Tras publicar el artículo de Serialized SQL Injection y errores ODBC me asaltó la duda de si Dani "The Doctor" Kachakil habría resuelto este problema en su herramienta SFX. Aprovechando que estaba en un curso y quería contar el funcionamiento de las técnicas de Serialized SQL Injection sin tener que andar construyendo algún ataque de UNION tedioso, decidí probar qué tal iría la herramienta SFX en un entorno con errores ODBC como el que os puse el otro día.
Tras configurarla y dar a descargar las tablas, rápidamente se ve que no salen todas. De hecho, al mirar al descargar el tamaño y las filas de cada una se puede ver cómo no está comprobado este error.
Figura 1: Recepción parcial de las tablas de la Base de Datos |
SFX tiene un control de tamaño de datos a la hora de la descargar, pero el límite de error en ODBC es demasiado pequeño y se obtienen datos parciales, como en este caso con el esquema de tablas de una base de datos master.
Figura 2: Recepción parcial de las tablas de un Base de Datos master |
Sin embargo, la herramienta sigue siendo extramadamente útil cuando la tabla tiene pocos registros, como este caso con la tabla de usuarios.
Figura 3: Datos extraídos con SFX haciendo Serialized sobre errores ODBC |
Y además, la posibilidad de lanzar consultas personalizadas deja en manos del auditor la posibilidad de extraer lo que se desee de forma cómoda.
Figura 4: Consulta personalizada |
No obstante, a pesar de que se pueda utilzar, agarré el teléfono y marqué al número de mi viejo amigo Dani Kachakil:
- "¿Dani?, soy Chema. ¿Sabes ya por qué te llamo?"
- "Me lo imagino, para liarme con algo".
- "Je,je. ¿Has leído lo que puse de Serialized con errores ODBC?"
- "Sí, Chema, pero ahora no tengo tiempo, estoy cubierto de "·$%$·$&".
- "Ya, ya, ya me imagino Dani, pero... saca el Visual Studio y arregla SFX".
- "Vaaale, pero primero tengo que acabar los Retos que tengo por delante de la Rooted y la Codegate, que si no RoMaNSoFt me castiga, y no sé a quién tengo más miedo... Me debo a los Int3Pids"
Así que vamos a darle algo de tiempo a Dani para que nos modifique SFX y que funcione correctamente en estos entornos, que es mucho más rápido que usar los errores ODBC campo a campo.
Saludos Malignos!
Dios mio!! El maligno ya controla hasta de agujeros de gusano...Día 15 a las 7????
ResponderEliminarEsta noche toca valentino´s party o ke ?? ;)
Saludos
Jeje, mira que eres liante, Chema, y encima los comentarios al respecto de int3pids y Romansoft te los has inventado todos, mamón...
ResponderEliminarYa te dije que tenías el código fuente a tu disposición, así que te invito a colaborar con la comunidad y con el proyecto ;-)
PD: Y a ver si la próxima vez escribimos bien mi apellido! :-P
@Serbio, te escribo desde el futuro, soy tu detergente }:))
ResponderEliminar@Kachakil... ya he puesto la k esa que me había merendado.... y no mientas, que RoMaNSoFt te tiene dominao }:P
ResponderEliminarTe cambio horas de servicio a la FOCA tuyas a cambio arreglar esto }:))
Además... ¿cuántos CTF habéis ganado gracias a FOCA? }:P
Saludos!
En realidad no hay nada que "arreglar" como tal en ese sentido. En todo caso hablaríamos de adaptarlo a otras condiciones para las que la herramienta no fue diseñada (te recuerdo que es una simple prueba de concepto, no una herramienta para pentesters profesionales)
ResponderEliminarY sobre la pregunta de la FOCA, ¿de verdad quieres que te conteste sinceramente? Dejémoslo en que es un valor que no siempre aparece incluido en el conjunto de números naturales, jeje ;-)
Lo dicho: tomo nota de tu sugerencia, pero de momento no prometo nada
Maligno a tus colegas de telefonica le vuelven hacer otra intrusion, llevan unas semanas que no se enteran o no levantan cabeza, sera que no tienen personal por el ERE:
ResponderEliminarhttp://opspain-anon.blogspot.com/2012/02/gran-fiesta-anon-gracias-telefonica-y.html
Con imagenes de las aplicaciones que usan ;) por no decir que el flaco favor que le hicieron al cliente bbv bloqueando ips de clientes, estos son peores que los de tuenti
@Maligno creo que te han pegado un ZAAAAAAAAS en toda la boca!!! jajajaj
ResponderEliminarComo bien te ha dicho Kachakil, arréglalo tú (o es que no sabes programar en C#??) y así tienes para 7 u 8 posts }:P
Naa... Dani es buen chico... y después de sus comentarios hemos vuelto a hablar para que sea buen chico y "añada esa featrue" }:))
ResponderEliminarChemita, creo que te han dado bien.... xDDDD mira que intentar trollear a alguien que sabe programar como Kachakil... vaya cojones tienes, macho xD
ResponderEliminarjjajajajaj.
ResponderEliminarTe han dado en los morros!
Si quieres arreglarlo hazlo tú y no metas marrones a otros.
Si no sabes programar lo dices y te pasamos unos videotutoriales de youtube para que aprendas... jajaj
FAIL!
jajajaja pero que risa leyendo este post. xDDD Dani Kachakil sigue siendo el mejor!!! =)
ResponderEliminarSaludos ;)
Para los que os reiis tanto seguro que ni habeis mirado el codigo... esta en Visual Basic!!! Visual Basic!!! Yo no tocaria eso ni aunque me pagasen :P
ResponderEliminarBueno, no te preocupes, puedes irte con Chema a tocar el código tranquilo que no te va a pagar por ello.... jajajajaj
ResponderEliminarDos coj... en Basic? A pelo? 6.0 pq yo lo valgo? (no me lo he mirado eh, pero viendo los comentarios...)
ResponderEliminarHay adaptadores para VStudio? y pasarlo a .net o algo asi? xDDDD
Q.