Ara provarem una altra manera d'injectar SQL. Vegem si la base de dades no deixa de deixar anar missatges d'error. Aquest mètode s'anomena "esperant retard" i el retard en si s'escriu de la següent manera: waitfor delay 00:00:01'. Copio això del nostre fitxer i l'enganxo a la barra d'adreces del meu navegador.
Tot això s'anomena "injecció SQL temporal cega". Tot el que estem fent aquí és dir: "espera un retard de 10 segons". Si ho observeu, a la part superior esquerra tenim la inscripció "connecting...", és a dir, què fa la nostra pàgina? Espera una connexió i, al cap de 10 segons, apareix la pàgina correcta al monitor. Amb aquest truc, demanem a la base de dades que ens permeti fer-li unes quantes preguntes més, per exemple, si l'usuari és Joe, hem d'esperar 10 segons. Està clar? Si l'usuari és dbo, espereu també 10 segons. Aquest és el mètode d'injecció SQL cec.
Crec que els desenvolupadors no solucionen aquesta vulnerabilitat quan creen pedaços. Això és injecció SQL, però el nostre programa IDS tampoc no la veu, com els mètodes anteriors d'injecció SQL.
Anem a provar alguna cosa més interessant. Copiem aquesta línia amb l'adreça IP i enganxem-la al navegador. Ha funcionat! La barra TCP del nostre programa es va tornar vermella, el programa va assenyalar 2 amenaces de seguretat.
D'acord, a veure què va passar després. Tenim una amenaça per a l'intèrpret d'ordres XP i una altra: un intent d'injecció SQL. En total, hi va haver dos intents d'atacar l'aplicació web.
D'acord, ara ajuda'm amb la lògica. Tenim un paquet de dades de manipulació en què IDS diu que ha respost a diverses manipulacions de l'intèrpret d'ordres XP.
Si baixem, veiem una taula de codis HEX, a la dreta de la qual hi ha una bandera amb el missatge xp_cmdshell + &27ping, i òbviament això és dolent.
A veure què ha passat aquí. Què va fer SQL Server?
El servidor SQL va dir: "Podeu tenir la contrasenya de la meva base de dades, podeu obtenir tots els registres de la meva base de dades, però amic, no vull que executeu les vostres ordres sobre mi, això no és genial"!
El que hem de fer és assegurar-nos que fins i tot si l'IDS informa d'una amenaça a l'intèrpret d'ordres XP, l'amenaça s'ignora. Si utilitzeu SQL Server 2005 o SQL Server 2008, si es detecta un intent d'injecció d'SQL, l'intèrpret d'ordres del sistema operatiu es bloquejarà, impedint-vos de continuar treballant. Això és molt molest. Aleshores, què hem de fer? Hauríeu d'intentar preguntar-li molt afectuosament al servidor. Hauria de dir alguna cosa com "si us plau, pare, puc tenir aquestes galetes"? Això és el que faig, seriosament, li demano molt educadament al servidor! Demano opcions addicionals, demano una reconfiguració i demano que es canviï la configuració de l'intèrpret d'ordres XP per fer-lo accessible perquè ho necessito!
Veiem que IDS ho ha detectat: ja s'han observat 3 amenaces aquí.
Només cal que mireu aquí: hem volat els registres de seguretat! Sembla un arbre de Nadal, aquí hi ha moltes coses penjades! Fins a 27 amenaces de seguretat! Hurra nois, hem atrapat aquest pirata informàtic, el tenim!
No ens preocupa que ens robe les dades, però si pot executar ordres del sistema a la nostra "caixa", això ja és seriós! Pots dibuixar una ruta Telnet, FTP, pots fer-te càrrec de les meves dades, és genial, però no em preocupa, només no vull que et facis càrrec de l'intèrpret de la meva "caixa".
Vull parlar de coses que realment em van atrapar. Treballo per a organitzacions, fa molts anys que treballo per a elles, i això t'ho dic perquè la meva xicota es creu que estic a l'atur. Ella pensa que l'únic que faig és pujar a l'escenari i xerrar, això no es pot considerar feina. Però dic: “no, alegria, sóc consultor”! Aquesta és la diferència: dic el que penso i em paguen per això.
Permeteu-me dir-ho d'aquesta manera: a nosaltres, com a pirates informàtics, ens encanta trencar la closca, i per a nosaltres no hi ha plaer més gran al món que "empassar la closca". Quan els analistes d'IDS escriuen les seves regles, podeu veure que les escriuen d'una manera que les protegeix contra la pirateria de shell. Però si parles amb el CIO del problema de l'extracció de dades, t'oferirà pensar en dues opcions. Suposem que tinc una aplicació que fa 100 "peces" per hora. Què és més important per a mi: garantir la seguretat de totes les dades d'aquesta aplicació o la seguretat del shell "box"? Aquesta és una pregunta seriosa! De què t'has de preocupar més?
El fet que el vostre intèrpret d'ordres "caixa" estigui danyat no vol dir necessàriament que algú hagi tingut accés al funcionament intern de les aplicacions. Sí, això és més que probable, i si encara no ha passat, pot passar aviat. Però tingueu en compte que molts productes de seguretat es basen en el supòsit que un atacant es mou per la vostra xarxa. Així que presten atenció a l'execució d'ordres, a la implementació d'ordres, i heu de tenir en compte que això és una cosa seriosa. Presten atenció a vulnerabilitats trivials, a scripts entre llocs molt senzills, a injeccions SQL molt senzilles. No els preocupen les amenaces avançades ni els missatges xifrats, no els preocupen aquest tipus de coses. Es podria dir que tots els productes de seguretat busquen soroll, busquen xips, busquen aturar alguna cosa que et mossega el turmell. Això és el que vaig aprendre quan vaig tractar amb productes de seguretat. No cal comprar productes de seguretat, no cal que condueixi el camió en reversa. Necessites persones competents i qualificades que entenguin la tecnologia. Sí, Déu meu, exactament persones! No volem invertir milions de dòlars en aquests problemes, però molts de vosaltres heu treballat en aquest camp i sabeu que tan bon punt el vostre cap veu un anunci, corre cap a la botiga cridant: "Hem d'aconseguir això! " Però realment no ens cal, només hem d'arreglar l'embolic que hi ha darrere nostre. Aquesta va ser la premissa d'aquesta actuació.
L'entorn de seguretat és una cosa on vaig passar molt de temps entenent com funcionen els mecanismes de seguretat. Un cop hàgiu entès els mecanismes de protecció, no és difícil evitar la protecció. Per exemple, tinc una aplicació web que està protegida pel seu propi tallafoc. Copio l'adreça del tauler de configuració, l'enganxo a la barra d'adreces del navegador i vaig a la configuració i intento fer scripts entre llocs.
Com a resultat, rebo un missatge del tallafoc sobre una amenaça: m'han bloquejat.
Crec que això és dolent, estàs d'acord? Us heu trobat amb un producte de seguretat. Però què passa si intento alguna cosa com això: introdueixo el paràmetre Joe'+OR+1='1
Com podeu veure, va funcionar. Corregiu-me si m'equivoco, però hem vist que la injecció SQL ha derrotat el tallafoc de l'aplicació. Ara imaginem que volem crear una empresa de seguretat, així que posem-nos el barret del fabricant de programari. Ara encarnem el mal perquè és un barret negre. Sóc consultor, així que puc fer-ho amb els productors de programari.
Volem construir i desplegar un nou sistema de detecció d'intrusions, així que començarem una campanya de detecció de manipulacions. Snort, com a producte de codi obert, conté centenars de milers de signatures d'amenaces d'intrusió. Hem d'actuar amb ètica, per tant no robarem aquestes signatures d'altres aplicacions i les inserirem al nostre sistema. Només ens asseurem i els reescriurem tots: hola, Bob, Tim, Joe, vinga aquí, repassa ràpidament totes aquestes 100 signatures!
També hem de crear un escàner de vulnerabilitats. Ja sabeu que Nessus, el cercador automàtic de vulnerabilitats, té unes bones 80 signatures i scripts que comproven les vulnerabilitats. Tornarem a actuar de manera ètica i els reescriurem tots al nostre programa nosaltres mateixos.
La gent em pregunta: "Joe, fas totes aquestes proves utilitzant programari de codi obert com Mod Security, Snort i similars, fins a quin punt són semblants als productes d'altres fabricants?" Els responc: "No s'assemblen gens!" Com que els venedors no roben coses dels productes de seguretat de codi obert, s'asseuen i escriuen totes aquestes regles ells mateixos.
Si podeu fer que les vostres pròpies signatures i cadenes d'atac funcionin sense utilitzar productes de codi obert, aquesta és una gran oportunitat per a vosaltres. Si no pots competir amb productes comercials, avançant en la direcció correcta, has de trobar un concepte que t'ajudi a donar-te a conèixer en el teu camp.
Tothom sap que bec. Deixa'm mostrar-te per què bec. Si alguna vegada has fet una auditoria del codi font a la teva vida, definitivament beuràs, confia en mi, després començaràs a beure.
Per tant, el nostre llenguatge preferit és C++. Fem una ullada a aquest programa: Web Knight és una aplicació de tallafoc per a servidors web. Té excepcions per defecte. És interessant: si implemento aquest tallafoc, no em protegirà de l'Outlook Web Access.
Meravellós! Això es deu al fet que molts venedors de programari treuen regles d'algunes aplicacions i les introdueixen al seu producte sense fer una gran quantitat de recerca adequada. Per tant, quan desplego una aplicació de tallafocs de xarxa, crec que tot sobre el correu web està fet malament! Perquè gairebé qualsevol correu web trenca la seguretat per defecte. Teniu codi web que executa ordres del sistema i consulta LDAP o qualsevol altra botiga de bases de dades d'usuari directament al web.
Digueu-me, a quin planeta una cosa com aquesta es pot considerar segura? Penseu-hi: obriu Outlook Web Access, premeu b ctrl+K, busqueu usuaris i tot això, gestioneu Active Directory directament des del web, executeu ordres del sistema a Linux si feu servir "correu d'esquirol" o Horde o el que sigui. alguna cosa més. Esteu traient tots aquests evals i altres tipus de funcionalitats insegures. Per tant, molts tallafocs els exclouen de la llista d'amenaces de seguretat, proveu de preguntar-ho al vostre fabricant de programari.
Tornem a l'aplicació Web Knight. Va robar moltes regles de seguretat d'un escàner d'URL que analitza tots aquests intervals d'adreces IP. Aleshores, tots aquests intervals d'adreces estan exclosos del meu producte?
Algú de vosaltres vol instal·lar aquestes adreces a la vostra xarxa? Voleu que la vostra xarxa funcioni en aquestes adreces? Sí, és increïble. D'acord, desplacem-nos cap avall per aquest programa i mirem altres coses que aquest tallafoc no vol fer.
Es diuen "1999" i volen que el seu servidor web sigui en el passat! Algú de vosaltres recorda aquesta merda: /scripts, /iishelp, msads? Potser un parell de persones recordaran amb nostàlgia el divertit que era piratejar aquestes coses. "Recorda, home, quant de temps fa que vam "matar" servidors, va ser genial!".
Ara, si observeu aquestes excepcions, veureu que podeu fer totes aquestes coses - msads, printers, iisadmpwd - totes aquestes coses que ningú necessita avui. Què passa amb les ordres que no teniu permís per executar?
Aquests són arp, at, cacls, chkdsk, cipher, cmd, com. Quan els enumereu, us sobrepassen els records dels vells temps, "home, recordeu com ens vam fer càrrec d'aquest servidor, recordeu aquells dies"?
Però aquí hi ha el que és realment interessant: algú veu WMIC aquí o potser PowerShell? Imagineu que teniu una aplicació nova que funciona executant scripts al sistema local, i aquests són scripts moderns, perquè voleu executar Windows Server 2008, i faré un gran treball per protegir-lo amb regles dissenyades per a Windows. 2000. Perquè la propera vegada que un venedor us vingui amb la seva aplicació web, pregunteu-li: "Hola, home, has proporcionat coses com ara bits admin o executar ordres de Powershell, has comprovat totes les altres coses, perquè anem? actualitzar i utilitzar la nova versió de DotNET"? Però totes aquestes coses haurien d'estar presents en un producte de seguretat per defecte!
El següent que us vull parlar són els errors lògics. Anem a 192.168.2.6. Aquesta és aproximadament la mateixa aplicació que l'anterior.
És possible que noteu alguna cosa interessant si us desplaceu cap avall per la pàgina i feu clic a l'enllaç Contacta amb nosaltres.
Si mireu el codi font de la pestanya "Contacteu amb nosaltres", que és un dels mètodes de pentesting que faig tot el temps, notareu aquesta línia.
Pensa-hi! He sentit que quan van veure això, molts van dir: "Wow"! Una vegada vaig fer proves de penetració per, per exemple, a un banc multimilionari i vaig notar alguna cosa semblant allà. Per tant, no necessitem injecció SQL ni scripting entre llocs: tenim el principal, aquesta barra d'adreces.
Així doncs, sense exagerar -el banc ens va dir que tenien tots dos- i un especialista en xarxes, i un inspector web, i no van fer cap observació. És a dir, consideraven normal que un fitxer de text es pugui obrir i llegir a través d'un navegador.
És a dir, només podeu llegir el fitxer directament des del sistema de fitxers. El cap del seu equip de seguretat em va dir: "Sí, un dels escàners va trobar aquesta vulnerabilitat, però la va considerar menor". Al que vaig respondre, d'acord, dona'm un minut. Vaig escriure filename=../../../../boot.ini a la barra d'adreces i vaig poder llegir el fitxer d'arrencada del sistema de fitxers!
A això em van dir: "no, no, no, aquests no són fitxers crítics"! Vaig respondre, però això és Server 2008? Van dir que sí, que és ell. Jo dic, però aquest servidor té un fitxer de configuració situat al directori arrel del servidor, oi? "Correcte", responen. "Genial", dic, "i si l'atacant fa això", i escric filename=web.config a la barra d'adreces. Diuen, i què, no veus res al monitor?
Jo dic: què passa si faig clic amb el botó dret al monitor i selecciono l'opció "Mostra el codi de la pàgina"? I què trobaré aquí? "Res crític"? Veuré la contrasenya de l'administrador del servidor!
I dius que aquí no hi ha cap problema?
Però la meva part preferida és la següent. No em deixeu executar ordres a la caixa, però puc robar la contrasenya i la base de dades d'administrador del servidor web, mirar tota la base de dades, treure totes les coses de la base de dades i els errors del sistema i sortir-me'n amb tot. Aquest és el cas quan el dolent diu "ei home, avui és un gran dia"!
No deixis que els productes de seguretat et facin emmalaltir! No deixis que els productes de seguretat et facin emmalaltir! Trobeu alguns nerds, regaleu-los tots aquells records de Star Trek, feu que s'interessin, animeu-los a quedar-se amb vosaltres, perquè aquests pudents nerds que no es dutxan diàriament són els que fan que les vostres xarxes funcionin com haurien de ser! Aquestes són les persones que ajudaran a que els vostres productes de seguretat funcionin correctament.
Digueu-me, quants de vosaltres podeu romandre a la mateixa habitació durant molt de temps amb una persona que diu constantment: "Oh, necessito imprimir aquest guió amb urgència!", I qui està ocupat amb això tot el temps? Però necessiteu gent que faci funcionar els vostres productes de seguretat.
Per reiterar, els productes de seguretat són ximples perquè els llums sempre estan malament, estan fent coses de merda constantment, simplement no donen seguretat. Mai he vist un bon producte de seguretat que no requereixi un tipus amb un tornavís per ajustar-lo on necessita perquè funcioni amb més o menys normalitat. És només una llista enorme de regles que diuen que és dolent, això és tot!
Per tant, vull que mireu l'educació, coses com la seguretat, la formació politècnica, perquè hi ha molts cursos en línia gratuïts sobre temes de seguretat. Apreneu Python, apreneu Assembly, apreneu proves d'aplicacions web.
Aquí teniu el que realment us ajudarà a protegir la vostra xarxa. Les persones intel·ligents protegeixen les xarxes, els productes de xarxa no protegeixen! Torna a la feina i digues-li al teu cap que necessites més pressupost per a gent més intel·ligent, sé que això és una crisi, però digues-li de totes maneres: necessitem més diners per a la gent, per formar-los. Si comprem un producte però no comprem un curs sobre com utilitzar-lo perquè és car, llavors per què el comprem si no volem ensenyar a la gent com utilitzar-lo?
He treballat per a molts venedors de productes de seguretat, m'he passat gairebé tota la vida implementant aquests productes i m'estic cantant de tots aquests controls d'accés a la xarxa i coses perquè he instal·lat i executat tots aquests productes de merda. Un dia vaig anar a un client, volien implementar l'estàndard 802.1x per al protocol EAP, de manera que tenien adreces MAC i adreces secundàries per a cada port. Vaig venir, vaig veure que estava dolent, em vaig girar i vaig començar a prémer els botons de la impressora. Ja sabeu, la impressora pot imprimir una pàgina de prova d'equips de xarxa amb totes les adreces MAC i adreces IP. Però va resultar que la impressora no admet l'estàndard 802.1x, per la qual cosa s'hauria d'excloure.
Llavors vaig desconnectar la impressora i vaig canviar l'adreça MAC del meu ordinador portàtil per l'adreça MAC de la impressora i vaig connectar el meu ordinador portàtil, evitant així aquesta cara solució MAC, pensa-hi! Aleshores, de què em pot servir aquesta solució MAC si una persona simplement pot passar qualsevol equip com a impressora o telèfon VoIP?
Per tant, per a mi avui, el pentesting consisteix a passar temps intentant entendre i entendre un producte de seguretat que ha comprat el meu client. Ara, tots els bancs on faig una prova de penetració tenen tots aquests HIPS, NIPS, LUGTHS, MACS i un munt d'altres sigles que fan mal. Però estic intentant esbrinar què intenten fer aquests productes i com ho intenten fer. Aleshores, un cop esbrineu quina metodologia i lògica utilitzen per proporcionar protecció, no es fa gens difícil desviar-ho.
El meu producte preferit, amb el qual us deixo, es diu MS 1103. És un exploit basat en navegador que ruixa HIPS, Host Intrusion Prevention Signature o Host Intrusion Prevention Signatures. De fet, es pretén evitar les signatures HIPS. No vull mostrar-vos com funciona perquè no vull prendre el temps per demostrar-ho, però fa un gran treball per evitar aquesta protecció i vull que l'adopti.
D'acord nois, ara me'n vaig.
Alguns anuncis 🙂
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, , un anàleg únic dels servidors d'entrada, que vam inventar per a vosaltres: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat al centre de dades Equinix Tier IV a Amsterdam? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com