miércoles, febrero 15, 2012

Serialized SQL Injection, Errores ODBC y SFX

Tras publicar el artículo de Serialized SQL Injection y errores ODBC me asaltó la duda de si Dani "The Doctor" Kachakil habría resuelto este problema en su herramienta SFX. Aprovechando que estaba en un curso y quería contar el funcionamiento de las técnicas de Serialized SQL Injection sin tener que andar construyendo algún ataque de UNION tedioso, decidí probar qué tal iría la herramienta SFX en un entorno con errores ODBC como el que os puse el otro día.

Tras configurarla y dar a descargar las tablas, rápidamente se ve que no salen todas. De hecho, al mirar al descargar el tamaño y las filas de cada una se puede ver cómo no está comprobado este error.

Figura 1: Recepción parcial de las tablas de la Base de Datos

SFX tiene un control de tamaño de datos a la hora de la descargar, pero el límite de error en ODBC es demasiado pequeño y se obtienen datos parciales, como en este caso con el esquema de tablas de una base de datos master.

Figura 2: Recepción parcial de las tablas de un Base de Datos master

Sin embargo, la herramienta sigue siendo extramadamente útil cuando la tabla tiene pocos registros, como este caso con la tabla de usuarios.

Figura 3: Datos extraídos con SFX haciendo Serialized sobre errores ODBC

Y además, la posibilidad de lanzar consultas personalizadas deja en manos del auditor la posibilidad de extraer lo que se desee de forma cómoda.

Figura 4: Consulta personalizada

No obstante, a pesar de que se pueda utilzar, agarré el teléfono y marqué al número de mi viejo amigo Dani  Kachakil:
- "¿Dani?, soy Chema. ¿Sabes ya por qué te llamo?"
- "Me lo imagino, para liarme con algo".
- "Je,je. ¿Has leído lo que puse de Serialized con errores ODBC?"
- "Sí, Chema, pero ahora no tengo tiempo, estoy cubierto de "·$%$·$&".
- "Ya, ya, ya me imagino Dani, pero... saca el Visual Studio y arregla SFX".
- "Vaaale, pero primero tengo que acabar los Retos que tengo por delante de la Rooted y la Codegate, que si no RoMaNSoFt me castiga, y no sé a quién tengo más miedo... Me debo a los Int3Pids"
Así que vamos a darle algo de tiempo a Dani para que nos modifique SFX y que funcione correctamente en estos entornos, que es mucho más rápido que usar los errores ODBC campo a campo.

Saludos Malignos!

14 comentarios:

  1. Dios mio!! El maligno ya controla hasta de agujeros de gusano...Día 15 a las 7????
    Esta noche toca valentino´s party o ke ?? ;)
    Saludos

    ResponderEliminar
  2. Jeje, mira que eres liante, Chema, y encima los comentarios al respecto de int3pids y Romansoft te los has inventado todos, mamón...

    Ya te dije que tenías el código fuente a tu disposición, así que te invito a colaborar con la comunidad y con el proyecto ;-)

    PD: Y a ver si la próxima vez escribimos bien mi apellido! :-P

    ResponderEliminar
  3. @Serbio, te escribo desde el futuro, soy tu detergente }:))

    ResponderEliminar
  4. @Kachakil... ya he puesto la k esa que me había merendado.... y no mientas, que RoMaNSoFt te tiene dominao }:P

    Te cambio horas de servicio a la FOCA tuyas a cambio arreglar esto }:))

    Además... ¿cuántos CTF habéis ganado gracias a FOCA? }:P

    Saludos!

    ResponderEliminar
  5. En realidad no hay nada que "arreglar" como tal en ese sentido. En todo caso hablaríamos de adaptarlo a otras condiciones para las que la herramienta no fue diseñada (te recuerdo que es una simple prueba de concepto, no una herramienta para pentesters profesionales)

    Y sobre la pregunta de la FOCA, ¿de verdad quieres que te conteste sinceramente? Dejémoslo en que es un valor que no siempre aparece incluido en el conjunto de números naturales, jeje ;-)

    Lo dicho: tomo nota de tu sugerencia, pero de momento no prometo nada

    ResponderEliminar
  6. Que Malignoooo14/2/12 8:47 p. m.

    Maligno a tus colegas de telefonica le vuelven hacer otra intrusion, llevan unas semanas que no se enteran o no levantan cabeza, sera que no tienen personal por el ERE:

    http://opspain-anon.blogspot.com/2012/02/gran-fiesta-anon-gracias-telefonica-y.html

    Con imagenes de las aplicaciones que usan ;) por no decir que el flaco favor que le hicieron al cliente bbv bloqueando ips de clientes, estos son peores que los de tuenti

    ResponderEliminar
  7. @Maligno creo que te han pegado un ZAAAAAAAAS en toda la boca!!! jajajaj

    Como bien te ha dicho Kachakil, arréglalo tú (o es que no sabes programar en C#??) y así tienes para 7 u 8 posts }:P

    ResponderEliminar
  8. Naa... Dani es buen chico... y después de sus comentarios hemos vuelto a hablar para que sea buen chico y "añada esa featrue" }:))

    ResponderEliminar
  9. Chemita, creo que te han dado bien.... xDDDD mira que intentar trollear a alguien que sabe programar como Kachakil... vaya cojones tienes, macho xD

    ResponderEliminar
  10. jjajajajaj.
    Te han dado en los morros!
    Si quieres arreglarlo hazlo tú y no metas marrones a otros.
    Si no sabes programar lo dices y te pasamos unos videotutoriales de youtube para que aprendas... jajaj

    FAIL!

    ResponderEliminar
  11. jajajaja pero que risa leyendo este post. xDDD Dani Kachakil sigue siendo el mejor!!! =)

    Saludos ;)

    ResponderEliminar
  12. Para los que os reiis tanto seguro que ni habeis mirado el codigo... esta en Visual Basic!!! Visual Basic!!! Yo no tocaria eso ni aunque me pagasen :P

    ResponderEliminar
  13. Bueno, no te preocupes, puedes irte con Chema a tocar el código tranquilo que no te va a pagar por ello.... jajajajaj

    ResponderEliminar
  14. Dos coj... en Basic? A pelo? 6.0 pq yo lo valgo? (no me lo he mirado eh, pero viendo los comentarios...)
    Hay adaptadores para VStudio? y pasarlo a .net o algo asi? xDDDD

    Q.

    ResponderEliminar