sábado, 18 de agosto de 2018

Explotación Web (II): Solución Reto CTFLearn "Inj3ction Time"

En este post la solución a otro de los retos de explotación Web de la plataforma CTFLearn.

Este reto tiene el título "Inj3ction Time" y mi valoración sobre su dificultad es: ☆☆.

Su enunciado dice lo siguiente:


I stumbled upon this website: http://web.ctflearn.com/web8/ and I think they have the flag in their somewhere. UNION might be a helpful command.

Solución: Al igual que en el anterior, por el título parece evidente que se trata de un reto de SQL injection.

Antes que nada comentar que no soy ningún experto en SQL, sólo sé lo que recuerdo de mi época de programador, que fue hace mucho tiempo, y tampoco soy un especialista en este tipo de ataques web, por lo que si explico mal la solución de este reto agradecería que algún amable lector de este humilde blog me corrija.

En cualquier caso, lo que hice para intentar resolver este reto fue lo siguiente:

Accedo a la web y me encuentro lo siguiente:
Introduzco 1 en "ID:" y obtengo el mismo resultado:
Introduzco 2 en "ID:" y cambian los datos que se muestran:
Introduzco 1 or 1 = 1# en "ID:", lo que en el caso de que esta web sea vulnerable a SQL injection nos debería devolver todas las filas de la tabla, ya que 1 = 1 es siempre verdadero; y se muestra lo siguiente:
Por tanto, esta web es vulnerable a SQL injection.

Asimismo, parece que la consulta de la que se muestra la información tiene, al menos, 4 columnas (la correspondiente a "ID" más aquellas que se corresponderían a los tres datos que se muestran para cada "ID"). Intento verificar si esto es así introduciendo 1 or 1 = 1 order by 5# en "ID:"; y obtengo lo siguiente:
Por tanto, la consulta original tiene menos de 5 columnas y, además, como no se muestra ningún mensaje de error sino que únicamente desaparece la información que se está mostrando, yo diría que esta página es sólo vulnerable a Blind SQL Injection (Inyección SQL ciega), es decir, si la consulta que realizo es verdadera se muestra la información correspondiente mientras que si es falsa no se muestra resultado alguno.

Intento ahora ver el nombre de las tablas de la base de datos, para lo que introduzco 1 or 1 = 1 union select 1,table_name,3,4 from information_schema.tables where table_schema = database()# en "ID"; y se muestra lo siguiente:
La base de datos tiene dos tablas: "w0w_y0u_f0und_m3" y "webeight". Por el nombre de las tablas, parece claro que la que contiene la bandera es la primera de ellas.

Intento ahora ver el nombre de las columnas de esas dos tablas, para lo que introduzco 1 or 1 = 1 union select 1,column_name,3,4 from information_schema.columns where table_schema = database()# en "ID"; y se muestra lo siguiente:
Por los resultados obtenidos hasta el momento, creo que la bandera se encuentra en la columna "f0und_m3" de la tabla "w0w_y0u_f0und_m3", por lo que introduzco 1 or 1 = 1 union select 1, f0und_m3,3,4 from w0w_y0u_f0und_m3# en "ID":
Por tanto, la solución del reto es: abctf{uni0n_1s_4_gr34t_c0mm4nd}.

No hay comentarios:

Publicar un comentario