sql_injection
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| sql_injection [2023/09/27 13:01] – done katarina | sql_injection [2025/12/01 11:40] (current) – external edit 127.0.0.1 | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====SQL injection==== | ====SQL injection==== | ||
| - | **SQL injection** je web ranjivost koja dopušta korisniku stvaranje upita koji se izvršavaju nad relacijskom bazom podataka, odnosno umetanje upita u dijelove koda pomoću kojih izvršava akcije nad bazom podataka koje inače ne bi smio izvršiti te posljedično dohvaća podatke koje ne smije vidjeti ili stvara, | + | **SQL injection** je web ranjivost koja dopušta korisniku stvaranje upita koji se izvršavaju nad relacijskom bazom podataka, odnosno umetanje upita u dijelove koda uz pomoć kojih izvršava akcije nad bazom podataka koje inače ne bi smio izvršiti te posljedično dohvaća podatke koje ne smije vidjeti ili stvara, |
| **Basic SQL injection** je tip SQL injectiona kojim se dohvaćaju dodatne relacije ili atributi relacija (stupci i redci tablice) koji bi trebali biti nedohvatljivi, | **Basic SQL injection** je tip SQL injectiona kojim se dohvaćaju dodatne relacije ili atributi relacija (stupci i redci tablice) koji bi trebali biti nedohvatljivi, | ||
| Line 11: | Line 11: | ||
| je velika ljubiteljica životinja, odlučila je napraviti web stranicu sa zanimljivim činjenicama o | je velika ljubiteljica životinja, odlučila je napraviti web stranicu sa zanimljivim činjenicama o | ||
| životinjama poput lava, slona ili geparda. Odabrala je par životinja i odlučila je informacije o njima | životinjama poput lava, slona ili geparda. Odabrala je par životinja i odlučila je informacije o njima | ||
| - | čuvati u bazi podataka. Do sada Petra nije nikada radila | + | čuvati u bazi podataka. Do sada Petra nije nikada radila |
| - | što zna. Na svojoj stranici je našravila | + | što zna. Na svojoj stranici je napravila |
| tražilica radi relativno dobro. | tražilica radi relativno dobro. | ||
| Line 60: | Line 60: | ||
| {{ :: | {{ :: | ||
| - | Može se zaključiti da su informacije u tablicama izvadci iz baze podataka te da u bazi podataka postoje barem dvije različite tablice, iz kojih se vade prikazane relacije. Imena tablica i stupaca u tablicama mogu, ali ne moraju biti ista kao što su prikazana na stranici. | + | Može se zaključiti da su informacije u tablicama izvadci iz baze podataka te da u bazi podataka postoje barem dvije različite tablice, iz kojih se vade prikazane relacije. Imena tablica i stupaca u tablicama mogu, ali ne moraju biti ista kao što su prikazana na stranici. |
| Isto tako, osim tablica, na stranici se mogu primijetiti linkovi koji učitavaju stranicu s različitim URL argumentom „ocjena” te se sukladno tome tablica „lektire” puni drugačijim relacijama koje odgovaraju odabranoj ocjeni. | Isto tako, osim tablica, na stranici se mogu primijetiti linkovi koji učitavaju stranicu s različitim URL argumentom „ocjena” te se sukladno tome tablica „lektire” puni drugačijim relacijama koje odgovaraju odabranoj ocjeni. | ||
| Line 84: | Line 84: | ||
| Sada možemo nastaviti s manipulacijom URL parametra s ciljem izvršavanja SQL injekcije. | Sada možemo nastaviti s manipulacijom URL parametra s ciljem izvršavanja SQL injekcije. | ||
| - | Pošto basic SQL injection ne radi te je prethodno zaključeno da su prisutne barem dvije tablice unutar baze podataka, sljedeće što ćemo isprobati je UNION SQL injection, gdje je cilj manipulirati unos kako bi se stvorio SQL upit koji dohvaća relacije iz više tablica pomoću operatora UNION. Pa pokušajmo: | + | Pošto basic SQL injection ne radi te je prethodno zaključeno da su prisutne barem dvije tablice unutar baze podataka, sljedeće što ćemo isprobati je UNION SQL injection, gdje je cilj manipulirati unos kako bi se stvorio SQL upit koji dohvaća relacije iz više tablica |
| <code sql> | <code sql> | ||
| SELECT ime, prezime FROM Studenti UNION SELECT ime, prezime FROM Profesori | SELECT ime, prezime FROM Studenti UNION SELECT ime, prezime FROM Profesori | ||
| </ | </ | ||
| - | Za izvršenje uspješnog UNION SQL injectiona, trebaju biti poznata imena tablica iz kojih se žele dohvatiti informacije koje se ne nalaze u predviđenoj tablici za koju se pretpostavlja da se izvršava upit. Pomoću posebnih naredbi se mogu izvući imena tablice u bazi podataka, imena stupaca u tablicama, te drugi podatci i metapodatci o bazi podataka, no te naredbe ovise o samoj programskoj podršci koja se koristi kao baza podataka te se razlikuju za, na primjer, MySQL, PostgreSQL, Oracle, SQLite, i druge. Zato je vrijedno i saznati koja je okolina i koju programsku podršku koristi meta kako bi se moglo bolje razmotriti daljnje opcije. Prije ovog postupka, često je korisno pokušati, na slijepo pretpostaviti i pogoditi imena tablica u kojima bi se mogle nalaziti željene informacije. | + | Za izvršenje uspješnog UNION SQL injectiona, trebaju biti poznata imena tablica iz kojih se žele dohvatiti informacije koje se ne nalaze u predviđenoj tablici za koju se pretpostavlja da se izvršava upit. Uz pomoć posebnih naredbi se mogu izvući imena tablice u bazi podataka, imena stupaca u tablicama, te drugi podatci i metapodatci o bazi podataka, no te naredbe ovise o samoj programskoj podršci koja se koristi kao baza podataka te se razlikuju za, na primjer, MySQL, PostgreSQL, Oracle, SQLite, i druge. Zato je vrijedno i saznati koja je okolina i koju programsku podršku koristi meta kako bi se moglo bolje razmotriti daljnje opcije. Prije ovog postupka, često je korisno pokušati, na slijepo pretpostaviti i pogoditi imena tablica u kojima bi se mogle nalaziti željene informacije. |
| Na stranici zadatka, odabirom stranice „O meni” u navigaciji mogu se vidjeti neke informacije o okolini u kojoj se nalazi meta zadatka. Saznajemo da se web stranica poslužuje s računala koje koristi Linux s verzijom jezgre 5.15.0-78-generic. | Na stranici zadatka, odabirom stranice „O meni” u navigaciji mogu se vidjeti neke informacije o okolini u kojoj se nalazi meta zadatka. Saznajemo da se web stranica poslužuje s računala koje koristi Linux s verzijom jezgre 5.15.0-78-generic. | ||
| Line 101: | Line 101: | ||
| ====Database fingerprinting==== | ====Database fingerprinting==== | ||
| - | Kada se uspije pronaći „rupa“ kroz koju se može izvršavati SQL injection, vrlo je korisno izvršiti postupak prikupljanja što više podataka o samoj bazi. Prvi korak bi bio pronalazak točnog sustava koji se koristi za podržavanje baze podataka (PostgreSQL, | + | Kada se uspije pronaći „rupa“ kroz koju se može izvršavati SQL injection, vrlo je korisno izvršiti postupak prikupljanja što više podataka o samoj bazi. Prvi korak bi bio pronalazak točnog sustava koji se koristi za podržavanje baze podataka (PostgreSQL, |
| Uz pristup bazi podataka putem pronađene ranjivosti, izvršavaju se specifične naredbe pojedinih sustava. Pošto se error baze podataka prikazuje na stranici u originalnom obliku, lako se mogu pratiti odgovori baze dok se ne pronađe specifična za neki sustav. Iako za ovaj postupak postoje alati koji ga vrše automatski, ovdje će postupak biti proveden ručno radi bolje demonstracije. | Uz pristup bazi podataka putem pronađene ranjivosti, izvršavaju se specifične naredbe pojedinih sustava. Pošto se error baze podataka prikazuje na stranici u originalnom obliku, lako se mogu pratiti odgovori baze dok se ne pronađe specifična za neki sustav. Iako za ovaj postupak postoje alati koji ga vrše automatski, ovdje će postupak biti proveden ručno radi bolje demonstracije. | ||
| Line 132: | Line 132: | ||
| {{ :: | {{ :: | ||
| - | Sada kada je potvrđeno da se koristi sqlite, mogu se dalje proučiti specifične naredbe sqlite sustava za dohvat informacija o bazi podataka. Sqlite baze podataka imaju tablicu „sqlite_schema“ sa podatcima o samoj bazi i definiranim nazivima atributa stupaca tablice. | + | Sada kada je potvrđeno da se koristi sqlite, mogu se dalje proučiti specifične naredbe sqlite sustava za dohvat informacija o bazi podataka. Sqlite baze podataka imaju tablicu „sqlite_schema“ sa podatcima o samoj bazi i definiranim nazivima atributa stupaca tablice. |
| <code sql> | <code sql> | ||
| / | / | ||
| Line 138: | Line 138: | ||
| {{ :: | {{ :: | ||
| - | Sada su prikupljene sve potrebne informacije pomoću kojih se lako mogu sastaviti odgovarajuće SQL injekcije. | + | Sada su prikupljene sve potrebne informacije |
| Line 146: | Line 146: | ||
| Proučimo primjer ovakvog postupka na Hacknite zadatku " | Proučimo primjer ovakvog postupka na Hacknite zadatku " | ||
| - | U slučaju nije izvršen database fingerprinting, | + | U slučaju nije izvršen database fingerprinting, |
| VAŽNO!!! | VAŽNO!!! | ||
| - | U tablici lektire prisutna su 3 stupca, dok su u tablici zadaće prisutna 4 stupca. To znači da kada će se raditi UNION SELECT tih dviju tablica, pošto se rezultati prikazuju u tablici s 3 stupca, ne smije se koristiti SELECT * FROM zadaće jer bi nastao error pokušajem prikazivanja dohvaćenih podataka s 4 stupca u tablici s 3 stupca. Umjesto toga, treba odabrati 3 ili manje stupaca iz tablice zadaća, pri čemu ukoliko | + | U tablici lektire prisutna su 3 stupca, dok su u tablici zadaće prisutna 4 stupca. To znači da kada će se raditi UNION SELECT tih dviju tablica, pošto se rezultati prikazuju u tablici s 3 stupca, ne smije se koristiti SELECT * FROM zadaće jer bi nastao error pokušajem prikazivanja dohvaćenih podataka s 4 stupca u tablici s 3 stupca. Umjesto toga, treba odabrati 3 ili manje stupaca iz tablice zadaća, pri čemu ako ih se dohvaća manje od 3, mora se naznačiti da se prazni stupac puni NULL vrijednostima. |
| Pokušajmo sada provesti takav UNION SQL injection: | Pokušajmo sada provesti takav UNION SQL injection: | ||
sql_injection.1695819661.txt.gz · Last modified: 2025/12/01 11:40 (external edit)