Ders 18 - Blind SQL Injection (Medium Level)

Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'ya karşı halen Blind SQL Injection saldırısı yapılabiliyor muyu ele alacağız.

Dersin Hedefi

Sınırları aşın ve yine Blind SQL Injection ile admin'in şifresini ele geçirin.

Uyarı

Bu yazı Ders 17 - Blind SQL Injection (Low Level) yazısının devamı niteliğinde olduğundan dolayı kopukluk yaşamamak için öncelikle o yazıyı okumanızı şiddetle öneririm. Aksi takdirde orada detaylandırılmış fakat burada detaylandırılmamış olan Blind SQL Injection mantığını ve SQLMap kullanımını anlayamacaksınız.

Blind SQL Injection'a Karşı Korunma

Geçen derste Blind SQL Injection'ın mantığından bahsetmiştik. Ardından bu mantığın otomatikleştirildiği bir araçtan, SQLMap'ten, bahsetmiştik. Tüm bu saldırıları yapabiliyor olmamızın nedeni aşağıdaki kaynak koddan dolayıydı:

Low Level:

<?php 

if( isset( $_GET[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_GET[ 'id' ]; 

    // Check database 
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results 
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors 
    if( $num > 0 ) { 
        // Feedback for end user 
        echo 'User ID exists in the database.'; 
    } 
    else { 
        // User wasn't found, so the page wasn't! 
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); 

        // Feedback for end user 
        echo 'User ID is MISSING from the database.'; 
    } 

    mysql_close(); 
} 

?>

5. satırda DVWA ekranındaki metin kutusuna girilen veri $id değişkenine atanmaktadır ve $id değişkeni aldığı veriyle olduğu gibi 8. satırdaki SQL sorgusunda kullanılmaktadır. Sıkıntı buradadır. Güvenlik zafiyetinin temel nedeni burasıdır. $id değişkeni önceki derslerden de öğrendiğiniz üzere denetlenmeye tabi tutulmalıdır. Denetlenmediği için, içindeki zararlı karakterler ayıklanmadığı için ya da bloklanmadığı için biz geçen ders Blind SQL Injection saldırısında bulunabildik. Peki Medium seviyesi bize güvenlik açısından nasıl bir çözüm getiriyor bir bakalım:

Medium Level:

<?php 

if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 
    $id = mysql_real_escape_string( $id ); 

    // Check database 
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results 
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors 
    if( $num > 0 ) { 
        // Feedback for end user 
        echo 'User ID exists in the database.'; 
    } 
    else { 
        // Feedback for end user 
        echo 'User ID is MISSING from the database.'; 
    } 

    //mysql_close(); 
} 

?>

Medium level güvenlik önlemi olarak 6. satırda görebileceğiniz üzere mysql_real_escape_string() fonksiyonu metin kutusundan gelen veriden SQL sorgusu için komut niteliğinde olan karakterlerin önüne ters slash koyarak string'leştirmektedir. Yani komutluktan çıkarıp düz metin haline getirmektedir. Görünüşte tamam gibi görünebilir. Güvenlik kusursuz denebilir. Fakat geçmiş dersleri takip edenlerin bileceği üzere 9. satırda PHP'nin syntax'ının esnekliği dolayısıyla tırnaksız şekilde bir SQL sorgusu kullanıldığından dolayı 6. satırdaki güvenlik önlemini boşa çıkaracaktır. Çünkü 6. satırdaki mysql_real_escape_string() fonksiyonu metin kutusundan gelen veride tek tırnak karakteri arayacaktır. Fakat 9. satırda görebileceğiniz üzere $id değişkeni SQL sorgusuna tırnaksız dahil edildiğinden saldırgan enjekte edeceği kodlar için tek tırnak kullanmak mecburiyetinde kalmayacaktır. Dolayısıyla tırnağın önüne ters slash koyan mysql_real_escape_string() fonksiyonu ters slash koyacak bir tırnak bulamayacaktır. Tırnaksız sql injection kodu da PHP'nin esnekliği sayesinde kusursuzca çalışacaktır. Sonuç olarak güvenlik aşılmış ve sql injection saldırısında yine bulunulmuş olunacaktır.

Şimdi tekrar Blind SQL Injection saldırısı düzenlenecektir, fakat bir farkla. Önceki dersin DVWA ekranında enjeksiyon kodu girebileceğimiz metin kutusu vardı. Güvenlik Medium seviyesine yükseltildiğinde ise ekranda veri girebileceğimiz bir seçenek yoktur. Aksine hazır sunulmuş verilerden bir tanesini seçmemizi isteyen bir comboBox vardır:

Bu comboBox'a enjeksiyon kodu girebilmek için tarayıcınızdan ilgili DVWA ekranına geçin. ComboBox'a sağ tıklayın ve Öğeyi Denetle (Inspect Element) seçeneğine tıklayın. Bunun üzerine tarayıcınızın alt tarafında küçük bir pencere açılacaktır. O pencerede mavi renkle seçili bir satır göreceksiniz. O satırın başındaki üçgene basarak satırı genişletin.

Açılan seçeneklerden value'su 1 olanın (value="1") tırnaklarının içerisindeki 1'e çift tıklayın. Aşağıda ne zaman bir SQL Injection kodu verilirse bu çift tıkladığınız yerdeki 1'i silip yerine enjeksiyon kodunu koyun ve ardından ENTER yaptıktan sonra ekrandaki Submit butonuna basın. Böylece enjeksiyon saldırısında bulunabilirsiniz.

Geçen ders anlatılan uzun ve meşakkatli deneme yanılmaları yukarıda bahsedilen o penceredeki value="1" 'in 1 sayısı yerine girip Submit butonuna tıklamanız gerekir. Fakat madem geçen ders bunun mantığı anlatıldı, bir daha aynı işlemleri tekrarlamaya lüzum yok. Bunun yerine Medium seviyesinin getirdiği bir farklılık olan POST methodu üzerine yoğunlaşalım. Geçen ders metin kutusuna girilen veriler (enjeksiyon kodları) URL'nin sonuna parametre olarak ekleniyordu. Dolayısıyla SQLMap'i kullanırken kodlamada GET methodu takip edilmişti. Şimdi ise güvenlik seviyesi Medium olduğu için olsa gerek comboBox'tan seçilen değerler (dahil edeceğiniz enjeksiyon kodları) URL'nin sonuna eklenmeden sunucuya gitmektedir. Yani POST methodu kullanılmaktadır. İşte bu yeni durumu SQLMap'le aşabilmek için --data parametresi kullanılacaktır.

Bu yazıda daha önceki yazıda olduğu gibi sanal makinede kurulu işletim sistemi Kali'den ana makinadaki DVWA'ya saldırmayı simule edeceğimiz. Öncelikle Medium seviyesindeki DVWA'nın POST methoduyla gönderdiği değişken ve değerlerini tespit etmeliyiz. Bunun için Kali'deki tarayıcının Eklentiler kısmına gelin. Eklenti edin sekmesine tıklayın ve arama çubuğuna Live HTTP Headers yazın.

Ardından aşağıdaki resimde görülen seçeneği tarayınıza yükleyin.

Daha sonra Eklentiler sekmesinden tarayıcınızı yeniden başlatın ve tekrar Eklentiler sekmesine gelip yüklediğiniz eklentinin Tercihler butonuna tıklayın. Artık surf yaparken gönderdiğiniz HTTP Header'larını bu eklentinin penceresi üzerinden gözlemleyebileceksiniz. Şimdi DVWA'daki comboBox'ın yanında yer alan Submit butonuna bir defa tıklayın. Live HTTP Headers eklentisi aşağıdaki gibi bir içerikle sizi karşılayacaktır.

Mavi satırı kopyalayın. Bu kopyaladığınız veriyi aşağıdaki --data="" 'nın içerisine yapıştıracaksınız. Şimdi Kali'den bir terminal açın ve aşağıdakileri terminale girin:

sqlmap -u "http://192.168.0.16/dvwa/vulnerabilities/sqli_blind/#" --cookie="security=medium; PHPSESSID=4g9rms6doiou9k1kjrnurtnls3" --data="id=1&Submit=Submit" -p id --technique=B --dbms=MySQL --dbs

Kırmızı renkli alanları kendinize göre doldurmalısınız. İlk iki kırmızı alan için geçen ders neye göre doldurmanız gerektiğine dair bilgilendirme yapıldı. 3. kırmızı alana Live HTTP Header'dan kopyaladığınız veriyi yapıştırın. Böylece SQLMap'e enjeksiyon yapabileceği id parametresini göstermiş olursunuz.

Saldırı:

Çıktı:

Görüldüğü üzere enjeksiyon başarılı bir şekilde tamamlandı ve veritabanı isimleri ekrana aktı. Veritabanı olarak dvwa'yı seçelim ve tablolarını keşfedelim.

sqlmap -u "http://192.168.0.16/dvwa/vulnerabilities/sqli_blind/#" --cookie="security=medium; PHPSESSID=4g9rms6doiou9k1kjrnurtnls3" --data="id=1&Submit=Submit" --technique=B --dbms=MySQL -D dvwa --tables

Saldırı:

Çıktı:

Tablo olarak users'ı seçelim ve kolonlarını keşfedelim.

Saldırı:

Çıktı:

user ve password kolonlarını seçelim ve bu kolonların tuttuğu değerleri tespit edelim.

Saldırı:

Gelen soru için n'yi tuşlayın ve ENTER'layın. Ardından bir kez daha n'yi tuşlayın ve ENTER'layın. Böylece Blind SQL Injection saldırısıyla bu sefer POST methodu üzerinden hedef veritabanındaki kullanıcı adı ve şifreleri ele geçirmiş olduk.

Çıktı:

Yararlanılan Kaynak:

https://www.youtube.com/watch?v=TKUU2PE9Bdc

Bu yazı 19.01.2016 tarihinde, saat 21:52:15'de yazılmıştır. 16.06.2016 tarihi ve 16:53:23 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 3761

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak () ► Şubat () ► Mart () ► Nisan () ► Mayıs () ► Haziran () ► Temmuz () ► Ağustos () ► Eylül () ► Ekim () ► Kasım () ► Aralık () ▼ 2024

#Giriş

	ID	:
	Şifre	: