[Little HowTo] SQLi finden, ausnutzen.

[Xatos]

Da ich gerade gesehen habe dass hier Interesse besteht, schreibe ich hier mal ein Tutorial. Erst einmal solltet ihr immer anonymisiert sein und nicht damit rumprahlen dass ihr die überhacker seid.

Ich zeige euch die Methode mit Programmen und zwar die einfachste. Ebenso weise ich euch darauf hin, dass hacken illegal ist und strafrechtlich verfolgt werden kann & wird.

Gliederung:

Spoiler:

1.1 SQLi was ist das?
1.2 Wie finde ich SQLi's?
1.3 Wie nutze ich SQLi's aus?
1.4 Tools

1.1 SQLi - was ist das?


SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es, Daten auszuspähen, in seinem Sinne zu verändern, die Kontrolle über den Server zu erhalten oder einfach größtmöglichen Schaden anzurichten. Quelle: Wikipedia

1.2 Wie finde ich SQLi's?


SQL Injections findet man entweder mit einem Programm, zu dem ich später kommen werde oder in dem man dorks googled. Dorks ist in dem Sinne die Seitenangabe, es muss (im Normalfall) ein id= vorhanden sein. Ihr sucht z.b. bei Google nach: "inurl:download.php?id=", dabei ohne die Anführungszeichen. Dann findet euch Google Seiten mit diesen Ergebnissen, ihr öffnet diese Seiten und setzt nach dem Link eine Klammer, diese: '
Falls die Seite (bei dem Link) nicht vuln ist, passiert einfach gar nichts also die Seite bleibt gleich oder verändert sich nur, aber es kommt kein Error. Ist diese aber vuln (vuln = mögliches Ziel in dem Sinne) kommt z.B. folgender Error:

VVCap Image

Diesen kann man nun Manuell abchecken in dem man die Columns durchgeht (das zeige ich euch dieses mal aber nicht) oder es in ein Programm werfen, SQLMap oder Havij. Für den Anfang ist Havij einfacher. Download siehe unten.


1.3 Wie nutze ich SQL Injections aus?

Angenommen wir haben jetzt eine URL welche vuln ist, was ihr mit der ' Klammer gecheckt habt. Dann startet ihr Havij und gebt den Link dort oben ein, den ihr eben gefunden habt. Wenn alles klappt (wenn es sehr lange dauert ist es ne blind -> dreck außer ist n Shop oder so) siehts dann so aus:

VVCap Image

Dann geht ihr auf Tables, klickt die Tabelle (in dem Fall Speed) an und geht auf get tables. Nun erscheinen meist viele kleine Tabellen, die welche sich interessant anhören (login, admin) etc klickt ihr an und geht auf get Columns. Dann sieht das bei Login z.B. so aus: VVCap Image

Dann klickt ihr das alles an wie auf dem Screen und geht auf get Data, meist erhaltet ihr dann einen oder mehrere Usernamen mit einem Passwort welches aus langen Buchstaben und Zahlen besteht, das ist dann meist ein MD5 Hash. Bei MD5 bei Havij könnt ihr versuchen, diesen zu cracken und links daneben auf find admin noch die Login-Page finden. Wenn es keine Admins gibt, dann wird in der Textbox ausgegeben dass keiner gefunden wurde.


1.4 - Tools

Es gibt Tools, welche euch das finden von SQL Injections vereinfachen oder sogar abnehmen. Ich werde die Tage dazu etwas schreiben + welche posten.

Download: HAVIJ.ZIP

Das war jetzt nicht sehr ausführlich sondern nur ne Erklärung, bisschen Hirn muss schon noch bei euch vorhanden sein. Fragen beantworte ich nur hier, nicht per PN.

[Devon]

Virustotal von den Tools? Auch wenn man es auf einer VM ausführen sollte..

[Xatos]

Die Tools habe ich selber heruntergeladen, aber da die ein paar Sachen tun die "Windows nicht passen" wird das wahrscheinlich sowieso als Virus erkannt, deshalb bitte einfach VM/Sandbox o.Ä. nutzen.

Grüße,
Xatos

[Snees]

In der Premium-Zone gibt's übrigens die Pro-Version von Havij

[Xatos]

Das ist die Pro-Version von Havij.

[ThunderStorm]

Nettes Tut danke.
Aber lad bitte die Screenshots als Anhang hoch, bei deinem komischen Hoster laden die bei mir nicht