Caso Multidimensional

Recordad que el objetivo de las técnicas de Blind SQL Injection es conseguir

inyectar lógica binaria con consultas del tipo “y existe esta tabla” o “y el valor

ASCII de la cuarta letra del nombre del administrador es menor que 100”.

Siempre se busca realizar consultas que devuelvan verdad o mentira, con lo

que la aplicación al procesarlo devolvería la página original (que llamamos de

verdad o cierta) o la página cambiada (que llamamos de mentira o falsa).

Para probar si el parámetro es susceptible a Blind SQL Injection, utiliza un

sistema basado en inyecciones de código de cambio de comportamiento cero

sumando y restando el mismo valor. Es decir, si tenemos un parámetro vulneCC-

BY-NC-ND • PID_00191663 20 Ataques a BB. DD., SQL Injection

rable que recibe el valor 100, el programa ejecuta la petición con 100 + valor –

valor. Si el resultado es el mismo, entonces el parámetro es susceptible a ataques

de SQL Injection.

Como utiliza búsqueda de palabra clave en resultados positivos, hay que ofrecerle

la palabra clave manualmente, es decir, hay que lanzar la consulta normal

y ver qué palabras devuelve el código HTML. Después tenemos que lanzar

una consulta con algo que haga que sea falso, por ejemplo, con AND 1=0 y ver

qué palabras aparecen en los resultados de verdad y no aparecen en los falsos

(con seleccionar una palabra valdría). El código fuente de esta aplicación está

escrito en Lenguaje C, es público y se puede descargar de la web.

Para ejecutarse se hace con un comando como el siguiente:

C:\>sqlinjector -t www.ejemplo.com -p 80 -f request.txt -a query -o where -qf

query.txt -gc 200 -ec 200 -k 152 -gt Science -s mssql

Donde:

• t: Es el servidor

• p: Es el puerto

• f: La aplicación vulnerable y el parámetro. En un fichero de texto.

• a: La acción a realizar

• o: Fichero de salida

• qf: La consulta a ejecutar a ciegas. En un fichero de texto.

• gc: Código devuelto por el servidor cuando es un valor correcto

• ec: Código devuelto por el servidor cuando se produce un error

• k: Valor de referencia correcto en el parámetro vulnerable

• gt: Palabra clave en resultado positivo

• s: Tipo de base de datos. La herramienta está preparada para MySQL, Oracle,

Microsoft SQL Server, Informix, IBM DB2, Sybase y Access.

Ejemplo de fichero request.txt

GET /news.asp?ID=#!# HTTP/1.1

Host: www.ejemplo.com

Ejemplo de query.txt:

select @@version

La aplicación anterior hay que nombrarla obligatoriamente cuando se habla

de técnicas de Blind SQL Injection, pero hoy en día existen otras muchas alternativas.

Una especialmente pensada para motores de MySQL es SQLbftools.

CC-BY-NC-ND • PID_00191663 21 Ataques a BB. DD., SQL Injection

2.4.3. SQLbftools

Publicadas por “illo” en reversing.org en diciembre del 2005. Son un conjunto

de herramientas escritas en lenguaje C destinadas a los ataques a ciegas en

motores de bases de datos MySQL, basadas en el sistema utilizado en SQLInjector

de NGS Software. El autor ha abandonado la herramienta y a día de hoy

es mantenida por la web http://www.unsec.net por “dab”.

Está compuesta de tres aplicaciones:

1) mysqlbf: Es la herramienta principal para la automatización de la técnica

de BlindSQL. Para poder ejecutarla se debe contar con un servidor vulnerable

en el que el parámetro esté al final de la URL y la expresión no sea compleja.

Soporta códigos MySQL:

• version()

• user()

• now()

• sytem_user()

...