03 diciembre 2008

hackeos memorables: phrack.org

Autor: Alejandro Ramos 03 diciembre 2008 [ 8:12 ]
Para muchos como yo phrack dejo de ser "phrack" el día que se descubrió una vulnerabilidad en su página web. Los editores se habían despedido cerrando su último número con una edición impresa. Era el número 63, de esto no hace tanto, Agosto del 2005.

Ya se conocían perfectamente los sql injection, e incluso era una técnica vieja. Las herramientas para explotar esta vulnerabilidad de forma ciega, también llevaban funcionando un tiempo en su versión para Oracle y SQL Server. Abshinte, una de las pioneras llevaba un año siendo pública. Así que al autor de este hackeo, no le costó extrapolar lo publicado por 0x90 en su aplicación Abshinte que explotaba Oracle, para otras bases de datos, como la que corría phrack.org, un MySQL 4.0.18.

Tras un correo electrónico irónico en el que se mofaba de los resultados, se evidenció la decadencia. Phrack era otra rootshell.com.

Guardo la revista con gran cariño en la que además un compañero español publicaba un artículo y me consiguió una copia. Para mí es un precioso recuerdo de otra época.

Tarde en entenderlo, pero gracias a un magnífico profesor, cuando comprendí cómo había ocurrido decidí hacer una herramienta para explotar este tipo de vulnerabilidades. Me busqué un producto con otra vulnerabilidad igual y desarrollé bsqlbf. No estaba descubriendo nada, solo facilitaba la tarea.

Una vez se abrió la puerta, la comunidad empezó a publicar sus códigos, y en pocos meses, ya existía una decena de aplicaciones que hacían la misma tarea de múltiples formas y bases de datos completando y añadiendo más y más funcionalidades nuevas.

Una simple consulta a SecuriTeam nos muestra la historia de estas utilidades.

A día de hoy es difícil seguirle la pista a todas ellas, pero mi propia lista se compone de las siguientes:

  1. sqlbf: sin duda alguna, la primera, la mejor. Los genios hacen genialidades.
  2. sqlinjector: de NGSSoftware, a dia de hoy, un poco desfasada.
  3. bfsql blind sql injection para mysql (la mía vamos). un TODO infinito. y un BUGS infinito++. Abandonada.
  4. sqlpowerinjector: mysql, oracle, sql-server, postgresql, ¿sybase?.. sql injection normal y blind. Jamas la he conseguido hacer funcionar.
  5. sqlmap: blind para mysql y postgresql
  6. sqlninja: injection para sql-server.
  7. bobcat: para sql-server. no está mal, pero hay que montar un MSDE para hacerla rular... y le cuesta!
  8. absinthe: postgresql, oracle, sql-server, ¿sybase?... bastante maja, aunque tiene un par de fallos que podrian mejorarse...
  9. sqlbrute: sql-server y oracle. blind sql injection para dumpear tablas. no va todo lo fina que deberia.
  10. automagic: automatización para explotar sql-server.
  11. webinspect - sql injector: Comercial, solo disponible en el paquete de webinspect, oracle, sql server, sybase... realmente buena.
  12. SQLIBF: realmente buena aunque su versión pública solo detecta, muy potente. Me encanta.
  13. Priamos SQL: dump de sql-server. Muy sencillo/eficaz en mi experiencia.
  14. FG-Injector: un poco liosa en su uso, pero eficiente.
  15. SQLDumper:No la he testado aún.
  16. SQL Injection Tool: Sin probar.
  17. ISR-sqlget. Sin probar
  18. SQLix De OWASP, bastante simple.
  19. SQLID En ruby, no me convence
  20. SQLier script en bash... ehm..
  21. Pangolin A día de hoy, la más completa de todas, detecta si es ciega o no la inyección.
  22. Squeeza Para MSSQL, liberado en bh2007, ataque basado en tiempo.
  23. Marathon Tool de nuestros amigos de ElLadoDelMalisimo, basada en tiempo, d16, una pasada.
  24. BSQLHacker Funciona bajo windows, para MSSQL, Oracle y en beta MySQL, basado en tiempos.
Etiquetas: ,
Suscribirse a: Enviar comentarios ( Atom )