Nyní zkusíme jiný způsob SQL injection. Podívejme se, zda databáze nadále hází chybové zprávy. Tato metoda se nazývá "čekání na zpoždění" a samotné zpoždění je zapsáno následovně: waitfor delay 00:00:01'. Zkopíruji to z našeho souboru a vložím do adresního řádku prohlížeče.
To vše se nazývá „slepá dočasná SQL injekce“. Všechno, co tady děláme, je říkat: "Počkejte na zpoždění 10 sekund." Pokud jste si všimli, vlevo nahoře máme nápis „connecting...“, tedy co naše stránka dělá? Čeká na připojení a po 10 sekundách se na vašem monitoru objeví správná stránka. Pomocí této techniky kontaktujeme databázi, aby nám umožnila položit jí několik dalších otázek, například pokud je uživatel Joe, musíme počkat 10 sekund. To je jasné? Pokud je uživatel dbo, počkejte také 10 sekund. Toto je metoda slepého vkládání SQL.
Myslím, že vývojáři tuto chybu zabezpečení při vytváření záplat neopravují. Toto je SQL injection, ale náš IDS program to také nevidí, jako předchozí metody SQL injection.
Zkusme něco zajímavějšího. Zkopírujeme tento řádek s IP adresou a vložíme do prohlížeče. Fungovalo to! Lišta TCP v našem programu zčervenala, program zaznamenal 2 bezpečnostní hrozby.
Skvělé, uvidíme, co bylo dál. Máme jednu hrozbu pro shell XP a další hrozbu - pokus o vložení SQL. Celkem byly zaznamenány dva pokusy o útok na webovou aplikaci.
Dobře, teď mi pomozte s logikou. Máme datový paket o narušení, ve kterém IDS říká, že reagoval na různá narušení prostředí XP.
Pokud rolujeme dolů, vidíme tabulku HEX kódů, napravo od ní je příznak se zprávou xp_cmdshell + &27ping a to je očividně špatně.
Podívejme se, co se stalo. Co udělal SQL server?
SQL server řekl: „můžete mít heslo do mé databáze, můžete získat všechny záznamy v mé databázi, ale vole, nechci, abyste na mě spouštěli své příkazy, to není vůbec cool“!
Co musíme udělat, je zajistit, že i když IDS ohlásí hrozbu shellu XP, hrozba bude ignorována. Pokud používáte SQL Server 2005 nebo SQL Server 2008, pak pokud je zjištěn pokus o vložení SQL, příkazové prostředí operačního systému bude uzamčeno, což vám zabrání pokračovat v práci. To je velmi nepříjemné. Tak co bychom měli dělat? Měli byste se zkusit zeptat serveru velmi laskavě. Měli byste říct toto: „Prosím, tati, můžu si vzít ty sušenky“? To je to, co dělám, vážně, žádám server velmi zdvořile! Žádám o další možnosti, žádám o rekonfiguraci a žádám o změnu nastavení prostředí XP, aby byl shell přístupný, protože to potřebuji!
Vidíme, že IDS to detekovalo – vidíte, zde již byly zaznamenány 3 hrozby.
Jen se podívejte sem – vyhodili jsme do povětří bezpečnostní protokoly! Vypadá to jako vánoční stromeček, visí tu toho tolik! Až 27 bezpečnostních hrozeb! Hurá lidi, chytili jsme toho hackera, dostali jsme ho!
Nebojíme se, že nám ukradne naše data, ale pokud dokáže provádět systémové příkazy v naší „krabici“ - to už je vážné! Můžete si nakreslit Telnetovou cestu, FTP, můžete převzít moje data, to je v pohodě, ale já se o to nestarám, jen nechci, abyste převzali skořápku mé „krabičky“.
Chci mluvit o věcech, které mě opravdu dostaly. Pracuji pro organizace, pracuji pro ně mnoho let a říkám vám to, protože moje přítelkyně si myslí, že jsem nezaměstnaný. Myslí si, že všechno, co dělám, je stát na pódiu a klábosit, to se nedá považovat za práci. Ale já říkám: „Ne, moje radost, jsem konzultant“! To je rozdíl – říkám svůj názor a dostávám za to zaplaceno.
Řeknu to - my jako hackeři milujeme rozlousknutí skořápky a pro nás není na světě větší potěšení než „polykání skořápky“. Když analytici IDS píší svá pravidla, vidíte, že je píší, aby chránili před neoprávněnou manipulací. Pokud ale budete mluvit s CIO o problému extrakce dat, požádá vás, abyste se zamysleli nad dvěma možnostmi. Řekněme, že mám aplikaci, která udělá 100 „kousků“ za hodinu. Co je pro mě důležitější: zajištění bezpečnosti všech dat v této aplikaci nebo zabezpečení „krabicového“ shellu? To je vážná otázka! Čeho byste se měli více obávat?
To, že je váš „box“ shell poškozen, nutně neznamená, že někdo získal přístup k vnitřnímu fungování aplikací. Ano, je to více než pravděpodobné, a pokud se to dosud nestalo, může se to stát již brzy. Všimněte si však, že mnoho bezpečnostních produktů je postaveno na předpokladu, že se vaší sítí pohybuje útočník. Věnují se tedy provádění příkazů, provádění příkazů a musíte si uvědomit, že jde o vážnou věc. Věnují pozornost triviálním zranitelnostem, velmi jednoduchému cross-site skriptování, až velmi jednoduchým SQL injekci. Nezajímají je pokročilé hrozby nebo šifrované zprávy, takové věci je nezajímají. Dalo by se říci, že všechny bezpečnostní produkty hledají hluk, hledají žvatlání, snaží se zastavit něco, co vás kousne do kotníku. Zde je to, co jsem se naučil při práci s bezpečnostními produkty. Nemusíte kupovat bezpečnostní produkty, nemusíte jezdit s kamionem couvat. Potřebujete kompetentní, kvalifikované lidi, kteří rozumí technologii. Ano, můj bože, přesně lidi! Nechceme za tyto záležitosti vyhazovat miliony dolarů, ale mnozí z vás v této oblasti pracovali a víte, že jakmile váš šéf uvidí reklamu, běží do obchodu a křičí: „Musíme tu věc dostat! " Ale to opravdu nepotřebujeme, musíme jen opravit nepořádek, který je za námi. To byl předpoklad tohoto vystoupení.
Bezpečnostní prostředí je něco, kde jsem strávil spoustu času pochopením toho, jak bezpečnostní mechanismy fungují. Jakmile pochopíte ochranné mechanismy, není obtížné ochranu obejít. Mám například webovou aplikaci, která je chráněna vlastním firewallem. Zkopíruji adresu panelu nastavení, vložím ji do adresního řádku prohlížeče a přejdu do nastavení a vyzkouším cross-site scripting.
V důsledku toho dostávám zprávu brány firewall o hrozbě – byl jsem zablokován.
Myslím, že je to špatné, souhlasíte? Narazili jste na bezpečnostní produkt. Ale co když zkusím něco takového: zadám parametr Joe'+OR+1='1
Jak je vidět, povedlo se. Opravte mě, pokud se mýlím, ale viděli jsme, že SQL injection porazí aplikační firewall. Nyní předstírejme, že chceme založit společnost pro implementaci zabezpečení, a tak si nasadíme klobouk pro výrobce softwaru. Nyní ztělesňujeme zlo, protože je to černý klobouk. Jsem konzultant, takže mohu udělat totéž s výrobci softwaru.
Chceme vytvořit a nasadit nový systém detekce neoprávněných zásahů, takže založíme společnost na detekci neoprávněných zásahů. Snort jako produkt s otevřeným zdrojovým kódem obsahuje stovky tisíc signatur hrozeb z důvodu manipulace. Musíme jednat eticky, takže tyto podpisy nebudeme krást z jiných aplikací a vkládat je do našeho systému. Prostě si sedneme a všechny je přepíšeme – hej, Bobe, Tim, Joe, pojď sem, rychle projdi všech těch 100 000 podpisů!
Musíme také vytvořit skener zranitelnosti. Víte, že Nessus, program pro automatické vyhledávání zranitelností, má dobrých 80 tisíc podpisů a skriptů, které zranitelnost kontrolují. Budeme se opět chovat eticky a sami je všechny přepíšeme do našeho programu.
Lidé se mě ptají: "Joe, děláš všechny tyto testy pomocí softwaru s otevřeným zdrojovým kódem, jako je Mod Security, Snort a podobně, jak moc jsou podobné produktům jiných výrobců?" Odpovídám jim: "Vůbec se nepodobají!" Protože výrobci nekradou věci z open source bezpečnostních produktů, sednou si a sepíší všechna tato pravidla sami.
Pokud dokážete zprovoznit své vlastní podpisy a útočné řetězce bez použití open source produktů, je to pro vás skvělá příležitost. Pokud nejste schopni konkurovat komerčním produktům a jít správným směrem, musíte najít koncept, který vám pomůže stát se slavným ve vašem oboru.
Každý ví, že piju. Dovolte mi, abych vám ukázal, proč piji. Pokud jste někdy v životě dělali audit zdrojového kódu, určitě budete pít, věřte mi, poté začnete pít.
Takže náš oblíbený jazyk je C++. Podívejme se na tento program - Web Knight, je to firewallová aplikace pro webové servery. Ve výchozím nastavení má výjimky. To je zajímavé – pokud nasadím tento firewall, neochrání mě před Outlook Web Access.
Báječné! Důvodem je to, že mnoho dodavatelů softwaru vytáhne pravidla z jedné aplikace a vloží je do svého produktu, aniž by prováděli spoustu výzkumů. Takže když nasadím aplikaci webového firewallu, zjistím, že vše o webmailu se dělá špatně! Protože téměř každý webmail ve výchozím nastavení narušuje zabezpečení. Máte webový kód, který spouští systémové příkazy a dotazy pro LDAP nebo jakékoli jiné úložiště uživatelských databází přímo na internetu.
Řekněte mi, na jaké planetě lze něco takového považovat za bezpečné? Jen se nad tím zamyslete: otevřete Outlook Web Access, stisknete ctrl + K, vyhledáte uživatele a to vše, spravujete Active Directory přímo z internetu, spouštíte systémové příkazy na Linuxu, pokud používáte Squirrel Mail, nebo Hordu nebo cokoli jiného. jiný. Vytahujete všechny tyto hodnoty a další typy nebezpečných funkcí. Mnoho firewallů je proto vylučuje ze seznamu bezpečnostních rizik, zkuste se na to zeptat výrobce softwaru.
Vraťme se k aplikaci Web Knight. Ukradl spoustu bezpečnostních pravidel ze skeneru URL, který skenuje všechny tyto rozsahy IP adres. Jsou tedy všechny tyto rozsahy adres z mého produktu vyloučeny?
Přeje si někdo z vás nainstalovat tyto adresy do vaší sítě? Chcete, aby vaše síť běžela na těchto adresách? Ano, je to úžasné. Dobře, posuňme tento program dolů a podívejme se na další věci, které tento firewall nechce dělat.
Říká se jim „1999“ a chtějí, aby se jejich webový server vrátil v čase! Pamatuje si někdo z vás tento odpad: /scripts, /iishelp, msads? Snad si pár lidí s nostalgií vzpomene, jak zábavné bylo takové věci hackovat. "Pamatuješ si, kámo, jak je to dávno, co jsme "zabíjeli" servery, bylo to cool!"
Nyní, když se podíváte na tyto výjimky, uvidíte, že můžete dělat všechny tyto věci - msady, tiskárny, iisadmpwd - všechny tyto věci, které dnes nikdo nepotřebuje. A co příkazy, které nesmíte provádět?
Jsou to arp, at, cacls, chkdsk, cipher, cmd, com. Když je vyjmenováváte, přepadají vás vzpomínky na staré časy, „kámo, pamatuj, když jsme přebírali ten server, pamatuj na ty časy“?
Ale tady je to, co je opravdu zajímavé – vidí tady někdo WMIC nebo třeba PowerShell? Představte si, že máte novou aplikaci, která funguje tak, že spouští skripty v místním systému, a to jsou moderní skripty, protože chcete spouštět Windows Server 2008, a já udělám skvělou věc, když ji ochráním pomocí pravidel navržených pro Windows 2000. Až za vámi příště přijde dodavatel se svou webovou aplikací, zeptejte se ho: „Hej, člověče, zahrnul jsi věci jako bits admin nebo spouštění příkazů powershell, zkontroloval jsi všechny ostatní věci, protože se chystáme aktualizovat a používat novou verzi DotNET“? Ale všechny tyto věci by měly být ve výchozím nastavení obsaženy v bezpečnostním produktu!
Další věc, o které s vámi chci mluvit, jsou logické chyby. Pojďme na 192.168.2.6. Jedná se o stejnou aplikaci jako předchozí.
Můžete si všimnout něčeho zajímavého, pokud stránku posunete dolů a kliknete na odkaz Kontaktujte nás.
Pokud se podíváte na zdrojový kód záložky „Kontaktujte nás“, což je jedna z metod pentestingu, kterou dělám neustále, všimnete si tohoto řádku.
Přemýšlejte o tom! Slyšel jsem, že když to viděli, mnozí řekli: „Wow“! Jednou jsem dělal penetrační testy třeba pro miliardářskou banku a všiml jsem si něčeho podobného. Nepotřebujeme tedy žádné SQL injection nebo cross-site skriptování – máme základy, tento adresní řádek.
Takže bez nadsázky - banka nám řekla, že má jak síťového specialistu, tak i webového inspektora, a nic nekomentovali. To znamená, že považovali za normální, že textový soubor lze otevřít a přečíst prostřednictvím prohlížeče.
To znamená, že můžete jednoduše číst soubor přímo ze systému souborů. Vedoucí jejich bezpečnostního týmu mi řekl: „Ano, jeden ze skenerů našel tuto chybu zabezpečení, ale považoval ji za nezávažnou.“ Na což jsem odpověděl: Dobře, dej mi chvilku. Do adresního řádku jsem zadal název_souboru=../../../../boot.ini a podařilo se mi přečíst spouštěcí soubor systému souborů!
Na to mi řekli: „ne, ne, ne, tohle nejsou kritické soubory“! Odpověděl jsem – ale tohle je Server 2008? Řekli ano, to je on. Říkám - ale tento server má konfigurační soubor umístěný v kořenovém adresáři serveru, ne? "Správně," odpovídají. "Skvělé," říkám, "co když to udělá útočník," a do adresního řádku napíšu název_souboru=web.config. Říkají - tak co, na monitoru nic nevidíte?
Říkám – co když kliknu pravým tlačítkem na monitor a vyberu možnost Zobrazit zdrojový kód stránky? A co tady najdu? "Nic kritického"? Uvidím heslo správce serveru!
A ty říkáš, že tady není problém?
Ale moje nejoblíbenější část je tato další. Nedovolíte mi spouštět příkazy v krabici, ale mohu ukrást heslo správce webového serveru a databázi, prohlédnout si celou databázi, vytrhnout veškerý materiál o selhání databáze a systému a dostat se z toho všeho pryč. Toto je případ, kdy zlý člověk říká: "Hej člověče, dnes je velký den"!
Nedovolte, aby vám z bezpečnostních produktů bylo špatně! Nedovolte, aby vám z bezpečnostních produktů bylo špatně! Najděte si nějaké pitomce, dejte jim všechny ty upomínkové předměty ze Star Treku, zaujměte je, povzbuďte je, aby zůstali s vámi, protože ti nudní smradi, kteří se nesprchují každý den, jsou ti, díky kterým vaše sítě fungují. Jsou to lidé, kteří pomohou vašim bezpečnostním produktům fungovat tak, jak mají.
Řekněte mi, kolik z vás je schopno zůstat dlouho v jedné místnosti s člověkem, který neustále říká: „Ach, nutně potřebuji napsat tento scénář!“, a kdo se tím celou dobu zabývá? Ale potřebujete lidi, díky kterým budou vaše bezpečnostní produkty fungovat.
Zopakuji to znovu - bezpečnostní produkty jsou hloupé, protože světla neustále dělají chyby, neustále dělají sračky, prostě neposkytují bezpečnost. Nikdy jsem neviděl dobrý bezpečnostní produkt, který by nevyžadoval člověka se šroubovákem, aby jej utáhl tam, kde je to nutné, aby fungoval víceméně normálně. Je to jen obrovský seznam pravidel, která říkají, že je to špatné, to je vše!
Takže chci, abyste se podívali na vzdělávání, věci jako bezpečnost, polytechnická školení, protože existuje spousta bezplatných online kurzů o otázkách bezpečnosti. Naučte se Python, naučte se Assembly, naučte se testování webových aplikací.
To je to, co vám skutečně pomůže chránit vaši síť. Chytří lidé chrání sítě, síťové produkty ne! Vraťte se do práce a řekněte svému šéfovi, že potřebujete větší rozpočet pro chytřejší lidi, vím, že je to krize, ale stejně mu řekněte – potřebujeme více peněz na lidi, na jejich školení. Pokud si koupíme produkt, ale nekoupíme si kurz, jak ho používat, protože je drahý, tak proč ho vůbec kupujeme, když ho nenaučíme lidi používat?
Pracoval jsem pro mnoho dodavatelů bezpečnostních produktů, strávil jsem skoro celý svůj život implementací těchto produktů a už mě nebaví všechna ta řízení přístupu k síti a podobně, protože jsem nainstaloval a spustil všechny ty blbé produkty. Jednou jsem přišel za klientem, chtěli implementovat standard 802.1x pro protokol EAP, takže měli MAC adresy a sekundární adresy pro každý port. Přišel jsem, viděl jsem, že je to špatné, otočil jsem se a začal mačkat tlačítka na tiskárně. Víte, tiskárna dokáže vytisknout zkušební stránku síťového zařízení se všemi MAC adresami a IP adresami. Ukázalo se ale, že tiskárna nepodporuje standard 802.1x, takže by měla být vyloučena.
Pak jsem odpojil tiskárnu a změnil MAC adresu svého notebooku na MAC adresu tiskárny a připojil notebook, čímž jsem obešel toto drahé MAC řešení, myslete na to! K čemu mi tedy může být toto řešení MAC, když člověk může jakékoli zařízení vydávat za tiskárnu nebo telefon VoIP?
Dnes tedy pro mě znamená, že trávím čas snahou porozumět a porozumět bezpečnostnímu produktu, který si můj klient zakoupil. V současné době má každá banka, ve které provádím penetrační testy, všechny tyto HIPS, NIPS, LAUGTHS, MACS a spoustu dalších zkratek, které jsou úplná kravina. Ale snažím se přijít na to, o co se tyto produkty snaží a jak se o to snaží. Poté, jakmile zjistím, jakou metodologii a logiku používají k poskytování ochrany, není vůbec těžké ji obejít.
Můj oblíbený produkt, který vám zanechám, se jmenuje MS 1103. Je to exploit založený na prohlížeči, který „nasprejuje“ signatury HIPS, Host Intrusion Prevention Signature nebo hostitele pro prevenci narušení. Ve skutečnosti je navržen tak, aby obcházel signatury HIPS. Nechci ukazovat, jak to funguje, protože nechci čas na to, abych to demonstroval, ale obchází to zabezpečení skvěle a chci, abyste to zkusili.
Dobře lidi, už jdu.
Nějaké inzeráty 🙂
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, , jedinečný analog serverů základní úrovně, který jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2krát levnější v datovém centru Equinix Tier IV v Amsterdamu? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com