Sada ćemo pokušati na drugi način da ubacimo SQL. Hajde da vidimo da li baza podataka nastavlja da ispušta poruke o grešci. Ova metoda se zove "waiting for a delay", a samo kašnjenje se piše na sljedeći način: čekanje kašnjenja 00:00:01'. Kopiram ovo iz naše datoteke i zalijepim u adresnu traku svog pretraživača.
Sve se to zove "slijepa SQL injekcija na privremenoj osnovi". Sve što ovde radimo je da kažemo "sačekajte odlaganje od 10 sekundi". Ako primijetite, u gornjem lijevom kutu imamo natpis "povezivanje ...", odnosno šta radi naša stranica? Čeka vezu i nakon 10 sekundi ispravna stranica se pojavljuje na vašem monitoru. Ovim trikom tražimo od baze podataka da nam omogući da joj postavimo još nekoliko pitanja, na primjer, ako je korisnik Joe, onda trebamo pričekati 10 sekundi. To je jasno? Ako je korisnik dbo, pričekajte i 10 sekundi. Ovo je metoda slijepe SQL injekcije.
Mislim da programeri ne popravljaju ovu ranjivost prilikom kreiranja zakrpa. Ovo je SQL injekcija, ali ni naš IDS program to ne vidi, kao prethodne metode SQL injekcije.
Hajde da probamo nešto zanimljivije. Kopirajte ovu liniju sa IP adresom i zalijepite je u pretraživač. Upalilo je! TCP traka u našem programu je postala crvena, program je zabilježio 2 sigurnosne prijetnje.
Ok, da vidimo šta se dalje desilo. Imamo jednu prijetnju za XP shell, a druga prijetnja je pokušaj SQL injekcije. Ukupno su bila dva pokušaja napada na web aplikaciju.
Dobro, sad mi pomozi sa logikom. Imamo paket podataka o neovlaštenom pristupu u kojem IDS kaže da je reagirao na razne manipulacije ljuske XP-a.
Ako se spustimo, vidimo tabelu HEX kodova, desno od koje se nalazi zastavica sa porukom xp_cmdshell + &27ping, a ovo je očigledno loše.
Hajde da vidimo šta se ovde desilo. Šta je uradio SQL Server?
SQL server je rekao "možete imati lozinku moje baze podataka, možete dobiti sve moje zapise baze podataka, ali čovječe, ne želim da mi izvodite svoje komande uopće, to uopće nije kul"!
Ono što treba da uradimo je da osiguramo da čak i ako IDS prijavi pretnju za XP ljusku, pretnja se ignoriše. Ako koristite SQL Server 2005 ili SQL Server 2008, ako se otkrije pokušaj SQL injekcije, ljuska operativnog sistema će biti zaključana, sprečavajući vas da nastavite sa radom. To je jako neugodno. Pa šta da radimo? Trebalo bi da pokušate da pitate servera veoma ljubazno. Da li da kažem nešto poput, „molim te, tata, mogu li dobiti ove kolačiće“? To ja radim, ozbiljno, vrlo ljubazno pitam servera! Tražim više opcija, tražim rekonfiguraciju i tražim da se promijene postavke XP ljuske kako bi školjka bila dostupna jer mi je potrebna!
Vidimo da je IDS ovo otkrio - vidite, ovdje su već zabilježene 3 prijetnje.
Pogledajte samo ovdje - razneli smo sigurnosne dnevnike! Izgleda kao božićno drvce, toliko stvari je okačeno ovdje! Čak 27 sigurnosnih prijetnji! Ura momci, uhvatili smo ovog hakera, uhvatili smo ga!
Ne brinemo se da će nam ukrasti podatke, ali ako može izvršiti sistemske komande u našoj "kutiji" - to je već ozbiljno! Možete nacrtati Telnet rutu, FTP, možete preuzeti moje podatke, to je super, ali ja se ne brinem o tome, samo ne želim da preuzmete ljusku moje "kutije".
Želim razgovarati o stvarima koje su me zaista uhvatile. Radim za organizacije, radim za njih dugi niz godina, a ovo vam govorim jer moja djevojka misli da sam nezaposlen. Ona misli da ja samo stojim na sceni i ćaskam, to se ne može smatrati radom. Ali ja kažem: “Ne, radosti moja, ja sam konsultant”! To je razlika - ja govorim šta mislim i za to sam plaćen.
Reći ću ovo - mi, kao hakeri, volimo da razbijemo školjku, a za nas nema većeg zadovoljstva na svijetu od „progutanja ljuske“. Kada analitičari IDS-a napišu svoja pravila, vidite da ih pišu kako bi zaštitili od neovlaštenog pristupa. Ali ako razgovarate sa CIO-om o problemu ekstrakcije podataka, on će vas zamoliti da razmislite o dvije opcije. Recimo da imam aplikaciju koja radi 100 "komada" na sat. Šta mi je važnije: osigurati sigurnost svih podataka u ovoj aplikaciji ili sigurnost ljuske „kutije“? Ovo je ozbiljno pitanje! O čemu bi trebalo više da brinete?
Samo zato što imate pokvarenu "kutiju" ljusku ne znači nužno da je neko dobio pristup unutrašnjem radu aplikacija. Da, to je više nego vjerovatno, a ako se to još nije dogodilo, može uskoro. Ali imajte na umu da su mnogi sigurnosni proizvodi izgrađeni na pretpostavci da napadač luta vašom mrežom. Dakle, obraćaju pažnju na izvršavanje komandi, na ubrizgavanje komandi, a treba napomenuti da je to ozbiljna stvar. Oni ističu trivijalne ranjivosti, vrlo jednostavno skriptiranje na više lokacija, vrlo jednostavne SQL injekcije. Ne mare za složene pretnje, ne mare za šifrovane poruke, ne mare za takve stvari. Može se reći da svi sigurnosni proizvodi traže buku, traže "jakanje", žele zaustaviti nešto što te grize za gležanj. Evo šta sam naučio kada sam se bavio sigurnosnim proizvodima. Ne morate kupovati sigurnosne proizvode, ne morate voziti kamion u rikverc. Potrebni su vam kompetentni, obučeni ljudi koji razumiju tehnologiju. Da, Bože, ljudi! Ne želimo da bacamo milione dolara u ove probleme, ali mnogi od vas su radili u ovoj oblasti i znaju da čim vaš šef vidi reklamu, trči u radnju vičući "Moramo nabaviti ovu stvar!". Ali nama to zapravo i ne treba, samo moramo popraviti nered koji je iza nas. To je bila pretpostavka za ovaj nastup.
Visoko sigurnosno okruženje je nešto na šta sam potrošio dosta vremena da bih razumio pravila kako funkcionišu zaštitni mehanizmi. Jednom kada shvatite mehanizme zaštite, zaobići zaštitu nije teško. Na primjer, imam web aplikaciju koja je zaštićena vlastitim zaštitnim zidom. Kopiram adresu panela postavki, zalijepim je u adresnu traku pretraživača i idem na postavke i pokušavam primijeniti skriptiranje na više lokacija.
Kao rezultat toga, dobijam poruku zaštitnog zida o prijetnji - blokiran sam.
Mislim da je loše, slažete li se? Suočeni ste sa sigurnosnim proizvodom. Ali šta ako pokušam nešto ovako: stavi parametar Joe'+OR+1='1 u string
Kao što vidite, uspjelo je. Ispravite me ako griješim, ali vidjeli smo da je SQL injekcija porazila zaštitni zid aplikacije. Sada se pretvarajmo da želimo osnovati sigurnosnu kompaniju, pa stavimo kapu proizvođača softvera. Sada utjelovljujemo zlo jer je to crni šešir. Ja sam konsultant, tako da mogu ovo da uradim sa proizvođačima softvera.
Želimo da izgradimo i primenimo novi sistem za otkrivanje upada, tako da ćemo započeti kampanju za otkrivanje neovlašćenog pristupa. Snort, kao proizvod otvorenog koda, sadrži stotine hiljada potpisa prijetnji od upada. Moramo se ponašati etički, tako da nećemo ukrasti ove potpise iz drugih aplikacija i ubaciti ih u naš sistem. Samo ćemo sjesti i prepisati ih sve - hej Bobe, Tim, Joe, dođi ovamo i brzo pregledaj svih tih 100 potpisa!
Također moramo napraviti skener ranjivosti. Znate da Nessus, automatski pronalazač ranjivosti, ima dobrih 80 potpisa i skripti koje provjeravaju ranjivosti. Ponovo ćemo se ponašati etički i lično ih sve prepisati u našem programu.
Ljudi me pitaju: "Joe, radiš sve ove testove sa softverom otvorenog koda kao što je Mod Security, Snort i slično, koliko su slični proizvodima drugih proizvođača?" Odgovaram im: "Uopšte ne liče!" Budući da dobavljači ne kradu stvari iz sigurnosnih proizvoda otvorenog koda, oni sjede i sami pišu sva ova pravila.
Ako možete učiniti da vaši vlastiti potpisi i nizovi napada funkcionišu bez korištenja proizvoda otvorenog koda, ovo je odlična prilika za vas. Ako niste u mogućnosti konkurirati komercijalnim proizvodima, krećući se u pravom smjeru, morate pronaći koncept koji će vam pomoći da postanete poznati u svom polju.
Svi znaju da pijem. Dozvolite mi da vam pokažem zašto pijem. Ako ste ikada u životu radili reviziju izvornog koda, sigurno ćete se napiti, vjerujte mi, nakon toga ćete početi piti.
Dakle, naš omiljeni jezik je C++. Pogledajmo ovaj program - Web Knight je firewall aplikacija za web servere. Ima zadane izuzetke. Zanimljivo je – ako postavim ovaj zaštitni zid, neće me zaštititi od Outlook Web Access-a.
Divno! To je zato što mnogi proizvođači softvera izvlače pravila iz nekih aplikacija i stavljaju ih u svoj proizvod bez vršenja čitave gomile pravih istraživanja. Dakle, kada implementiram aplikaciju mrežnog firewall-a, mislim da je sve u vezi web-pošte urađeno pogrešno! Jer gotovo svaka web pošta krši zadanu sigurnost. Imate web kod koji izvršava sistemske naredbe i upite LDAP ili bilo koju drugu korisničku bazu podataka direktno na webu.
Reci mi, na kojoj planeti se tako nešto može smatrati sigurnim? Samo razmislite o tome: otvorite Outlook Web Access, pritisnete b ctrl+K, potražite korisnike i sve to, upravljate Active Directory-om direktno s weba, izvršite sistemske komande na Linuxu ako koristite "squirrel mail" ili Horde ili bilo šta drugo nešto drugo. Izvlačite sve te evaluacije i druge vrste nesigurnih funkcionalnosti. Stoga ih mnogi zaštitni zidovi isključuju sa liste sigurnosnih prijetnji, pokušajte o tome pitati svog proizvođača softvera.
Vratimo se na aplikaciju Web Knight. Ukrao je mnogo sigurnosnih pravila iz URL skenera koji skenira sve ove opsege IP adresa. I šta, svi ovi rasponi adresa su isključeni iz mog proizvoda?
Da li neko od vas želi da instalira ove adrese na svoju mrežu? Želite li da vaša mreža radi na ovim adresama? Da, neverovatno je. U redu, pomaknimo ovaj program prema dolje i pogledajmo druge stvari koje ovaj zaštitni zid ne želi da radi.
Zovu se "1999" i žele da njihov web server bude u prošlosti! Sjeća li se neko od vas ovog sranja: /scripts, /iishelp, msads? Možda će se par ljudi s nostalgijom sjetiti koliko je bilo zabavno hakovati takve stvari. “Zapamti, čovječe, prije koliko smo vremena “ubijali” servere, bilo je cool!”.
Sada, ako pogledate ove izuzetke, vidjet ćete da možete raditi sve ove stvari - msads, printere, iisadmpwd - sve ove stvari koje danas nikome nisu potrebne. Šta je sa naredbama koje ne smijete izvršiti?
To su arp, at, cacls, chkdsk, cipher, cmd, com. Kada ih nabrajate, obuzimaju vas sjećanja na davne dane, “čovječe, sećaš se kako smo preuzeli taj server, sećaš se tih dana”?
Ali evo šta je zaista interesantno - da li neko vidi ovde WMIC ili možda PowerShell? Zamislite da imate novu aplikaciju koja funkcioniše tako što pokreće skripte na lokalnom sistemu, a ovo su moderne skripte, jer želite da pokrenete Windows Server 2008, a ja ću obaviti odličan posao da je zaštitim pravilima dizajniranim za Windows 2000. Tako da sljedeći put kada vam prodavač dođe sa svojom web aplikacijom, pitajte ga: „Hej čovječe, da li si obezbijedio stvari kao što su bits admin ili izvršavanje powershell komandi, jesi li provjerio sve ostale stvari, jer idemo da ažurirate i koristite novu verziju DotNET-a"? Ali sve ove stvari bi trebale biti prisutne u sigurnosnom proizvodu po defaultu!
Sljedeća stvar o kojoj želim razgovarati s vama su logičke zablude. Idemo na 192.168.2.6. Ovo je otprilike ista aplikacija kao i prethodna.
Možda ćete primijetiti nešto zanimljivo ako skrolujete prema dolje po stranici i kliknete na link Kontaktirajte nas.
Ako pogledate izvorni kod kartice "Kontaktirajte nas", što je jedna od metoda pentestiranja koje radim cijelo vrijeme, primijetit ćete ovu liniju.
Razmisli o tome! Čujem da su mnogi pri pogledu na ovo rekli: "Vau"! Jednom sam radio testiranje penetracije za, recimo, banku milijardera, i tamo sam primijetio nešto slično. Dakle, ne treba nam SQL injekcija ili cross site skriptovanje - imamo glavnu stvar, ovu adresnu traku.
Dakle, bez pretjerivanja - u banci su nam rekli da imaju i jednog i drugog - i mrežnog stručnjaka, i web inspektora, i nisu dali nikakve primjedbe. Odnosno, smatrali su normalnim da se tekstualni fajl može otvoriti i pročitati kroz pretraživač.
To jest, možete jednostavno pročitati datoteku direktno iz sistema datoteka. Šef njihovog sigurnosnog tima mi je rekao: "Da, jedan od skenera je pronašao ovu ranjivost, ali je smatrao manjom." Na šta sam odgovorio, u redu, daj mi minut. Otkucao sam filename=../../../../boot.ini u adresnu traku i mogao sam da pročitam datoteku za pokretanje sistema datoteka!
Na to su mi rekli: “ne, ne, ne, ovo nisu kritični fajlovi”! Odgovorio sam - ali to je Server 2008, zar ne? Rekli su da da, to je on. Kažem - ali ovaj server ima konfiguracijski fajl koji se nalazi u korijenskom direktoriju servera, zar ne? "Tačno", odgovaraju. „Super“, kažem, „šta ako napadač uradi ovo“, i ukucam filename=web.config u adresnu traku. Kažu - pa šta, ne vidite ništa na monitoru?
Kažem - šta ako kliknem desnim tasterom miša na monitor i izaberem opciju "Prikaži kod stranice"? I šta ću naći ovdje? "Ništa kritično"? Vidjet ću lozinku administratora servera!
I kažete da tu nema problema?
Ali moj omiljeni dio je sljedeći. Ne dozvoljavate mi da izvodim komande u kutiji, ali mogu ukrasti administratorsku lozinku i bazu podataka web servera, pogledati cijelu bazu podataka, istrgnuti svu bazu podataka i stvari o greškama sistema i otići sa svime. Ovo je slučaj kada loš momak kaže "hej čoveče, danas je sjajan dan"!
Ne dozvolite da sigurnosni proizvodi postanu vaša bolest! Ne dozvolite da se razbolite od sigurnosnih proizvoda! Nađite neke štrebere, dajte im sve one uspomene iz Zvjezdanih staza, zainteresirajte ih, ohrabrite ih da ostanu s vama, jer oni štreberski smrdljivi koji se ne tuširaju svakodnevno su oni zbog kojih vaše mreže funkcioniraju ovako! Ovo su ljudi koji će pomoći da vaši sigurnosni proizvodi rade ispravno.
Recite mi, koliko vas je u stanju da ostane dugo u istoj prostoriji sa osobom koja stalno govori: “Oh, moram hitno da odštampam ovaj scenario!”, a ko je stalno zauzet sa ovim? Ali potrebni su vam ljudi koji rade na vašim sigurnosnim proizvodima.
Da ponovim, sigurnosni proizvodi su glupi jer su svjetla uvijek pogrešna, stalno rade sranje, jednostavno ne pružaju sigurnost. Nikada nisam vidio dobar sigurnosni proizvod za koji nije potreban tip sa šrafcigerom da ga podesi tamo gdje je potrebno da bi radio manje-više normalno. To je samo ogromna lista pravila koja govore da je loše, to je sve!
Dakle, ljudi, želim da obratite pažnju na obrazovanje, na stvari poput sigurnosti, politehnike, jer postoji mnogo besplatnih online kurseva o sigurnosnim pitanjima. Naučite Python, naučite Assembly, naučite testiranje web aplikacija.
Evo šta će vam zaista pomoći da zaštitite svoju mrežu. Pametni ljudi štite mreže, mrežni proizvodi ne štite! Vratite se na posao i recite svom šefu da vam treba više budžeta za pametnije ljude, znam da je sada kriza, ali svejedno mu recite da nam treba više novca za ljude da ih obrazuju. Ako kupimo proizvod, ali ne kupimo kurs o tome kako ga koristiti jer je skup, zašto ga onda uopće kupujemo ako nećemo učiti ljude kako da ga koriste?
Radio sam za mnogo dobavljača sigurnosnih proizvoda, proveo sam skoro cijeli svoj život implementirajući ove proizvode, i muka mi je od svih ovih kontrola pristupa mreži i slično jer sam instalirao i pokrenuo sve te usrane proizvode. Jednog dana sam otišao kod klijenta, oni su htjeli implementirati standard 802.1x za EAP protokol, tako da su imali MAC adrese i sekundarne adrese za svaki port. Došao sam, vidio da je loše, okrenuo se i počeo da pritiskam dugmad na štampaču. Znate, štampač može odštampati probnu stranicu mrežne opreme sa svim MAC adresama i IP adresama. Ali pokazalo se da štampač ne podržava standard 802.1x, pa ga treba isključiti.
Zatim sam isključio štampač i promenio MAC adresu svog laptopa u MAC adresu štampača i spojio laptop, zaobilazeći tako skupo MAC rešenje, razmislite o tome! Dakle, šta mi ovo MAC rješenje može učiniti ako osoba može jednostavno proći bilo koju opremu kao štampač ili VoIP telefon?
Dakle, za mene danas pentestiranje je trošenje vremena pokušavajući razumjeti i razumjeti sigurnosni proizvod koji je kupio moj klijent. Sada svaka banka u kojoj radim test penetracije ima sve ove KUKE, NIPS, LAUGTHS, MACS i čitavu gomilu drugih akronima koji su jednostavno sranje. Ali pokušavam da shvatim šta ovi proizvodi pokušavaju da urade i kako to pokušavaju. Onda, kada shvatim koju metodologiju i logiku koriste za pružanje zaštite, zaobići to nije nimalo teško.
Moj omiljeni proizvod, koji ću vam ostaviti, zove se MS 1103. To je eksploatacija zasnovana na pretraživaču koja prska HIPS, Host Intrusion Prevention Signature ili Host Intrusion Prevention Signature. Zapravo, namijenjen je zaobilaženju HIPS potpisa. Ne želim vam pokazati kako funkcionira jer ne želim odvajati vrijeme da to demonstriram, ali odlično zaobilazi ovu zaštitu i želim da je usvojite.
OK momci, sad idem.
Neke reklame 🙂
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivih sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, , jedinstveni analog servera početnog nivoa, koji smo mi izmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji u Equinix Tier IV data centru u Amsterdamu? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com