Qual o defacer ativo que nunca recebeu uma mensagem dessas:
Olhando à primeira vista, não parece ter muita lógica. Esta mensagem apareceu quando você começou a testar o número de colunas pelo 'order by' (sim, para continuar, é bom saber SQLi simples). Foi chutando números grandes, diminuindo, até que te veio uma mensagem dizendo que a coluna 1 não existe?
Antes de começar, você também precisa saber bastante da linguagem SQL. Não vou passar a limpo todo o ataque aqui. Vou deixá-lo em um ponto onde será possível que você o continue sem (muita) dificuldade.
O SQLi baseado em erros é aquele que fazemos uso da consulta dupla (double-query) - mesmo no MySQL, que "não" permite duas consultas num mesmo comando - e não usamos o comando UNION (pode ser útil contra aqueles famosos mod_security e similares, que bloqueiam determinados comandos na QUERY STRING (dados enviados pelo método GET - impressos na URL - ou POST - ocultos nos HTTP headers).
Como o próprio nome sugere, o que queremos virá em forma de erros (sim, os erros vão significar algo para você).
Tudo bem. Imagine que o endereço [domínio]/noticia.php é vulnerável, no parâmetro "id", de método GET. Sendo assim, receberíamos um erro por isso (erro de PHP, SQL ou a página não é exibida corretamente):
Então, pensando ser um ataque como qualquer outro, começamos outros testes:
No primeiro teste, a página não foi exibida corretamente (afinal, 1!=0). No segundo teste, a notícia foi exibida normalmente (afinal, 1=1). Então, o website é realmente vulnerável.
Continuando o ataque, vamos começar pelo ORDER BY. Geralmente eu começo por números grandes:
E, impressionantemente, recebemos erro ao tentar ordernar pela coluna 1.
É bom que você já fique sabendo que este não será um ataque de 1 minuto e meio. Você precisará dedicar um tempo a mais pra esse site. Isto porque o tráfego de dados é menor e mais lento, visto que há um limite de 31 bytes na quantidade de dados extraída.
Veja como conseguimos provocar um erro booleano (que diz respeito à true ou false) em um servidor SQL, e manipulamos a mensagem de erro para que tenha o que queremos. No caso abaixo, a versão do MySQL rodando:
Conseguimos saber que a versão é superior à 5. Neste caso, poderemos usar o information_schema.
Mas queremos saber mais. Vamos obter, agora, além da versão, o usuário atual e o banco de dados.
mysql> SELECT 1 AND ExtractValue(1,CONCAT(0x5c,(SELECT CONCAT_WS(0x3a,VERSION(),USER,DATABASE()))));
ERROR 1105 (HY000): XPATH syntax error: '5.1.50:root@localhost:temp'[/code]
Viu como o que queremos está nos erros? Mas ainda há um problema. Por segurança ou para evitar flood, o servidor SQL limita a parte dinâmica das mensagens de erro a 31 bytes. Quer ver?
Imagine que tentamos obter um login e senha de uma tabela de nosso próprio banco de dados. Na primeira tentativa, vamos fazer da maneira convencional:
Agora, vamos tentar simular um ataque de SQLi error-based:
Note que ficou faltando uma parte da hash da senha, justamente por causa do limite. Mas há como burlar isso. No exemplo abaixo, vamos ampliar a quantidade de bytes extraíveis para 64 bytes:
Note que utilizamos o rand(). Isto significa que nem sempre o retorno vem ou não. Há esta outra maneira que mantém 99% de retorno do resultado. Ficou bem grande, com certeza poucos usariam essa consulta em um ataque, mas observe, principalmente, a lógica:
Complicado, não? E o retorno então? Não, ele já é mais simples... Veja:
Se unirmos estas técnicas a outras funções interessantes do MySQL, podemos ampliar ainda mais a extração de dados.
Por exemplo: se utilizarmos a função compress() com a biblioteca zlib, poderemos compactar o retorno a uma taxa de até 50%. Mas há a desvantagem de não poder usar comparações booleanas para extrair cada caractere (no caso de Blind SQLi), já que o tipo de dados, compactado, impede isto.
Mas, novamente uma solução. E, desta, vez, é bem simples. Se utilizarmos a função hex() poderemos transformar o retorno em hexadecimal. Desta forma, transportaríamos qualquer tipo de dados e ainda fazer as comparações booleanas que nos forem necessárias. Ainda podemos concatenar dados.
Vamos tentar aplicar isso em uma simulação de ataque:
Hm... Viu um problema? Sim, aquele velho limite nos impediu de obter todo o retorno.
Mas agora faremos diferente: vamos navegar por todo o retorno usando a função substr(), similar à de mesmo nome do PHP. Ela nos retorna a parte de uma string de X a Y. Por exemplo:Usaremos esta função para obter cada parte de nossa consulta (uso: substr(string, início, limite)), pegando de 29 em 29 caracteres:
Obs.: Você pode usar Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... para converter strings de/para hexadecimal.

Variações entre servidores
O exemplo acima foi executado em um servidor MySQL. Não há dados para saber se ele é o mais ou menos seguro, mas sabe-se que é o mais utilizado.
Vamos ver exemplos em outros servidores:
MSSQL / Sybase
O ataque é baseado em converter a string, geralmente em texto, para 'int' (inteiro - numérico). Desta forma, ocorre o erro. Exemplo:
Além disso, é possível fazer UPDATEs, DROPs, DELETEs, INSERTs e outros comandos, separados por ';'.

Postgre
Como no MSSQL, tentaremos transformar strings em valores inteiros.
E seguiremos a mesma lógica do MySQL:
Oracle
No Oracle, podemos extrair até 214 bytes de dados numa mensagem de erros, se utilizarmos a função XMLType() e tratando um pouco a string.
Utilizaremos algumas coisas que aprendemos no MySQL, como transformar a consulta em hexadecimal, usar substr() pra navegar pelo retorno, mas lembrando que Oracle não possui limit/offset.
Será necessário usar a função replace() para substituir os espaços por "_" (underline).
Também pode ser necessário usar a função RAWTOHEX(string) para converter strings para hexadecimal. Veja a simulação de um ataque:
Lembra de nosso exemplo no início do tutorial? Vamos obter as tabelas desta forma:
Para obter mais informações sobre este tipo de ataque, Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....