{"id":317,"date":"2018-06-06T08:00:37","date_gmt":"2018-06-06T06:00:37","guid":{"rendered":"http:\/\/cwiok.pl\/?p=317"},"modified":"2018-06-06T08:25:20","modified_gmt":"2018-06-06T06:25:20","slug":"atak-sql-injection-w-usludze-power-bi","status":"publish","type":"post","link":"https:\/\/cwiok.pl\/index.php\/pl\/2018\/06\/06\/atak-sql-injection-w-usludze-power-bi\/","title":{"rendered":"Atak SQL Injection w us\u0142udze Power BI"},"content":{"rendered":"

Zdaj\u0119 sobie spraw\u0119, \u017ce taki temat mo\u017ce by\u0107 oczywisto\u015bci\u0105 dla wielu do\u015bwiadczonych in\u017cynier\u00f3w danych czy SQLowc\u00f3w, ale mnie mocno zaskoczy\u0142. Nasz architekt Pawe\u0142 Potasi\u0144ski zwr\u00f3ci\u0142 mi uwag\u0119 na tak\u0105 mo\u017cliwo\u015b\u0107. W kontrolowanym \u015brodowisku Power BI pozwala na wstrzykni\u0119cie kodu SQL poprzez parametr i robienie (prawie) wszystkiego na co ma si\u0119 ochot\u0119 – nawet usuni\u0119cie bazy danych! O SQL Injection mo\u017cna poczyta\u0107 tutaj<\/a> lub obejrze\u0107 ten filmik<\/a>. A o moich skryptach w M tu<\/a> lub tu<\/a>.<\/p>\n

 <\/p>\n

\"\"<\/p>\n

Pierwotnie zadanie polega\u0142o na umo\u017cliwieniu zmiany liczby pobieranych wierszy z bazy. Maj\u0105c mo\u017cliwo\u015b\u0107 modyfikacji parametr\u00f3w w us\u0142udze Power BI, nie wydawa\u0142o si\u0119 to trudne. Aby zadeklarowa\u0107 parametr wyklika\u0142em taki kod:<\/p>\n

\"1\" meta [IsParameterQuery=true, Type=\"Number\", IsParameterQueryRequired=true]<\/pre>\n
 <\/p>\n
Wa\u017cne jest ustawienie tego jako liczb\u0119 albo inny typ. Tylko wtedy jest mo\u017cliwo\u015b\u0107 zmiany parametru w us\u0142udze Power BI.<\/p>\n
Nast\u0119pnie w M doda\u0142em zapytanie SQL:<\/p>\n
let\r\n\r\nSource = Sql.Database(\"\", \"\", [Query=\"SELECT TOP \" & Text.From(Number_of_rows)&\" * FROM [dbo].[tblAuthors]\"])\r\nin\r\nSource<\/pre>\n
 <\/p>\n
Dzia\u0142a\u0142o to dobrze. Nast\u0119pnie razem z Paw\u0142em zmienili\u015bmy typ parametru na “Text” i ustawili\u015bmy jego warto\u015b\u0107 na :<\/p>\n
100 * FROM Sys.Tables-- \r\n<\/pre>\n
Dodam, \u017ce login i has\u0142o w wykorzystywanym \u015brodowisku mia\u0142y pe\u0142ny dost\u0119p, wi\u0119c rezultat \u0142atwy do przewidzenia:<\/p>\n
\"\"<\/a><\/p>\n
Postanowi\u0142em eksperymentowa\u0107 dalej i zobaczy\u0107, jak daleko zajd\u0119. Po opublikowaniu raportu do us\u0142ugi, zmieni\u0142em warto\u015b\u0107 parametru tak jak to zrobi\u0142em w Power BI Desktop:
\n\"\"<\/a><\/p>\n
I otrzyma\u0142em b\u0142\u0105d:<\/p>\n
\"\"<\/a><\/p>\n
Wydaje si\u0119, \u017ce Power BI oczekuje takich samych kolumn podczas od\u015bwie\u017cania danych. Oczywi\u015bcie spr\u00f3bowa\u0142em obej\u015b\u0107 to ograniczenie. W tym wypadku mo\u017cna u\u017cy\u0107 te\u017c zwyk\u0142ego UNIONa.<\/p>\n
100 name as Author_name, object_id as id, schema_id as country FROM Sys.tables--\"\r\n<\/pre>\n
Zadzia\u0142a\u0142o to idealnie:
\n\"\"<\/a><\/p>\n
Parametr nie b\u0119dzie zawsze przed “FROM”. Czasami b\u0119dzie w procedurze sk\u0142adowanej albo w cz\u0119\u015bci WHERE. Co si\u0119 dzieje kiedy dodamy drugie zapytania po \u015bredniku? Je\u015bli damy zapytanie SELECT, dostaniemy tylko pierwszy jako wynik. Natomiast innego rodzaju zapytania zostan\u0105 wykonane, ale bez widocznej informacji zwrotnej. Bez wi\u0119kszych oczekiwa\u0144 zacz\u0105\u0142em od najwi\u0119kszego kalibru:
\n\"\"<\/a><\/p>\n
I to zadzia\u0142a\u0142o:<\/p>\n
\"\"<\/a><\/p>\n
Zapytanie wykonuje si\u0119 bez \u017cadnych b\u0142\u0119d\u00f3w, co jest niepokoj\u0105ce. Zgodnie z  dokumentacj\u0105<\/a> “Musisz by\u0107 pod\u0142\u0105czony do bazy danych master, \u017ceby usun\u0105\u0107 baz\u0119 danych” i “Zapytanie DROP DATABASE musi by\u0107 jedynym zapytaniem jakie jest wykonywane w danej transzy”. Ani pierwsza, ani druga rzecz si\u0119 nie sprawdzaj\u0105 w tym wypadku. B\u0119d\u0119 jeszcze analizowa\u0142, jak Power BI wysy\u0142a zapytania do bazy. Nie mniej jednak, mo\u017cna ca\u0142\u0105 spraw\u0119 traktowa\u0107 jako ciekawostk\u0119, poniewa\u017c nie mo\u017cna zmienia\u0107 warto\u015bci parametru bez dost\u0119pu do bazy. B\u0119d\u0119 jeszcze si\u0119 eksperymentowa\u0142 w wolnym czasie, ale prosz\u0119 o kontakt w wypadku podobnego oszukania Power BI!<\/p>\n
Dzi\u0119ki<\/p>\n","protected":false},"excerpt":{"rendered":"
Zdaj\u0119 sobie spraw\u0119, \u017ce taki temat mo\u017ce by\u0107 oczywisto\u015bci\u0105 dla wielu do\u015bwiadczonych in\u017cynier\u00f3w danych czy SQLowc\u00f3w, ale mnie mocno zaskoczy\u0142. Nasz architekt Pawe\u0142 Potasi\u0144ski zwr\u00f3ci\u0142 mi uwag\u0119 na tak\u0105 mo\u017cliwo\u015b\u0107. W kontrolowanym \u015brodowisku Power BI pozwala na wstrzykni\u0119cie kodu SQL poprzez parametr i robienie (prawie) wszystkiego na co ma si\u0119 ochot\u0119 – nawet usuni\u0119cie bazy danych! O SQL Injection mo\u017cna poczyta\u0107 tutaj<\/a> lub obejrze\u0107 ten filmik<\/a>. A o moich skryptach w M tu<\/a> lub tu<\/a>.<\/p>\n
 <\/p>\n
\"\"<\/p>\n
Read More<\/a><\/div>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[32],"tags":[],"class_list":["post-317","post","type-post","status-publish","format-standard","hentry","category-powerbi-pl"],"_links":{"self":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/posts\/317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/comments?post=317"}],"version-history":[{"count":0,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/posts\/317\/revisions"}],"wp:attachment":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/media?parent=317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/categories?post=317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/tags?post=317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}