Сообщество системных администраторов Litl-Admin.ru Об опасности SQL инъекций админам (comp.soft.litladmin) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 141 RSS

← Август 2014 →
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

За последние 60 дней ни разу не выходила

Сайт рассылки: http://litl-admin.ru
Открыта: 26-01-2012

Автор

seqular

Статистика

141 подписчиков
0 за неделю

← Все выпуски →

Сообщество системных администраторов Litl-Admin.ru Об опасности SQL инъекций админам

Ссылка на материал

Здравствуйте друзья. Сегодня хотелось бы рассказать о небольшом эксперименте, который вылился в необычный квест. А может и не квест, но уж точно было не скучно. В целях безопасности все реальные адреса будут изменены.

Проблемы с почтовиком

Всё началось с проблемы с почтовым сервером. Оказывается, слал спам. Ну точнее, один из сайтов-мониторингов подсказал мне это. Проверяю. Спам слал не мой сервак, а находящийся в том же диапазоне (поэтому всю подсеть поднагнули). Поняв, что проблема не в моём почтовике, немного успокоился, ну и решил я обратить внимание на данный сайтик.

Исследование сайта

Пробежавшись по ссылкам на сайте я нашел любопытный параметр, передаваемый в GET-запросе выборки данных из базы. Приписал кавычку. Ничего, казалось бы, не изменилось. Но чутьё вело в эту сторону. Изменил номер позиции на “-1 OR 1=1″, фактически, лишив запрос смысла. Иначе говоря, всё выглядело как

Выбрать все элементы, где id = 1 (показывался нужный элемент)

Выбрать все элементы, где id = -1 OR 1=1 (так как -1 ни у кого нет, то выполнялось условие “или 1=1″, которое всегда истинно, иначе говоря просто выбрать все элементы).

И весь каталог товаров отдался. Хм.. Классическая SQL-Инъекция, т.е. внедрение произвольного кода в SQL-запрос.

Выборка базы

Для удобства использования SQL-инъекций есть специальные скрипты sqlmap, написанные на Python. Надо сказать, скрипты великолепные. Позволяют быстро исследовать нужный URL на возможность инъекции и использовать её.

Качнул версию под Windows, чтобы проверить механизм.

Быстрее всего работает версия под Linux, входящая в дистрибутив Kali Linux (сборка для нужд админов/хакеров/тестеров).

Синтаксис прост:

# sqlmap -u <URL сайта, включая параметр> --dbs

Отображает базы данных.

Затем

# sqlmap -u <URL...> -D <нужная база данных> --tables

Отображает таблицы в базе данных.

Затем

# sqlmap -u <URL...> -D <нужная база данных> -T <нужная таблица> --columns

Отображает колонки таблицы. Ну и потом уже можно сделать –dump, чтобы слить таблицу на диск.

SQLMAP

Полученный файл CSV немного разобрал текстовым редактором:

потроха

Стало ясно, что на борту CMS (известно какая), а пароль представляет собой солёный MD5. Расколоть его не получится так просто, только перебором. Но всё равно возможно.

Что такое солёный MD5?

Как вам наверняка известно, MD5 представляет собой простой алгоритм вычисления хеш-суммы (некая функция), принимающая на вход текст или файл, а выдающая обратно строку длиной 32 символа. Функция есть во многих языках программирования и системах. Прелесть состоит в том, что будь на входе 1 символ или 100000, на выходе всегда будем получать 32 символа хеш. Ещё одна прелесть в том, что изменение даже одного входного бита изменяет результирующий хеш просто до невозможности сильно.

Это свойство используется для удостоверения целостности. У определенного сообщения (текста, файла) вычисляется контрольная сумма, затем файл посылается адресату вместе с этой контрольной суммой. Получатель вычисляет контрольную сумму полученного сообщения и сравнивает её с эталонной. Если они совпадают, значит и исходное сообщение получено без ошибок. Гениально!

Ещё одно из свойств хеша в том, что это не шифр. Т.е. зная строку (пароль) – легко получить его хеш. Но вот зная хеш – получить пароль невозможно! Обратной функции нет. Есть возможность подобрать хеш, т.е. методом перебора составляются слова (а, аа, ааа, ааб, аав, ааг……) до тех пор, пока хеш от этого слова не совпадет с эталонным хешем. Это и будет означать, что мы нашли пароль.

Именно поэтому хранить пароль в базе – очень опасно. Взломщик может с легкостью получить доступ к ресурсам, если завладеет базой данных. Но если он завладеет хешами – ничего он сделать не сможет. Только пытаться подобрать пароль.

Как происходит проверка пароля? Да очень просто. При регистрации вы указали пароль, хеш которого заносится в базу данных. А при аутентификации вычисляется хеш введенного вами пароля и посылается на сервер. (Пароль при этом не посылается. А хеш, даже если его перехватят, ничего не даст). Сервер, получив хеш, просто сравнивает его с базой и говорит “да, это вы!” или “нет, хеш другой! Пароль не тот”… Гениально, правда?

Но есть ещё один нюанс. Так называемые “радужные таблицы”. Это заранее рассчитанные хешы всех слов и буквосочетаний. Например, мы взяли словарь на 100.000 слов и рассчитали их суммы, занеся в базу данных. Потом мы утащили чей-нибудь хеш. Потом просто ищем в базе данных этот хеш, и если находим, можем утверждать, что знаем пароль. Ничего вычислять уже не надо! Всё вычислено заранее. И размер таких таблиц не 100.000 слов, а гораздо больше. Уже сейчас, насколько мне известно, есть таблицы на сотни терабайт размером. Любые пароли вида fh&!d22df там уже есть, поверьте. Поиск займёт секунды.

Выход найден. Наконец мы подошли к “соли”. “Соль” – добавочный текст, который добавляется к паролю в произвольном месте. И соль известна и серверу и клиенту. Может даже генерироваться в реальном времени. Или быть открытой. Сейчас поясню. Допустим, в качестве соли мы выбрали случайную последовательность символов “HCS$@$!!23872!844728dsdfsfsf”. Записали её себе в файлик и всё.

При регистрации на сайте мы получили от пользователя пароль “qwerty” и прибавили к нему нашу соль “qwertyHCS$@$!!23872!844728dsdfsfsf” и уже от неё вычислили хеш и записали его в базу. В принципе можно сказать с большой долей уверенности, что такого пароля ещё нет в радужных таблицах. А проверка займёт доли секунды. Пользователь ввёл пароль. Веб-сервер получил его, прибавил соль, вычислил хеш, сравнил с базой и понял, что пароль верен. Но так как просто не хватит места физически вычислить все хешы для всех солей, то идея радужных таблиц теряет смысл.

Тем более, что алгоритмы засаливания могут быть разные:

хеш(пароль+соль), хеш(соль+пароль), хеш(хеш(пароль)+соль), хеш(хеш(соль)+хеш(пароль)).

Операция взятия хеша довольно быстра. А вот подбор – это перебор всех вариантов пароля для определенного варианта соли – очень долгая задача. А в случае компрометации системы можно изменить 1 бит в соли и всё, все предыдущие созданные радужки будут бесполезны (так как они рассчитаны для другой соли), и придется перебирать всё заново. Вот так это работает.

P.S. О баге, кстати, я написал администратору ресурса. Использовать её я не стану, нехорошо это. Но помочь коллеге, считаю, нужно.

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}