Как узнать, какая база данных стоит за веб-приложением?

Я читал, что разные базы данных (mysql, sql server и т.д.) имеют различные уязвимости и что они уязвимы к некоторым специфическим SQL-инъекциям.

Когда злоумышленник пытается осуществить атакy на базу данных против веб-сайта (например, SQL-инъекцию), прежде всего он определяет тип базы данных, а затем выполняет атаку, учитывая обнаруженную базу данных.

Как такая предварительная проверка выполняется злоумышленником? С помощью каких-то специальных запросов? Существуют ли специальные инструменты? Я не нашел никакой информации об этом.

Предположим, у вас есть такой запрос:

$q="SELECT username, joindate FROM users WHERE username LIKE '%" . $search . "%' LIMIT 20";

Теперь представьте, что вы контролируете $search через параметр. Обычно мы можем сделать так, чтобы он возвращал пароли пользователей в поле joindate следующим образом:

$search="' UNION SELECT username, password FROM users; -- -";

Таким образом, запрос становится:

SELECT username, joindate FROM users WHERE username LIKE '%' UNION SELECT username, password FROM users; -- - %' LIMIT 20

Часть после двойного дефиса является комментарием, поэтому она игнорируется, и мы получаем все комбинации имени пользователя и пароля, добавленные как новые записи в конце набора данных, после легитимных записей. Здорово!

Но теперь мы хотим адаптировать это так, чтобы мы могли найти имя базы данных для дальнейшего исследования их базы данных. В MySQL мы можем использовать функцию DATABASE():

$search="' UNION SELECT DATABASE(), 1; -- -";

Использование 1 здесь предназначено для дополнения поля joindate, которое мы не используем.

В MSSQL мы можем сделать то же самое, но с DB_NAME():

$search="' UNION SELECT DB_NAME(), 1; -- -";

Оба этих трюка добавят одну строку в конец набора результатов, содержащую имя базы данных.

Затем мы можем расширить этот трюк, чтобы использовать VERSION() в MySQL или @@VERSION в MSSQL, который возвращает текущую версию базы данных. Для Oracle и PL/SQL вы можете проверить наличие таблицы v$version, просто выполнив запрос к ней и проверив на наличие ошибки.

В дополнение к другим ответам, один из методов, который я использую для отпечатков базы данных (особенно когда инъекция слепая и данные не возвращаются), – это различия в синтаксисе между движками баз данных. Хороший пример есть на слайде 34 этой презентации, которую я часто использую.

Так что хороший пример – это конкатенация строк. MS-SQL и DB2 используют +, тогда как Oracle PL/SQL и PostGRES используют ||, так что вы можете вставить это в строки и наблюдать за поведением приложения. Если оно ведет себя так, как будто строка была конкатенирована, то это, возможно, инъекция.

Один из самых простых способов для злоумышленника определить, какая база данных используется приложением, заключается в том, чтобы вызвать какую-то ошибку приложения с помощью запроса к базе данных.

Затем, если обработка ошибок не включена в приложении (что часто не так), будет показана ошибка базы данных. Обычно они довольно подробные, и вы можете определить базу данных по этому.

Также стоит учитывать, если вы знаете какой-либо из следующих факторов: язык, на котором написано веб-приложение, используемый фреймворк, использующаяся платформа, хостинг-провайдер и т.д., они могут помочь определить, какая база данных используется. Например, если они используют asp, скорее всего, будет использоваться MSSQL, а если они используют PHP, скорее всего, MySQL. Это не всегда верно, но если вам нужно угадывать, скажем, при слепой SQL-инъекции, это ещё один способ сузить круг.

Существует множество методов для этого. Однако, обратите внимание, что вам не нужно знать тип базы данных, чтобы провести атаку. Знание этого может дать дополнительные или альтернативные векторы атаки, но не является необходимым для SQL-инъекции.

Большинство баз данных предоставляют функции или имеют словарные таблицы, которые можно использовать для определения типа и версии базы данных. Они различаются между поставщиками, но, если вы нашли общий токен SQL-инъекции, вы можете просто попробовать каждую, пока не получите действительный ответ.

Существуют также синтаксические различия между многими различными диалектами SQL. Например, Oracle имеет синтаксис (+) для представления внешних соединений. Часто есть тонкие различия в доступных типах данных, таких как тип текста Postgres (которого нет в Oracle) или в том, как обрабатываются последовательности/автоинкрементируемые столбцы и т.д.

Иногда вы можете это определить, получив информацию о драйверах базы данных или соединителях. В зависимости от окружения, языка и т.д. это может быть тривиально, а может и нет.

Нет универсального способа узнать поставщика базы данных.

Кроме того, это может быть более одной базы данных, например, MySQL + ElastiSearch + Neo4J + Jena + Redis. В противоположном случае может не быть базы данных, например, веб-сайт обслуживается статически.

Я бы следовал следующим шагам:

1. Определите приложение. Например, у вас есть Drupal или WordPress?
2. Определите список возможных баз данных. Например, если вы обнаружите Drupal, вероятно, он был настроен с MySQL или Postgres, а не с MongoDB.
3. Определите крайние случаи, специфичные для приложения, когда приложение ведет себя по-другому. Например, один адрес может возвращать “404 не найдено”, если вы используете Postgres, но тот же самый вернет “403 доступ запрещен”, если используется MySQL.
4. Основываясь на ваших оффлайн находках, просканируйте сайт и улучшите свою ситуационную осведомленность.

Если вы используете существующие сканеры, есть вероятность, что владелец приложения знает об этом и может ввести вас в заблуждение. Например, я регулярно заставляю ошибку 404 выглядеть как IIS, если я работаю на Linux/Apache. Это убедит хакера попробовать эксплойты Windows/IIS, в отличие от эксплойтов Apache. Также это не имеет никакого влияния на обычного пользователя.