Differences

This shows you the differences between two versions of the page.

--- sql_injection [2023/09/27 11:38] – katarina
+++ sql_injection [2023/09/27 13:01] (current) – done katarina
@@ Line 20: / Line 20: @@
 </file>
-Zadatak jesno upućuje na ranjivost baze podataka. Kad se otvori stranica možemo pronaći tražilica, u koju se unosimo pojmovi koji se dohvaćaju iz baze podataka. To nas upućuje na basic SQL injection ili UNION SQL injection. Unosom vrijednosti „lav” u tražilicu, obaviješteni smo da se lav nalazi u bazi podataka. Unosom jednog navodnika „ ' „ , stranica vraća „ Uncaught Error”, što sugerira da upiti korisnika nisu ispravno validirani i provjereni.
+Zadatak jasno upućuje na ranjivost baze podataka. Kada se otvori stranica, možemo pronaći tražilicu u koju se unose pojmovi koji se dohvaćaju iz baze podataka. To nas upućuje na basic SQL injection ili UNION SQL injection. Unosom vrijednosti „lav” u tražilicu, obaviješteni smo da se lav nalazi u bazi podataka. Unosom jednog navodnika „ ' „ , stranica vraća „ Uncaught Error”, što sugerira da upiti korisnika nisu ispravno validirani i provjereni.
 {{ ::sql_inj_navodnik.png?nolink&500 | Navodnik}}
@@ Line 40: / Line 40: @@
 Pokretanjem tražilice s takvim unosom, uspješno se izvršava SQL injekcija te se dobiva rješenje zadatka.
 {{ ::rjesenje_pretrazivanje.png?nolink&600 | Rješenje zadatka}}
+__PRIMJER__ - **Zadatak s Hacknite platforme - Napredene baze podataka**
+<file>
+Na temelju prethodnog iskustva, Ivica je odlučio da još treba raditi na svojim vještinama s bazama
+podataka.Kako bi dosegao nove razine znanja, Ivica je napravio web stranicu na kojoj je moguće
+pretraživati lektire koje je pročitao i gledati najnovije zadaće koje je dobio. Uvjeren kako je ovaj put
+stranica sigurna, Ivicu ne brine što je u tablicu sa zadaćama pohranio još neke tajne podatke.
+Možeš li demonstrirati Ivici da ipak treba biti oprezniji u radu s bazama podataka?
+FLAG je u formatu CTF2020[brojevi]
+http://chal.platforma.hacknite.hr:11011
+</file>
+Otvaranjem zadatka, odabirom stranice označene kao „Škola” u navigaciji, prikazuju se dvije tablice, jedna s nazivom lektire, druga s nazivom zadaće. Svaka tablica ima različite nazive stupaca, te par relacija.
+{{ ::nbp_zad_1.png?nolink&500 |Tablice lektire i zadaće}}
+Može se zaključiti da su informacije u tablicama izvadci iz baze podataka te da u bazi podataka postoje barem dvije različite tablice, iz kojih se vade prikazane relacije. Imena tablica i stupaca u tablicama mogu, ali ne moraju biti ista kao što su prikazana na stranici. Ukoliko isprobamo SQL injection s nepoznatim imenima tablica i stupaca, vrijedi u par pokušaja zaključujemo da su nazivi isti kao što su i prikazani na stranici.
+Isto tako, osim tablica, na stranici se mogu primijetiti linkovi koji učitavaju stranicu s različitim URL argumentom „ocjena” te se sukladno tome tablica „lektire” puni drugačijim relacijama koje odgovaraju odabranoj ocjeni.
+{{ ::nbp_zad_2.png?nolink&400 | Linkovi}}
+Važna stvar na koju treba obratiti pozornost jest URL parametar ili „query string” ocjena koji se mijenja odabirom različitih linkova.Proizvoljnim upisivanjem teksta „dovoljan” kao vrijednost parametra stringa ocjena, također se dobivaju neke relacije u tablici lektire.
+<file>
+/skola.php?ocjena=dovoljan
+</file>
+Ovo je dobar trag, koji usmjerava na manipulaciju URL parametra za rješavanje zadatka.
+Ajmo vidjeti što će se dogoditi pokušamo li umetnuti basic SQL injection u URL parametar ocjena:
+<code sql>
+/skola.php?ocjena=odličan or 1 = 1
+</code>
+Primjećujemo, kao prvo, da ovo ne radi. OSim toga, primjećujemo da se uneseni tekst „?ocjena=odličan or 1 = 1” pretvorio u „?ocjena=odličan%20or%201%20=%201” u linku. To je zato što se unutar URL-a koristi ASCII enkodiranje pa se znakovi u URL-u koji se nalaze izvan ASCII kodova, moraju posebno enkodirati. Posebni znakovi kojima se ne mogu pridijeliti ASCII kodovi se enkodiraju tako da se umjesto njih upisuje znak postotka „%” i heksadecimalna vrijednost odgovarajućeg znaka u URL enkodiranju.
+Tako je znak razmaka, enkodiran kao „%20” te se sada jasno vidi kako dio URL-a enkodiran kao „?ocjena=odličan%20or%201%20=%201” odgovara proizvoljno unesenom URL-u „?ocjena=odličan or 1 = 1”. Važno je primijetiti da zadnji dio URL-a  „%201” nije znak s kodom 201, nego enkodirani razmak i jedinica, odnosno „%20” i „1”.
+Pri unošenju vrijednosti mogu se unositi ili URL kodovi znakova, ili sami znakovi, koje će onda browser sam pretvoriti u URL kodove umjesto korisnika, oba načina su „ispravna” no jedan je očigledno jednostavniji.
+Sada možemo nastaviti s manipulacijom URL parametra s ciljem izvršavanja SQL injekcije.
+Pošto basic SQL injection ne radi te je prethodno zaključeno da su prisutne barem dvije tablice unutar baze podataka, sljedeće što ćemo isprobati je UNION SQL injection, gdje je cilj manipulirati unos kako bi se stvorio SQL upit koji dohvaća relacije iz više tablica pomoću operatora UNION. Pa pokušajmo:
+<code sql>
+SELECT ime, prezime FROM Studenti UNION SELECT ime, prezime FROM Profesori
+</code>
+Za izvršenje uspješnog UNION SQL injectiona, trebaju biti poznata imena tablica iz kojih se žele dohvatiti informacije koje se ne nalaze u predviđenoj tablici za koju se pretpostavlja da se izvršava upit. Pomoću posebnih naredbi se mogu izvući imena tablice u bazi podataka, imena stupaca u tablicama, te drugi podatci i metapodatci o bazi podataka, no te naredbe ovise o samoj programskoj podršci koja se koristi kao baza podataka te se razlikuju za, na primjer, MySQL, PostgreSQL, Oracle, SQLite, i druge. Zato je vrijedno i saznati koja je okolina i koju programsku podršku koristi meta kako bi se moglo bolje razmotriti daljnje opcije. Prije ovog postupka, često je korisno pokušati, na slijepo pretpostaviti i pogoditi imena tablica u kojima bi se mogle nalaziti željene informacije.
+Na stranici zadatka, odabirom stranice „O meni” u navigaciji mogu se vidjeti neke informacije o okolini u kojoj se nalazi meta zadatka. Saznajemo da se web stranica poslužuje s računala koje koristi Linux s verzijom jezgre 5.15.0-78-generic.
+{{ ::nbp_linugz.png?nolink&500 | Informacije o sustavu}}
+I dalje nije poznato koji točno software služi kao programska podrška za bazu podataka, pa ćemo samo pokušati izvršiti SQL injection pod pretpostavkom da su nazivi tablica i stupaca u tablicama isti kao što je prikazano na stranici.
+Unošenjem vrijednosti „ /skola.php?ocjena=odličan' UNION SELECT * FROM lektire -- „ za URL parametar ocjena, uspješno se dobivaju sve relacije tablice lektire. Sada je jasno da je moguće izvršavati UNION SQL injekcije. Sljedeće što treba pokušati je dohvaćanje svih relacija iz druge tablice za koju pretpostavljamo da se također zove kao što je i prikazano na stranici, „zadaće”. I to je to!
+====Database fingerprinting====
+Kada se uspije pronaći „rupa“ kroz koju se može izvršavati SQL injection, vrlo je korisno izvršiti postupak prikupljanja što više podataka o samoj bazi. Prvi korak bi bio pronalazak točnog sustava koji se koristi za podržavanje baze podataka (PostgreSQL, MySQL, Sqlite, …) kako bismo saznali posebne SQL naredbe tog sustava koje se dalje mogu iskoristiti za dohvaćanje više informacija o bazi podataka, npr. relacijskaih shema, popisa svih tablica, detalja i naziva stupaca pojedine tablice, itd.
+Uz pristup bazi podataka putem pronađene ranjivosti, izvršavaju se specifične naredbe pojedinih sustava. Pošto se error baze podataka prikazuje na stranici u originalnom obliku, lako se mogu pratiti odgovori baze dok se ne pronađe specifična za neki sustav. Iako za ovaj postupak postoje alati koji ga vrše automatski, ovdje će postupak biti proveden ručno radi bolje demonstracije.
+Dani su primjeri specifičnih naredbi različitih sustava:
+   *SELECT@@version (MySQL)
+   *SELECT*FROM v$version (Oracle)
+   *SELECT version() (PostgreSQL)
+   *SELECT * FROM information_schema.tables (razni sustavi)
+Ove naredbe se kombiniraju sa SQL injectionom te izvršavaju na stranici uz praćenje odgovora kroz errore. Primjer kombinacije druge naredbe sa SQL injectionom, kakav bismo mogli izvršiti u Hacknite zadatku "napredne baze podataka", je:
+<code sql>
+/skola.php?ocjena=nedovoljan' UNION SELECT * FROM v$version –
+</code>
+{{ ::db_fingerprinting.png?nolink&600 | Vraćen je error}}
+Analizom vraćene pogreške koja navodi da ne postoji tablica „v$version” možemo zaključiti da se ne koristi sustav Oracle. Izvršavanjem prve naredbe u SQL injection dobiva se error koji navodi da je netočna sintaksa naredbe, radi korištenih „@“ znakova čime se zaključuje da se ne koristi ni MySQL kao sustav za bazu podataka.
+Pokušajmo sad izvršiti naredbu sa sintaksom specifičnom za SQLite:
+<code sql>
+/skola.php?ocjena=nedovoljan' UNION SELECT sqlite_version() AS version—
+</code>
+{{ ::db_fingerprinting2.png?nolink&600 | Novi error}}
+Ovaj error kaže da postoji naredba koju smo iskoristili, ali brojevi redaka u jednoj i drugoj SELECT naredbi unije ne odgovaraju. Sada znamo da se koristi sqlite sustav baze podataka. Kako bismo uspješno izvršili naredbu, uzevši u obzir da se rezultati u tablici prikazuju s tri stupca, ponavljamo „sqlite_version()“ dio naredbe tri puta kako bi brojevi odabranih stupaca odgovarali i izvršavamo SQL injection naredbu:
+<code sql>
+/skola.php?ocjena=nedovoljan' UNION SELECT sqlite_version(),sqlite_version() , sqlite_version()
+                              AS version--
+</code>
+{{ ::db_fingerprinting3.png?nolink&600 | Uspijeh!}}
+Sada kada je potvrđeno da se koristi sqlite, mogu se dalje proučiti specifične naredbe sqlite sustava za dohvat informacija o bazi podataka. Sqlite baze podataka imaju tablicu „sqlite_schema“ sa podatcima o samoj bazi i definiranim nazivima atributa stupaca tablice. Pomoću ovih informacija može se sastaviti SQL injekcija koja će dohvatiti podatke iz sheme baze podataka kako bismo saznali imena tablica i stupaca u tablicama. Sastavljena naredba SQL injekcije je:
+<code sql>
+/skola.php?ocjena=nedovoljan' UNION SELECT tbl_name,type,sql FROM sqlite_schema --
+</code>
+{{ ::db_fingerprinting4.png?nolink&600 | Dohvaćene informacije iz sheme baze podataka}}
+Sada su prikupljene sve potrebne informacije pomoću kojih se lako mogu sastaviti odgovarajuće SQL injekcije.
+====Bruteforcing====
+Nekad se database fingerprinting može preskočiti tako da se prije njega pokuša grubom silom (bruteforce) pokušati pogoditi nazive ciljanih tablica i stupaca, što može, ali i ne mora biti uspješno.
+Proučimo primjer ovakvog postupka na Hacknite zadatku "napredne baze podataka".
+U slučaju nije izvršen database fingerprinting, nego se na slijepo pokušava nešto iskopati, za prva tri imena stupaca tablice zadaće mpožemo jednostavno pretpostaviti da su ista kao što je i prikazano, što je manje vjerojatno za zadnji stupac naziva „Je li zadaća riješena:” pa će se prva 3 stupca koristiti za UNION SELECT.
+VAŽNO!!!
+U tablici lektire prisutna su 3 stupca, dok su u tablici zadaće prisutna 4 stupca. To znači da kada će se raditi UNION SELECT tih dviju tablica, pošto se rezultati prikazuju u tablici s 3 stupca, ne smije se koristiti SELECT * FROM zadaće jer bi nastao error pokušajem prikazivanja dohvaćenih podataka s 4 stupca u tablici s 3 stupca. Umjesto toga, treba odabrati 3 ili manje stupaca iz tablice zadaća, pri čemu ukoliko ih se dohvaća manje od 3, mora se naznačiti da se prazni stupac puni NULL vrijednostima.
+Pokušajmo sada provesti takav UNION SQL injection:
+<code sql>
+/skola.php?ocjena=odličan' UNION SELECT predmet,opis,datum FROM zadace --
+</code>
+{{ ::bruteforce_sql_inj.png?nolink&600 | Uspijeh!}}
+Ovim UNION SQL injectionom dobili smo rješenje zadatka te vidimo da se flag nalazi u stupcu „Opis” tablice zadaće. Nazivi stupaca i vrijednosti u tablici za relacije dohvaćene iz tablice zadaće nisu sukladne jer su se podatci iz baze podataka dohvatili na nepredviđen način te zajedno čine skup podataka za koji tablica u kojoj se prikazuju nije namijenjena.
+===Izvori===
+[1]https://aws.amazon.com/what-is/sql/\\
+[2]https://support.microsoft.com/en-us/office/access-sql-basic-concepts-vocabulary-and-syntax-444d0303-cde1-424e-9a74-e8dc3e460671\\
+[3]https://www.dofactory.com/sql/syntax\\
+[4]https://portswigger.net/web-security/sql-injection\\
+[5]https://portswigger.net/web-security/sql-injection/examining-the-database\\
+[6]https://portswigger.net/web-security/sql-injection/union-attacks\\
+[7]https://www.invicti.com/blog/web-security/sql-injection-cheat-sheet/\\
+[8]https://www.w3schools.com/html/html_urlencode.asp\\
+[9]https://portswigger.net/web-security/sql-injection/examining-the-database\\
+[10]https://www2.sqlite.org/cvstrac/wiki?p=InformationSchema