Сега ще опитаме друг начин за инжектиране на SQL. Да видим дали базата данни продължава да изпуска съобщения за грешки. Този метод се нарича "изчакване на закъснение", а самото закъснение се изписва по следния начин: изчакайте закъснение 00:00:01'. Копирам това от нашия файл и го поставям в адресната лента на моя браузър.
Всичко това се нарича "сляпо SQL инжектиране на временна основа". Всичко, което правим тук, е да казваме „изчакайте закъснение от 10 секунди“. Ако забелязвате, горе вляво имаме надпис "свързване ...", тоест какво прави нашата страница? Той изчаква връзка и след 10 секунди правилната страница се появява на вашия монитор. С този трик молим базата данни да ни позволи да й зададем още няколко въпроса, например, ако потребителят е Джо, тогава трябва да изчакаме 10 секунди. Ясно е? Ако потребителят е dbo, изчакайте също 10 секунди. Това е методът на сляпо SQL инжектиране.
Мисля, че разработчиците не коригират тази уязвимост, когато създават пачове. Това е SQL инжектиране, но нашата IDS програма също не го вижда, както предишните методи на SQL инжектиране.
Нека опитаме нещо по-интересно. Копирайте този ред с IP адреса и го поставете в браузъра. Проработи! TCP лентата в нашата програма стана червена, програмата отбеляза 2 заплахи за сигурността.
Добре, да видим какво ще стане след това. Имаме една заплаха за обвивката на XP, а друга заплаха е опит за инжектиране на SQL. Имаше общо два опита за атака на уеб приложението.
Добре, сега ми помогни с логиката. Имаме пакет с данни за подправяне, в който IDS казва, че е отговорил на различни подправяния на обвивката на XP.
Ако слезем надолу, виждаме таблица с HEX кодове, вдясно от която има флаг със съобщение xp_cmdshell + &27ping и очевидно това е лошо.
Да видим какво се случи тук. Какво направи SQL Server?
SQL сървърът каза „можете да имате паролата за моята база данни, можете да получите всичките ми записи в базата данни, но пич, изобщо не искам да изпълнявате командите си върху мен, това изобщо не е готино“!
Това, което трябва да направим, е да гарантираме, че дори ако IDS докладва заплаха за обвивката на XP, заплахата се игнорира. Ако използвате SQL Server 2005 или SQL Server 2008, ако бъде открит опит за SQL инжектиране, обвивката на операционната система ще бъде заключена, което ще ви попречи да продължите работата си. Много е досадно. И така, какво да правим? Трябва да се опитате да попитате сървъра много нежно. Трябва ли да кажа нещо като „моля, тате, мога ли да взема тези бисквитки“? Това правя, сериозно, питам сървъра много учтиво! Моля за повече опции, моля за преконфигуриране и моля за промяна на настройките на обвивката на XP, за да бъде налична обвивката, защото ми трябва!
Виждаме, че IDS е открил това - виждате, тук вече са отбелязани 3 заплахи.
Просто вижте тук - взривихме регистрационните файлове за сигурност! Прилича на коледна елха, толкова много неща са окачени тук! Цели 27 заплахи за сигурността! Ура момчета, хванахме този хакер, хванахме го!
Не се притесняваме, че ще ни открадне данните, но ако може да изпълнява системни команди в нашата "кутия" - това вече е сериозно! Можете да начертаете Telnet маршрута, FTP, можете да поемете данните ми, това е готино, но не се притеснявам за това, просто не искам да поемете обвивката на моята "кутия".
Искам да говоря за неща, които наистина ме грабнаха. Работя за организации, работя за тях от много години и ви го казвам, защото приятелката ми мисли, че съм безработен. Тя смята, че всичко, което правя, е да стоя на сцената и да си бъбря, това не може да се счита за работа. Но аз казвам: „Не, радост моя, аз съм консултант“! Това е разликата - казвам мнението си и ми плащат за това.
Нека го кажа така - ние като хакери обичаме да разбиваме черупката и за нас няма по-голямо удоволствие на света от "поглъщането на черупката". Когато анализаторите на IDS пишат своите правила, можете да видите, че ги пишат по начин, който предпазва от хакване на черупки. Но ако говорите с CIO за проблема с извличането на данни, той ще ви предложи да помислите за два варианта. Да кажем, че имам приложение, което прави 100 "броя" на час. Какво е по-важно за мен - да осигуря сигурността на всички данни в това приложение или сигурността на "кутийната" обвивка? Това е сериозен въпрос! За какво трябва да се тревожите повече?
Само защото имате счупена обвивка на "кутия", не означава непременно, че някой е получил достъп до вътрешната работа на приложенията. Да, повече от вероятно е и ако все още не се е случило, може скоро. Но имайте предвид, че много продукти за сигурност са изградени на предпоставката, че нападател броди във вашата мрежа. Така че те обръщат внимание на изпълнението на команди, на инжектирането на команди и трябва да отбележите, че това е сериозно нещо. Те посочват тривиални уязвимости, много прости междусайтови скриптове, много прости SQL инжекции. Те не се интересуват от сложни заплахи, не ги интересуват криптирани съобщения, не ги интересуват такива неща. Може да се каже, че всички продукти за сигурност търсят шум, търсят "джакане", искат да спрат нещо, което ви хапе по глезена. Ето какво научих, когато се занимавах с продукти за сигурност. Не е нужно да купувате продукти за сигурност, не е нужно да карате камиона на заден ход. Имате нужда от компетентни, квалифицирани хора, които разбират технологията. Да, Боже мой, хора! Не искаме да хвърляме милиони долари в тези проблеми, но много от вас са работили в тази област и знаят, че веднага щом шефът ви види реклама, той тича до магазина с викове „Трябва да вземем това нещо!“. Но ние всъщност не се нуждаем от това, просто трябва да оправим кашата, която е зад нас. Това беше предпоставката за това представление.
Средата с висока степен на сигурност е нещо, на което отделих много време, за да разбера правилата за това как работят защитните механизми. След като разберете механизмите на защита, заобикалянето на защитата не е трудно. Например, имам уеб приложение, което е защитено от собствена защитна стена. Копирам адреса на панела с настройки, поставям го в адресната лента на браузъра и отивам в настройките и се опитвам да приложа междусайтов скрипт.
В резултат на това получавам съобщение на защитната стена за заплаха - Бях блокиран.
Мисля, че е лошо, съгласен ли си? Вие сте изправени пред продукт за сигурност. Но какво ще стане, ако опитам нещо подобно: поставете параметъра Joe'+OR+1='1 в низа
Както виждате, проработи. Поправете ме, ако греша, но сме виждали SQL инжекцията да побеждава защитната стена на приложението. Сега нека се преструваме, че искаме да основем компания за сигурност, така че нека сложим шапката на производителя на софтуер. Сега ние въплъщаваме злото, защото то е черна шапка. Аз съм консултант, така че мога да направя това с производителите на софтуер.
Искаме да изградим и внедрим нова система за откриване на проникване, така че ще започнем кампания за откриване на фалшифициране. Snort, като продукт с отворен код, съдържа стотици хиляди сигнатури на заплахи за проникване. Трябва да действаме етично, така че няма да откраднем тези подписи от други приложения и да ги вмъкнем в нашата система. Просто ще седнем и ще ги пренапишем всички - Хей, Боб, Тим, Джо, елате тук и направете бърз преглед на всички тези 100 000 подписа!
Също така трябва да създадем скенер за уязвимости. Знаете, че Nessus, автоматичният търсач на уязвимости, има добри 80 XNUMX подписа и скриптове, които проверяват за уязвимости. Ние отново ще действаме етично и лично ще ги пренапишем всички в нашата програма.
Хората ме питат: "Джо, ти правиш всички тези тестове със софтуер с отворен код като Mod Security, Snort и други подобни, колко подобни са те на продуктите на други доставчици?" Отговарям им: „Изобщо не си приличат!“ Тъй като доставчиците не крадат неща от продукти за сигурност с отворен код, те сядат и сами пишат всички тези правила.
Ако можете да накарате вашите собствени подписи и низове за атака да работят, без да използвате продукти с отворен код, това е страхотна възможност за вас. Ако не можете да се конкурирате с търговски продукти, движейки се в правилната посока, трябва да намерите концепция, която ще ви помогне да станете известни във вашата област.
Всички знаят, че пия. Нека ви покажа защо пия. Ако някога в живота си сте правили одит на изходния код, определено ще се напиете, повярвайте ми, след това ще започнете да пиете.
Така че нашият любим език е C++. Нека да разгледаме тази програма - Web Knight е приложение за защитна стена за уеб сървъри. Има изключения по подразбиране. Интересно е - ако разположа тази защитна стена, тя няма да ме защити от Outlook Web Access.
Чудесен! Това е така, защото много доставчици на софтуер изтеглят правила от някои приложения и ги поставят в своя продукт, без да направят цял куп правилни проучвания. Така че, когато разположа приложение за мрежова защитна стена, мисля, че всичко относно уеб пощата е направено погрешно! Тъй като почти всяка уеб поща нарушава защитата по подразбиране. Имате уеб код, който изпълнява системни команди и заявки към LDAP или всяко друго потребителско хранилище на база данни направо в мрежата.
Кажете ми на коя планета такова нещо може да се счита за безопасно? Само помислете за това: отваряте Outlook Web Access, натискате b ctrl+K, търсите потребители и всичко това, управлявате Active Directory директно от мрежата, изпълнявате системни команди на Linux, ако използвате "катерица поща" или Horde или каквото и да е друго нещо друго. Вие изваждате всички тези оценки и други видове опасни функционалности. Поради това много защитни стени ги изключват от списъка със заплахи за сигурността, опитайте да попитате производителя на вашия софтуер за това.
Да се върнем на приложението Web Knight. Той открадна много правила за сигурност от URL скенер, който сканира всички тези диапазони от IP адреси. И какво, всички тези диапазони от адреси са изключени от моя продукт?
Някой от вас иска ли да инсталира тези адреси във вашата мрежа? Искате ли вашата мрежа да работи на тези адреси? Да, невероятно е. Добре, нека превъртим надолу тази програма и да разгледаме други неща, които тази защитна стена не иска да прави.
Те се казват "1999" и искат уеб сървърът им да е в миналото! Някой от вас помни ли тази глупост: /scripts, /iishelp, msads? Може би няколко души ще си спомнят с носталгия колко забавно беше да хакваш такива неща. „Помни, човече, преди колко време „убихме“ сървъри, беше страхотно!“
Сега, ако погледнете тези изключения, ще видите, че можете да правите всички тези неща - msads, принтери, iisadmpwd - всички тези неща, от които никой не се нуждае днес. Какво ще кажете за команди, които нямате право да изпълнявате?
Това са arp, at, cacls, chkdsk, cipher, cmd, com. Когато ги изброявате, вие сте завладени от спомени от старите времена, „пич, помниш ли как превзехме този сървър, помниш ли онези дни“?
Но ето какво е наистина интересно - някой вижда ли WMIC тук или може би PowerShell? Представете си, че имате ново приложение, което функционира чрез изпълнение на скриптове на локалната система и това са модерни скриптове, защото искате да стартирате Windows Server 2008 и аз ще свърша страхотна работа да го защитя с правила, предназначени за Windows 2000 г. Така че следващия път, когато доставчик дойде при вас с тяхното уеб приложение, попитайте го: „Хей, човече, предоставихте ли неща като администриране на битове или изпълнение на команди на powershell, проверихте ли всички други неща, защото ние отиваме за актуализиране и използване на новата версия на DotNET"? Но всички тези неща трябва да присъстват в продукта за сигурност по подразбиране!
Следващото нещо, за което искам да говоря с вас, са логическите грешки. Да отидем на 192.168.2.6. Това е приблизително същото приложение като предишното.
Може да забележите нещо интересно, ако превъртите страницата надолу и щракнете върху връзката Свържете се с нас.
Ако погледнете изходния код на раздела „Свържете се с нас“, който е един от методите за пентест, който правя през цялото време, ще забележите този ред.
Помисли за това! Чувам, че мнозина при вида на това казаха: "Уау"! Веднъж направих тест за проникване за, да речем, банка милиардер и забелязах нещо подобно там. Така че не се нуждаем от SQL инжектиране или междусайтови скриптове - имаме основното нещо, тази адресна лента.
И така, без преувеличение - от банката ни казаха, че имат и двете - и мрежов специалист, и уеб инспектор, и не са направили никакви забележки. Тоест те смятаха за нормално текстов файл да може да се отваря и чете през браузър.
Тоест можете просто да прочетете файла директно от файловата система. Ръководителят на техния екип по сигурността ми каза, „да, един от скенерите откри тази уязвимост, но я счете за незначителна.“ На което аз отговорих, добре, дай ми минута. Написах filename=../../../../boot.ini в адресната лента и успях да прочета файла за зареждане на файловата система!
На това ми казаха: „не, не, не, това не са критични файлове“! Отговорих - но това е Server 2008, нали? Те казаха да, той е. Казвам - но този сървър има конфигурационен файл, разположен в основната директория на сървъра, нали? „Точно“, отговарят те. „Страхотно“, казвам аз, „ами ако атакуващият направи това“ и пиша filename=web.config в адресната лента. Те казват - какво от това, не виждате нищо на монитора?
Казвам - какво като щракна с десния бутон върху монитора и избера опцията "Покажи кода на страницата"? И какво ще намеря тук? "Нищо критично"? Ще видя администраторската парола на сървъра!
И казвате, че тук няма проблем?
Но любимата ми част е следващата. Не ми позволявате да изпълнявам команди в кутията, но мога да открадна администраторската парола и базата данни на уеб сървъра, да прегледам цялата база данни, да изтръгна цялата база данни и системни грешки и да си тръгна с всичко това. Такъв е случаят, когато лошият казва "хей, човече, днес е страхотен ден"!
Не позволявайте продуктите за безопасност да се превърнат във ваша болест! Не позволявайте на продуктите за сигурност да ви разболеят! Намерете маниаци, дайте им всички онези сувенири от Стар Трек, заинтересувайте ги, насърчете ги да останат с вас, защото онези маниаци, които не се къпят всеки ден, са тези, които карат мрежите ви да работят по следния начин! Това са хората, които ще помогнат на вашите продукти за сигурност да работят правилно.
Кажете ми, колко от вас са в състояние да останат в една и съща стая за дълго време с човек, който постоянно казва: „О, трябва спешно да отпечатам този сценарий!“, И кой е зает с това през цялото време? Но имате нужда от хора, които правят вашите продукти за сигурност работещи.
За да повторя, продуктите за сигурност са тъпи, защото светлините винаги са грешни, те постоянно правят гадни неща, те просто не осигуряват сигурност. Никога не съм виждал добър продукт за сигурност, който не изисква човек с отвертка да го настрои където трябва, за да работи повече или по-малко нормално. Това е просто огромен списък от правила, които казват, че това е лошо, и това е!
Така че, момчета, искам да обърнете внимание на образованието, на неща като сигурност, политехника, защото има много безплатни онлайн курсове по въпроси на сигурността. Научете Python, научете Assembly, научете тестване на уеб приложения.
Ето какво наистина ще ви помогне да защитите мрежата си. Умните хора защитават мрежите, мрежовите продукти не защитават! Върнете се на работа и кажете на шефа си, че имате нужда от повече бюджет за повече умни хора, знам, че сега е криза, но все пак му кажете, че имаме нужда от повече пари за хората, за да ги образоваме. Ако купим продукт, но не купим курс как да го използваме, защото е скъп, тогава защо изобщо го купуваме, ако няма да учим хората как да го използват?
Работил съм за много доставчици на продукти за сигурност, прекарал съм почти целия си живот във внедряване на тези продукти и ми писна от всички тези контроли за мрежов достъп и други неща, защото съм инсталирал и стартирах всички тези глупави продукти. Един ден отидох при клиент, те искаха да внедрят стандарта 802.1x за протокола EAP, така че имаха MAC адреси и вторични адреси за всеки порт. Дойдох, видях, че е лошо, обърнах се и започнах да натискам бутоните на принтера. Знаете, че принтерът може да отпечата тестова страница за мрежово оборудване с всички MAC адреси и IP адреси. Но се оказа, че принтерът не поддържа стандарта 802.1x, така че трябва да бъде изключен.
След това изключих принтера и промених MAC адреса на моя лаптоп с MAC адреса на принтера и свързах моя лаптоп, като по този начин заобиколих това скъпо MAC решение, помислете за това! И така, каква полза може да направи това MAC решение за мен, ако човек може просто да представи всяко оборудване като принтер или VoIP телефон?
Така че за мен днес pentesting е да прекарвам време в опити да разбера и разбера продукт за сигурност, който моят клиент е купил. Сега всяка банка, в която правя тест за проникване, има всички тези HIPS, NIPS, LAUGTHS, MACS и цял куп други акроними, които са просто гадни. Но се опитвам да разбера какво се опитват да направят тези продукти и как се опитват да го направят. След това, след като разбера каква методология и логика използват, за да осигурят защита, заобикалянето не става никак трудно.
Моят любим продукт, с който ще ви оставя, се нарича MS 1103. Това е базиран на браузър експлойт, който пръска HIPS, Host Intrusion Prevention Signature или Host Intrusion Prevention Signatures. Всъщност той е предназначен да заобиколи подписите на HIPS. Не искам да ви показвам как работи, защото не искам да отделям време, за да го демонстрирам, но върши страхотна работа за заобикаляне на тази защита и искам да го приемете.
Добре, момчета, тръгвам си.
Малко реклами 🙂
Благодарим ви, че останахте с нас. Харесвате ли нашите статии? Искате ли да видите още интересно съдържание? Подкрепете ни, като направите поръчка или препоръчате на приятели, , уникален аналог на сървъри от начално ниво, който беше изобретен от нас за вас: (предлага се с RAID1 и RAID10, до 24 ядра и до 40GB DDR4).
Dell R730xd 2 пъти по-евтин в центъра за данни Equinix Tier IV в Амстердам? Само тук в Холандия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - от $99! Прочети за
Източник: www.habr.com