[Owasp-turkey] BSQL Hacker Beta Versiyon - v0.9

Bedirhan Urgun urgunb at hotmail.com
Tue Aug 28 08:43:02 EDT 2007


 
 merhaba Ferruh,
 Henuz beta bile degil (demissin) ama cok guzel calisiyor :) tebrik ederim. bugun vakit bulup GUI ile bir muddet ugrastim. 
 Bakabildigim kadari ile yorumlarim asagida:
 
   - GUI yapisini korumussun (XSS Tunnel ile ortusuyor)
   - http proxy kullanamadim (ilk basta dogru calistiramadigimdan sql hatalarimi gormek icin kendi IIS'imin loglarina bakmak zorunda kaldim)   - hazirlanan sql cumlecigini bir sekilde calistirmadan gormek guzel olurdu (en azindan ilk cumlecikleri, yani {POSITION}=0, {CHAR}=40 degerleri ile mesela)   - once length hesaplamayi dusunur musun? Extract edecegin bi verinin bitip bitmedigini nasil anliyorsun (100 gibi bir max len deger mi var?).   ve CAST({INJECTION} as CHAR(3000)) gibi bisey yaparsak int donen kendimizin yazdigi query'ler de bunu eklemeden alinabilir, mesela select IS_MEMBER('dbo') SPInj2'deki gibi
 
 butun db'yi extract etme isleminde baslarda durdurdum, extracted db bolumunde NNNNNNNNNNNNNN gibi bilgilere rastladim. Query dogru calisiyordu ama sanirim biseyleri kaciriyorum...
 
 kolay gelsin. (Bi de belki sql cheat sheet'ini buna entegre edebilirsin, help tadinda guzel olur) bedirhan


Date: Sun, 26 Aug 2007 23:23:00 +0100From: ferruh at mavituna.comTo: owasp-turkey at lists.owasp.orgSubject: [Owasp-turkey] BSQL Hacker Beta Versiyon - v0.9Selamlar,Cok uzun zaman once basladigim ancak yakin donemde tekrar yazmaya basladigim bir Blind SQL Injection programi var. Ilk beta verisyonunu yayinladim. Henuz beta bile denemez belki ama en azindan calisiyor. Dokumantasyon cok zayif henuz, uzerinde calisiyorum.Lisans GPL, stable versiyon insallah 1-2 ay icerisinde yayinlanacak.Program ozetle Blind SQL Injection lari otomatik olarak exploit etmek icin gelistirildi. Hemen hemen her durumda her sekilde SQL Injection' i her database den alma amaci ile yazdim. Ancak bu esnekligin bedeli programi konfigure etmek biraz zor. Ben cok uzun suredir kendi testlerimde kullaniyorum. Diger SQL Injection araclarinda olmayan bir cok gelismis ozellige sahip mesela Nonce lari kullanabilme ( degisken viewstateler gibi rasgele deger kullanan formlari exploit ederken). Konsol ve GUI olarak iki farkli uygulama var GUI de her ozellik yokken konsolda da GUI deki her ozellik yok. Sonucta ikiside hemen hemen tum ozelliklere sahip olacak. GUI "otomatik injection" modunda calisabiliyor. Bu modda injection a basladiktan sonra eger DB yapisi destekleniyorsa ( su an sadece SQL Server modulu calisiyor) tum db semasi ve kayitlar otomatik olarak cekiliyor.Genis ve bir o kadar karisik / guncellenmemis ve zaman zaman yanlis olan bir dokumantasyon var. Konsol versiyonu kullanacaksaniz ozellikle kesinlikle bunu kontrol edin. Ek olarak parametrelerden de uygulamanin neleri destekledigini gorebilirsiniz. http://ferruh.mavituna.com/makale/bsql-hacker-console-manual/Sadece Uygulama : http://ferruh.mavituna.com/opensource/BSQLHacker_v09_Binary.zip .NET Framework 3.5 gerekebilir ama .NET Framework 2.0 ile de calismasi gerekiyor Kaynak Kodu :http://ferruh.mavituna.com/opensource/BSQLHacker_v09_Source.zipKullananlar olursa her turlu yorum, oneri, hata bildirilerine bekliyorum. Dedigim gibi tum yazilimi tamamen test amacli kabul edebilirsin, ilginc hatalarla karsilasilabilirsiniz ya da bazi GUI formlarinin henuz calismadigini gorebilirsiniz. Kullanim Ornegi (Klasik bir SQL Injection icin) : http://localhost/sqlserver/?p=1 AND ISNULL(ASCII(SUBSTRING(( {INJECTION}),{POSITION},1)),0){OPERATION}{CHAR}--Kalin olan yazilar dinamik degiskenler, sadece {INJECTION}  "Automated Attack" kullanilcaksa kullaniliyor. Aksi takdirde buraya kendiniz herhangi bir SQL query koyabilirsiniz. Bu Query sadece bir kayit dondurmek zorunda. Bu ornek SQL Server icin ama ne yapmaniz normalde biliyorsaniz basitce ORACLE, PostgreSQL, MySQL vs. icinde benzer kodlar yazabilirsiniz. Ben MySQL, ORACLE ve SQL Server da cesitli testler yaptim. Ek olarak MySQL Benchmark ve SQL Server WAITFOR DELAY tarzi full blind' lari destekliyor. Bu dinamik degiskenler ana adreste Request & Injection  tabi altindaki heryerde kullanilabilir. Dolayisiyla GET, POST, HTTP HEADERS ve Cookie lerde injection yapabilirsiniz. Tesekkurler,-- Ferruh Mavitunahttp://ferruh.mavituna.com 
_________________________________________________________________
Discover the new Windows Vista
http://search.msn.com/results.aspx?q=windows+vista&mkt=en-US&form=QBRE
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070828/77af6b19/attachment.html 


More information about the Owasp-turkey mailing list