PySQLi. Framework d'injection de code SQL

Transcription

1 PySQLi Framework d'injection de code SQL Meeting #Hackerzvoice 3 novembre 2012

2 Plan (1/2) Les camés du SQL TOP 10 OWASP Rappels sur les injections Exploitations possibles Outils (non exhaustif) Sqlmap Havij Limitations Frameworks BBQSQL Limitations 2

3 Plan (2/2) PySQLi Historique Principe Exemple Exemples d'utilisation Formulaire anti-csrf Ligne de commande Injection via protocole spécifique Questions 3

4 Les camés du SQL TOP 10 OWASP Une des vulnérabilités les plus exploitées Leaks sur pastebin Différents dox Facile à exploiter Navigateur Cerveau 2.0 Peut aussi servir à faire plein d'autres choses Bypass d'authentification Elévation de privilèges Le café (naaah) 4

5 Injection SQL : rappels Différents modes d'exploitation Timing attack Inband (UNION SELECT...) Blind (dichotomie) Différents DBMS Oracle MSSQL MySQL Informix PostgreSQL

6 Exploitations possibles Extraction d'information Injection dans les paramètres (POST/GET) Injection dans les en-têtes HTTP Cookie User-Agent Injection dans les fichiers (via HTTP) Injection d'information Contournement d'authentification

7 Outils existant Sqlmap Très fourni Permet d'exploiter un bon nombre de pages vulnérables Supporte différentes options d'attaque Must-have du pentester Havij Outil Windows Click&Exploit Développé par des gens peu fiables Disponible sous forme d'exécutable, difficile de savoir ce qu'il fait N00b!

8 Outils : limitations Pratiques Dump automatique Test des paramètres vulnérables MAIS Inutilisable dans le cas d'exploitations difficiles Injection autre part que dans des requêtes HTTP impossible! Un framework serait plus utile

9 Frameworks BBQSQL Framework python Supporte plusieurs techniques d'injection PYTHON on vous dit! Limitations Déjà plus fourni Facilite le développement d'exploit On peut faire mieux?

10 PySQLi Python SQL injection framework Python c'est bon, mangez-en Facile à améliorer/étendre Compréhensible Historique En développement depuis 3 ans... Eprouvé en pentest Approche différente des frameworks actuels

11 PySQLi : origine Constat Identification par l'erreur ou le comportement Contexte d'injection généralement connu Besoin Développer des exploits avancés Sqlmap suffit dans la plupart des cas Quand sqlmap ne passe pas, c'est la misèèèère Développer rapidement Framework Python

12 PySQLi Principe Forge : moteur de génération de code SQL injecté Injecteur Trigger

13 Exemple Exploitation d'une injection via URL

14 Framework extensible Injection possible dans théoriquement n'importe quoi Ligne de commande Requêtes HTTP Protocoles réseau spéciaux (D)TC

15 Exemples d'utilisation Demos Formulaire avec anti-csrf Pas supporté par sqlmap Injection dans une ligne de commande idem! Injection dans un protocole d'authentification maison

16 Téléchargement Disponible sous github

17 Questions?id=' OR '1'='1

18 PySQLi Framework d'injection de code SQL Meeting #Hackerzvoice 3 novembre 2012

19 Plan (1/2) Les camés du SQL TOP 10 OWASP Rappels sur les injections Exploitations possibles Outils (non exhaustif) Sqlmap Havij Limitations Frameworks BBQSQL Limitations 2

20 Plan (2/2) PySQLi Historique Principe Exemple Exemples d'utilisation Formulaire anti-csrf Ligne de commande Injection via protocole spécifique Questions 3

21 Les camés du SQL TOP 10 OWASP Une des vulnérabilités les plus exploitées Leaks sur pastebin Différents dox Facile à exploiter Navigateur Cerveau 2.0 Peut aussi servir à faire plein d'autres choses Bypass d'authentification Elévation de privilèges Le café (naaah) 4

22 Injection SQL : rappels Différents modes d'exploitation Timing attack Inband (UNION SELECT...) Blind (dichotomie) Différents DBMS Oracle MSSQL MySQL Informix PostgreSQL

23 Exploitations possibles Extraction d'information Injection dans les paramètres (POST/GET) Injection dans les en-têtes HTTP Cookie User-Agent Injection dans les fichiers (via HTTP) Injection d'information Contournement d'authentification

24 Outils existant Sqlmap Très fourni Permet d'exploiter un bon nombre de pages vulnérables Supporte différentes options d'attaque Must-have du pentester Havij Outil Windows Click&Exploit Développé par des gens peu fiables Disponible sous forme d'exécutable, difficile de savoir ce qu'il fait N00b!

25 Outils : limitations Pratiques Dump automatique Test des paramètres vulnérables MAIS Inutilisable dans le cas d'exploitations difficiles Injection autre part que dans des requêtes HTTP impossible! Un framework serait plus utile

26 Frameworks BBQSQL Framework python Supporte plusieurs techniques d'injection PYTHON on vous dit! Limitations Déjà plus fourni Facilite le développement d'exploit On peut faire mieux?

27 PySQLi Python SQL injection framework Python c'est bon, mangez-en Facile à améliorer/étendre Compréhensible Historique En développement depuis 3 ans... Eprouvé en pentest Approche différente des frameworks actuels

28 PySQLi : origine Constat Identification par l'erreur ou le comportement Contexte d'injection généralement connu Besoin Développer des exploits avancés Sqlmap suffit dans la plupart des cas Quand sqlmap ne passe pas, c'est la misèèèère Développer rapidement Framework Python

29 PySQLi Principe Forge : moteur de génération de code SQL injecté Injecteur Trigger

30 Exemple Exploitation d'une injection via URL

31 Framework extensible Injection possible dans théoriquement n'importe quoi Ligne de commande Requêtes HTTP Protocoles réseau spéciaux (D)TC

32 Exemples d'utilisation Demos Formulaire avec anti-csrf Pas supporté par sqlmap Injection dans une ligne de commande idem! Injection dans un protocole d'authentification maison

33 Téléchargement Disponible sous github

34 Questions?id=' OR '1'='1