¿Qué herramienta de inyección SQL genera consultas en mi registro de acceso?

Navega tus respuestas
2

Un sitio web de mi cliente se vio comprometido por una persona que afirma que ahora tiene acceso a la base de datos. Por el hecho de que esta persona envió un correo electrónico que decía "contáctame y te diré dónde está el agujero" solo puedo esperar que el acceso esté limitado a solo lectura.

Inspeccioné los registros de acceso y encontré una secuencia de comandos & variable de solicitud GET sin escape que permite pasar sondas maliciosas

El ataque comenzó bastante a menudo: 

xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:02 -0600] "GET /x.x?x=2 HTTP/1.1" 200 13785 "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:02 -0600] "GET /x.x?x=2'A=0 HTTP/1.1" 200 181 "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:03 -0600] "GET /x.x?region='0=A HTTP/1.1" 200 181 "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"

Luego sigue consultas como esas 

xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:03 -0600] "GET /x.php?x=(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcOnCaT(0x217e21,%2f**%2fvErSiOn(),0x217e21))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a) HTTP/1.1" 200 55 "http://x/x.php?x=(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcOnCaT(0x217e21,%2f**%2fvErSiOn(),0x217e21))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"

Por lo que puedo ver, la persona tuvo una idea bastante clara de cómo se ve la base de datos y su contenido.

Me gustaría saber qué herramienta se está utilizando para generar estas sondas después de que se encuentra una entrada no protegida, por lo que puedo ejecutarla para descubrir todo el alcance del acceso del atacante.

Estamos hablando de una aplicación heredada de PHP / MySQL sin un saneamiento de entrada confiable, así que supongo que la mejor manera de ver qué está mal es ejecutar un escáner de seguridad.

¿Cómo puedo resolverlo?

Solución

La herramienta que necesitaba para escanear ese sitio web en busca de más problemas & para tratar de explotarlos & & arreglarlos fue sqlmap. Espero que ayude a alguien en el futuro.

    
pregunta Jan Klan 30.06.2017 - 23:30
fuente

3 respuestas

0

La herramienta que necesitaba para escanear ese sitio web en busca de más problemas & para tratar de explotarlos & & arreglarlos fue sqlmap. Espero que ayude a alguien en el futuro.

    
respondido por el Jan Klan 05.07.2017 - 21:55
fuente
2

No importa qué herramienta se utilizó.

Incluso si supiera qué herramienta se usó, no significa que la herramienta necesariamente podría explotar todo lo que se puede explotar.

Si su aplicación es vulnerable a la inyección de SQL, es muy probable que ni siquiera un atacante con habilidad moderada necesite ninguna herramienta para hacer todo lo que se pueda hacer con las credenciales de la base de datos que usa el servidor web para acceder a la base de datos.

Tiene una aplicación con una vulnerabilidad conocida a la inyección de SQL. Se debe desconectar hasta que se arregle. Ya tienes registros que te indican los mecanismos que la herramienta parece haber explotado con éxito, por lo que ya sabes dónde hay al menos una vulnerabilidad: en x.php o una de sus dependencias. También debería poder simplemente reproducir las solicitudes registradas con curl .

    
respondido por el Michael - sqlbot 02.07.2017 - 01:45
fuente
0

Creo que la herramienta es Havij Pro o Jsql
Algunos exploits de SQLi deben escribirse manualmente para que funcionen, por lo que a veces la herramienta de confusión no será útil, pero aún así es una buena idea verificar su código con estas herramientas.

    
respondido por el Abdullah Hussam 02.07.2017 - 19:11
fuente

Lea otras preguntas en las etiquetas

¿El proxy web también obtiene información de los archivos cargados en la nube? ¿Cuál debería ser el curso de acción ideal para una GPU comprometida?