¿Cómo identificar un SQL Injection? ¿Es vulnerable el parámetro?

¡Hola a todos! nuevamente tras mucho tiempo desaparecido dadas algunas aventuras en el lado obscuro de la seguridad informática (así es... estuve trabajando en el lado administrativo de Seguridad de la información), me encuentro de regreso en un equipo de red team, por lo que espero ahora sí sea más constante el publicar tips, ejercicios o situaciones interesantes que ameriten una publicación para explicar el paso a paso.

Sin más comerciales iniciemos, no sin antes comentar que está publicación es totalmente con fines educativos, buscando adentrar a más personas al hermoso mundo del Pentest ético, no me hago responsable del mal uso del conocimiento adquirido:

Las inyecciones SQL continuan siendo una de las vulnerabilidades más comunes hoy en día para aplicaciones, por lo que se amerita documentar una serie de pasos aplicables para identificar dicha vulnerabilidad en una aplicación Web.

Cuando identificamos dentro de una aplicación que el sistema esta utilizando valores (texto o números) para regresarnos información o mostrarnos mediante indicadores algún producto, post, imagen, etc... es donde la imaginación debe volar...

en este ejercició tendremos un producto que se encuentra asociado a un identificador de la siguiente manera:

https://elsitiomasvulnerabledelmundomundial.com/filtrar?producto=1

Ahora, los siguientes pasos serán:

1) Identificar si el parametro es vulnerable... ¿y cómo es esto?, ¡pues será con las siguientes pruebas!

    a) añade una comilla simple al final del identificador del producto, quedando de la siguiente manera 1'

    Probablemente recibas un error indicando que la consulta se encuentra mal formada, más no ocurre siempre, por lo que puede que no recibas nada, de ser así, no descartes la vulnerabilidad! puedes tratar intentando lo siguiente...

1--

    En este caso, deberás observar el producto presentado en pantalla, tal cual si no tuviese el guión doble (ya que estamos comentando), de lo contrario, las posibilidades de que el parametro sea vulnerable se van reduciendo, dejo más cadenas que te ayudarán a hacer tus pruebas, los casos con operador "AND" son muy útiles, pues en caso de cumplirse o no las condiciones, los resultados mostrados en pantalla o en tu proxy te indicarán si podrás explotar la falla.

-1--

1#

1 # s

1; -- s

1'; -- s

1 AND 1=1--

1 AND 1=2--

En caso de que el valor "1" sea manejado como varchar:

1' AND 1=1--

1' AND 1=2--

1' AND 'A'='A'--

1' AND 'A'='B'--

1' AND 'A=A'--

1' AND 'A'='A

Si te ha sido posible identificar que el comportamiento de la aplicación apunta a un SQL Injection, estás del otro lado! más adelante estaré compartiendo los detalles de explotación para cada manejador de bases de datos!.

Recuerda! el uso o acciones realizadas referentes a la información que se encuentra en este sitio es tu responsabilidad y no lo olvides, el operador "OR" puedes tirar todo un sistema, por lo que te aconcejo no utilizaro.

Autor: 1nf4mousmx

¿Por qué decidí ser un Hacker Ético?

Buen día a quienes se dan el tiempo de revisar este blog tras ya bastante tiempo de ausencia, el día de hoy les quiero hablar un poco sobre las razones por las que decidí adentrarme en el mundo del Hacking Ético y es que ¿a quién no le gusta poner a prueba sus conocimientos contra sistemas informáticos? más confieso... no es sólo el hecho de saber y demostrarte que sabes, la verdadera satisfacción llega cuando logras acceder a los sistemas y generas el reporte que presentarás a la empresa que te ha contratado.

¿Parece interesante no? tener la oportunidad de atacar legalmente sistemas y tras lograr vulnerar haces recomendaciones para que cibercriminales no hagan de las suyas... y es en donde pienso ¿qué pasaría si atacan algún sitio en donde tengas registrada tu información personal? oh! gran tragedia.

Mis inicios, fueron como los de la gran mayoría, más que turbios y claramente sin saber por donde empezar, en la universidad entusiasmado por "trollear" a mis compañeros y victima de un "trolleo" por parte de mi roomie decidí empezar a utilizar CAIN y ABEL (ya no encontré el website)... qué fácil era clonar certificados en 2012!.

En la carrera universitaria iniciaron las clases referentes a seguridad informática, una genialidad! forense, criptografía, Seg de redes, etc. y me enamoré perdidamente de este maravilloso mundo tecnológico, y se puso en mi camino el siguiente video de Alejandro Hernandez:

https://www.youtube.com/watch?v=WFwsho6Ae5Y 

Más que emocionado por todo lo que la seguridad informática ofrecía como algo nuevo e innovador y en adición a que existía una falta considerable de profesionales en seguridad en aquellos entonces (más que ahora), decidí descargar Damn Vulnerable Web Application (aquí) y empezar a estudiar sobre las vulnerabilidades que se pueden explotar en la aplicación mencionada, descargué unos cuantos libros de "hacking ético" y entré a algunos sitios donde cumplias retos, hoy en día hay más variedad y la información está disponible para todos.

Me enfoqué 100% en aplicaciones Web, y fue así como con practica, tutoriales, lecturas... surgió la oportunidad de trabajar en una de las consultoras más grandes de seguridad informatica del país, en donde aprendí mucho... realmente la practica y pensar fuera de la caja es la mejor manera de aprender.

La seguridad Informática es una amante celosa y cara, demanda mucho tiempo y las certificaciones son costosas, pero definitivamente, con perserverancia y entusiasmo todo se ve recompenzado rápidamente.

Hagan CTFs, busquen tutoriales en trymehack, descarguen las ISOs que OWASP tiene para practicar, jueguen con las maquinas virtuales de Offensive Security y disfruten el hackear éticamente, no hay necesidad de dejarse ir por dinero y actuar de manera maliciosa aprovechando sus conocimientos, pueden arruinar sus vidas, usen su conocimiento para el bien, las recompensas llegarán por si solas.

Saludos!

autor: 1nf4mousmx