📁
LYK2019-WUG
  • GİRİŞ
  • TEŞEKKÜR
  • Büyük Resim
  • HTTP
    • HTTP Prokolü
    • HTTP Sorgu Yapısı
    • HTTP Başlıkları
    • HTTP Güvenlik Başlıkları
    • HTTP Yanıt Kodları
    • HTTP Raw İsteği
    • HTTP İsteği Oluşturma
    • HTTP Raw İstek Parse
    • HTTP Web Sunucu
    • HTTP Vekil (Proxy)
    • MITM Proxy
  • SSL Konuları
    • SSL Protokolü
    • SSL Sertifika
    • Temel Kriptoloji Kavramları
  • HTML
    • HTML Dili
    • HTML Injection
  • Javascript Dili
    • Javascript Dili
  • Zaafiyetler
    • Yaklaşım
    • Atak vektörleri
  • HTTP Başlık Atakları
    • Host Başlık Atağı
    • Location Başlık Atağı
    • Referer Başlığı
    • X-Forwarded-For Başlığı
  • XSS Zaafiyeti
    • Yansımalı (Reflected) XSS
    • Kaydedilmiş (Stored) XSS
    • DOM XSS
    • Self XSS
    • Context Mantığı
    • XSS Zaafiyetlerinden Korunma
  • OSINT
    • Yaklaşım
    • Araçlar
  • SQL Dili
    • Basit SQL Sorgular
    • SQL Sunucular
  • SQLi Zaafiyeti
    • SQL Cümlecikleri
    • SQLi Yaklaşım
    • Union-based SQLi
    • Blind/Booelan-based SQLi
    • Time-based SQLi
    • Error-based SQLi
    • Out-of-Band/Second Order SQLi
    • SQLi Zaafiyetinden Korunma
    • Blacklist/Whitelist Yaklaşımı
  • CSRF Zaafiyeti
    • Yaklaşım
    • CSRF Zaafiyetinden Korunma
  • SSRF Zaafiyeti
    • Yaklaşım
  • LFI/RFI Zaafiyeti
    • Yaklaşım
  • ReDOS Zaafiyeti
    • Yaklaşım
    • Teori
  • IDOR Zaafiyeti
    • Yaklaşım
  • RCE Zaafiyeti
    • Yaklaşım
  • Command Injection Zaafiyeti
    • Yaklaşım
  • Web Kimliklendirme Teknolojileri
    • SSO
    • OAUTH
    • JWT
    • Basic Auth
  • Komplike Zaafiyet Saldırıları
    • Yaklaşım
    • Self XSS + CSRF
    • Polygot Payload
  • API Güvenliği
    • Yaklaşım
    • API Kavramlar
  • Güvenli Kodlama
    • Yaklaşım
  • Deneyim Kazanma
    • Web Pentester Lab
    • XSS Game
    • Bug Bounty
    • LAB Linkler
Powered by GitBook
On this page

Was this helpful?

  1. SQLi Zaafiyeti

Time-based SQLi

Zaman tabanlı SQLi

Üçüncü tip SQL enjeksiyon zaafiyeti Zamana-Bağlı(Time-based) SQL enjeksiyonudur. Burada yine bir önceki BLIND SQLi mantığı var. Referans sayfa ile enjeksiyon yapılan sayfa arasında html olarak bir fark olmadığında kullanılır. HTML sayfa içindeki metin yerine enjekte edilen koddaki bekleme süresine (zamana) bakılır. Aşağıdaki örnek koda bakıldığında "pass" ile exception durumu pas geçiliyor:

name = request.get('name')
query = "SELECT * FROM haberler WHERE yazar_ismi='" +
        name + "'"
result = ""
try:
    result = db.execute(query)
except Exception as e:
    pass
if result.size() > 0:
    print "Haber var"
else:
    print "Haber yok"

Aşağıdaki SELECT IF cümleciği sonucunda 5 sn bekleme olacaktır:

SELECT IF(1=1, sleep(5), null);

Blind'daki mantık kullanılırsa yine,

SELECT IF(ASCII(SUBSTRING((
       SELECT 'mehmet'), 1,1)) > 79,
       sleep(5),null);

Yukardaki Select If cümleciğinde substring(mehmet,1,1) = m ve ascii(m) = 109 > 79 olduğundan sonuç doğru olması ile sleep(5) çalışır. Yani dolaylı yoldan enjeksiyonun çalıştığı görülebilir. Aşağıdaki kod sonucu 5 saniye sonra 0 olarak gözükecektir:

SELECT 'mehmet' - sleep(5) - ''

Zaman tabanlı SQL enjeksiyonu olup olmadığını anlamak için kullanılabilecek algoritma aşağıdaki gibidir:

TIMER() ile zamanı ölç ve T1'a ata
SQLi payload'lu kodu çalıştır
TIMER() ile zamanı ölç ve T2'ye ata
T2-T1 zaman farkına bak
Fark payload'deki bekleme süresi ile payload'daki 
  süreyi karşılaştır
Fark birbirine yakınsa SQLi olabilir

SQL enjeksiyonunu bulmada tespit için yukarıdaki gibi TIME BASED SQLi için SLEEP() MySQL fonksiyonu MySQL sunucu için kesin çalışır. SELECT'de 1=1 de kesin çalışır. Ama ya INSERT varsa?

INSERT INTO users(name) values ('' - sleep(5) - '');

Union ile blind/boolean arası bir yaklaşım kullanılabilir:

User registration (kullanıcı kaydı) yapılıyor diyelim. Insert saldırı kodu yaptık. Başka sayfada yorumlar varsa, bu sefer 1,2,3,... diye aramıyoruz. Diğer bir sayfada arıyoruz. 2 işlemde bulduk! Aşağıdaki örnek SQL cümleciğine bakalım:

TODO: aşağıdaki SQL tamamlanacak.

INSERT INTO users(name, pass) VALUES 
  ((SELECT table_name from information_schema.tables
  WHERE
PreviousBlind/Booelan-based SQLiNextError-based SQLi

Last updated 5 years ago

Was this helpful?