico ya me lo he guardao a buen recaudo y cuando saque tiempo... (someday, snif)
ResponderEliminarNo se quien pondría las descripciones de las tablas jajajaja pero vaya cachondo...
Saludos!
Wi®
Graxis chema y grax por darte tiempo ente tu vida atareada(estudio,descontrol, vida nocturnas,novia,amantes,joda,...)
ResponderEliminary por mostrar tus servicios a la gente mortal......
Arigato......