Nu vil vi prøve en anden måde at injicere SQL på. Lad os se, om databasen bliver ved med at slippe fejlmeddelelser. Denne metode kaldes "waiting for a delay", og selve forsinkelsen skrives som følger: waitfor delay 00:00:01'. Jeg kopierer dette fra vores fil og indsætter det i adresselinjen i min browser.
Alt dette kaldes "blind SQL-injektion på midlertidig basis". Alt vi gør her er at sige "vent en forsinkelse på 10 sekunder". Hvis du bemærker, har vi øverst til venstre påskriften "forbindelse ...", det vil sige, hvad gør vores side? Den venter på en forbindelse, og efter 10 sekunder vises den korrekte side på din skærm. Med dette trick beder vi databasen om at tillade os at stille den et par spørgsmål mere, for eksempel hvis brugeren er Joe, så skal vi vente 10 sekunder. Det er klart? Hvis brugeren er dbo, vent også 10 sekunder. Dette er Blind SQL Injection-metoden.
Jeg tror, at udviklerne ikke løser denne sårbarhed, når de opretter patches. Dette er SQL-injektion, men vores IDS-program ser det heller ikke, ligesom tidligere metoder til SQL-injektion.
Lad os prøve noget mere interessant. Kopier denne linje med IP-adressen og indsæt den i browseren. Det virkede! TCP-bjælken i vores program blev rød, programmet noterede 2 sikkerhedstrusler.
Okay, lad os se, hvad der derefter skete. Vi har en trussel mod XP-skallen, og en anden trussel er et SQL-injektionsforsøg. I alt var der to forsøg på at angribe webapplikationen.
Okay, hjælp mig nu med logikken. Vi har en manipulationsdatapakke, hvor IDS siger, at den har reageret på forskellige XP-shell-manipulationer.
Hvis vi går ned, ser vi en tabel med HEX-koder, til højre for hvilken der er et flag med beskeden xp_cmdshell + &27ping, og det er åbenbart dårligt.
Lad os se, hvad der skete her. Hvad gjorde SQL Server?
SQL-serveren sagde "du kan have mit databasekodeord, du kan få alle mine databaseposter, men dude, jeg vil slet ikke have, at du kører dine kommandoer på mig, det er slet ikke fedt"!
Det, vi skal gøre, er at sikre, at selvom IDS rapporterer en trussel mod XP-skallen, ignoreres truslen. Hvis du bruger SQL Server 2005 eller SQL Server 2008, hvis der opdages et SQL-injektionsforsøg, vil operativsystemets shell blive låst, hvilket forhindrer dig i at fortsætte dit arbejde. Det er meget irriterende. Så hvad skal vi gøre? Du bør prøve at spørge serveren meget kærligt. Skal jeg sige noget i stil med, "venligst, far, må jeg få disse cookies"? Det er hvad jeg gør, seriøst, jeg spørger serveren meget høfligt! Jeg beder om flere muligheder, jeg beder om en omkonfiguration, og jeg beder om at ændre XP shell-indstillinger for at gøre shellen tilgængelig, fordi jeg har brug for den!
Vi ser, at IDS har opdaget dette - ser du, 3 trusler er allerede noteret her.
Bare se her - vi sprængte sikkerhedsloggene i luften! Det ligner et juletræ, så mange ting hænger her! Hele 27 sikkerhedstrusler! Hurra gutter, vi fangede denne hacker, vi fik ham!
Vi er ikke bekymrede for, at han vil stjæle vores data, men hvis han kan udføre systemkommandoer i vores "boks" - er dette allerede alvorligt! Du kan tegne Telnet-ruten, FTP, du kan overtage mine data, det er fedt, men det bekymrer jeg mig ikke om, jeg vil bare ikke have, at du overtager skallen på min "kasse".
Jeg vil gerne tale om ting, der virkelig fik mig. Jeg arbejder for organisationer, jeg har arbejdet for dem i mange år, og jeg fortæller dig det, fordi min kæreste tror, jeg er arbejdsløs. Hun tænker, at det eneste, jeg gør, er at stå på scenen og chatte, det kan ikke betragtes som arbejde. Men jeg siger: "nej, min glæde, jeg er konsulent"! Det er forskellen - jeg siger min mening, og jeg bliver betalt for det.
Lad mig sige det sådan - vi som hackere elsker at knække skallen, og for os er der ingen større fornøjelse i verden end at "sluge skallen." Når IDS-analytikere skriver deres regler, kan du se, at de skriver dem på en måde, der beskytter mod shell-hacking. Men hvis du taler med CIO om problemet med at udtrække data, vil han tilbyde dig at overveje to muligheder. Lad os sige, at jeg har en applikation, der laver 100 "stykker" i timen. Hvad er mere vigtigt for mig - at sikre sikkerheden af alle data i denne applikation eller sikkerheden af "boks"-skallen? Dette er et seriøst spørgsmål! Hvad skal du være mere bekymret over?
Bare fordi du har en ødelagt "boks"-skal, betyder det ikke nødvendigvis, at nogen har fået adgang til applikationernes indre funktioner. Ja, det er mere end sandsynligt, og hvis det ikke er sket endnu, kan det snart. Men bemærk, at mange sikkerhedsprodukter er bygget på den forudsætning, at en hacker roamer dit netværk. Så de er opmærksomme på udførelse af kommandoer, til indsprøjtning af kommandoer, og du skal bemærke, at dette er en alvorlig ting. De påpeger trivielle sårbarheder, meget simpel cross-site scripting, meget simple SQL-injektioner. De er ligeglade med komplekse trusler, de er ligeglade med krypterede beskeder, de er ligeglade med den slags. Man kan sige, at alle sikkerhedsprodukter leder efter støj, de leder efter "jap", de vil stoppe noget, der bider din ankel. Her er, hvad jeg lærte, da jeg beskæftigede mig med sikkerhedsprodukter. Du behøver ikke købe sikkerhedsprodukter, du behøver ikke at køre baglæns. Du har brug for kompetente, dygtige folk, der forstår teknologien. Ja, min Gud, folk! Vi ønsker ikke at kaste millioner af dollars i disse problemer, men mange af jer har arbejdet inden for dette felt og ved, at så snart din chef ser en annonce, løber han til butikken og råber "vi skal have den her ting!". Men vi har ikke rigtig brug for det, vi skal bare ordne det rod, der ligger bag os. Det var præmissen for denne forestilling.
Et miljø med høj sikkerhed er noget, som jeg brugte meget tid på for at forstå reglerne for, hvordan beskyttelsesmekanismer fungerer. Når du først forstår beskyttelsesmekanismerne, er det ikke svært at omgå beskyttelse. For eksempel har jeg en webapplikation, der er beskyttet af sin egen firewall. Jeg kopierer adressen på indstillingspanelet, indsætter den i adresselinjen i browseren og går til indstillingerne og prøver at anvende cross-site scripting.
Som et resultat modtager jeg en firewall-meddelelse om en trussel - jeg blev blokeret.
Jeg synes det er slemt, er du enig? Du står over for et sikkerhedsprodukt. Men hvad hvis jeg prøver noget som dette: sæt parameteren Joe'+OR+1='1 ind i strengen
Som du kan se, virkede det. Ret mig, hvis jeg tager fejl, men vi har set SQL-injektion besejre applikationens firewall. Lad os nu lade som om, vi vil starte et sikkerhedsfirma, så lad os tage softwareproducentens hat på. Nu legemliggør vi ondskab, fordi det er en sort hat. Jeg er konsulent, så jeg kan gøre dette med softwareproducenter.
Vi ønsker at bygge og implementere et nyt system til registrering af indtrængen, så vi starter en kampagne til opdagelse af sabotage. Snort, som et open source-produkt, indeholder hundredtusindvis af indtrængningstrusselssignaturer. Vi skal handle etisk, så vi vil ikke stjæle disse signaturer fra andre applikationer og indsætte dem i vores system. Vi vil bare sætte os ned og omskrive dem alle sammen - hej Bob, Tim, Joe, kom herover og lav en hurtig gennemgang af alle de 100 underskrifter!
Vi skal også lave en sårbarhedsscanner. Du ved, at Nessus, den automatiske sårbarhedsfinder, har godt 80 signaturer og scripts, der tjekker for sårbarheder. Vi vil igen handle etisk og personligt omskrive dem alle i vores program.
Folk spørger mig, "Joe, du laver alle disse tests med open source-software som Mod Security, Snort og lignende, hvor ligner de andre leverandørers produkter?" Jeg svarer dem: "De ligner slet ikke hinanden!" Fordi leverandører ikke stjæler ting fra open source-sikkerhedsprodukter, sætter de sig ned og skriver alle disse regler selv.
Hvis du kan få dine egne signaturer og angrebsstrenge til at fungere uden at bruge open source-produkter, er dette en fantastisk mulighed for dig. Hvis du ikke er i stand til at konkurrere med kommercielle produkter, der bevæger dig i den rigtige retning, skal du finde et koncept, der hjælper dig med at blive kendt inden for dit felt.
Alle ved, at jeg drikker. Lad mig vise dig, hvorfor jeg drikker. Hvis du nogensinde har lavet en kildekodeaudit i dit liv, vil du helt sikkert blive fuld, tro mig, efter det vil du begynde at drikke.
Så vores yndlingssprog er C++. Lad os tage et kig på dette program - Web Knight er en firewallapplikation til webservere. Det har standard undtagelser. Det er interessant - hvis jeg installerer denne firewall, beskytter den mig ikke mod Outlook Web Access.
Vidunderlig! Det skyldes, at mange softwareleverandører trækker regler ud af nogle applikationer og sætter dem ind i deres produkt uden at lave en hel masse af den rigtige research. Så når jeg installerer et netværks firewallprogram, tror jeg, at alt om webmail er gjort forkert! Fordi næsten enhver webmail overtræder standardsikkerheden. Du har webkode, der udfører systemkommandoer og forespørgsler LDAP eller enhver anden brugerdatabasebutik direkte på nettet.
Sig mig, på hvilken planet kan sådan noget betragtes som sikkert? Tænk bare over det: du åbner Outlook Web Access, trykker på b ctrl+K, slår brugere op og alt det der, du administrerer Active Directory direkte fra nettet, du udfører systemkommandoer på Linux, hvis du bruger "egernmail" eller Horde eller hvad som helst noget andet. Du trækker alle disse evaler og andre former for usikker funktionalitet ud. Derfor udelukker mange firewalls dem fra listen over sikkerhedstrusler, prøv at spørge din softwareproducent om dette.
Lad os vende tilbage til Web Knight-applikationen. Det stjal en masse sikkerhedsregler fra en URL-scanner, der scanner alle disse IP-adresseområder. Og hvad, alle disse adresseområder er udelukket fra mit produkt?
Er der nogen af jer, der ønsker at installere disse adresser på jeres netværk? Vil du have dit netværk til at køre på disse adresser? Ja, det er fantastisk. Okay, lad os rulle ned i dette program og se på andre ting, som denne firewall ikke ønsker at gøre.
De kaldes "1999" og ønsker, at deres webserver skal være i fortiden! Kan nogen af jer huske dette lort: /scripts, /iishelp, msads? Måske vil et par mennesker huske med nostalgi, hvor sjovt det var at hacke sådanne ting. "Husk, mand, hvor længe siden vi "dræbte" servere, det var fedt!".
Nu, hvis du ser på disse undtagelser, vil du se, at du kan gøre alle disse ting - msads, printere, iisadmpwd - alle disse ting, som ingen har brug for i dag. Hvad med kommandoer, som du ikke må udføre?
Disse er arp, at, cacls, chkdsk, cipher, cmd, com. Når du opregner dem, bliver du overvældet af minder fra gamle dage, "dude, husk hvordan vi overtog den server, husk de dage"?
Men her er det, der virkelig er interessant - er der nogen, der ser WMIC her eller måske PowerShell? Forestil dig, at du har et nyt program, der fungerer ved at køre scripts på det lokale system, og det er moderne scripts, fordi du vil køre Windows Server 2008, og jeg vil gøre et godt stykke arbejde med at beskytte det med regler designet til Windows 2000. Så næste gang en leverandør kommer til dig med deres webapplikation, så spørg ham: "hey mand, har du sørget for ting som bits admin eller at udføre powershell-kommandoer, har du tjekket alle de andre ting, for vi går at opdatere og bruge den nye version af DotNET"? Men alle disse ting burde være til stede i sikkerhedsproduktet som standard!
Den næste ting, jeg vil tale med dig om, er logiske fejlslutninger. Lad os gå til 192.168.2.6. Dette er omtrent det samme program som det forrige.
Du vil muligvis bemærke noget interessant, hvis du ruller ned på siden og klikker på linket Kontakt os.
Hvis du ser på kildekoden til fanen "Kontakt os", som er en af de gennemtrængende metoder, som jeg gør hele tiden, vil du bemærke denne linje.
Tænk over det! Jeg hører, at mange ved synet af dette sagde: "Wow"! Jeg lavede engang penetrationstest for f.eks. en milliardærbank og bemærkede noget lignende der. Så vi har ikke brug for SQL-injektion eller cross-site scripting - vi har det vigtigste, denne adresselinje.
Så uden at overdrive - banken fortalte os, at de havde begge - og en netværksspecialist og en webinspektør, og de kom ikke med nogen bemærkninger. Det vil sige, at de anså det for normalt, at en tekstfil kan åbnes og læses gennem en browser.
Det vil sige, at du bare kan læse filen direkte fra filsystemet. Lederen af deres sikkerhedsteam fortalte mig, "ja, en af scannerne fandt denne sårbarhed, men betragtede den som mindre." Hvortil jeg svarede, okay, giv mig et øjeblik. Jeg skrev filnavn=../../../../boot.ini i adresselinjen, og jeg var i stand til at læse filsystemets boot-fil!
Til dette sagde de til mig: "nej, nej, nej, det er ikke kritiske filer"! Jeg svarede - men det er Server 2008, ikke? De sagde ja, det er ham. Jeg siger - men denne server har en konfigurationsfil placeret i rodmappen på serveren, ikke? "Godt," svarer de. "Fint," siger jeg, "hvad nu hvis angriberen gør dette," og jeg skriver filename=web.config i adresselinjen. De siger - hvad så, du kan ikke se noget på skærmen?
Jeg siger - hvad hvis jeg højreklikker på skærmen og vælger "Vis sidekode"? Og hvad finder jeg her? "Intet kritisk"? Jeg vil se serveradministratoradgangskoden!
Og du siger, at der ikke er noget problem her?
Men min yndlingsdel er den næste. Du lader mig ikke køre kommandoer i boksen, men jeg kan stjæle webserverens administratoradgangskode og database, gennemse hele databasen, rive alle database- og systemfejl-ting ud og gå væk med det hele. Dette er tilfældet, når den onde fyr siger "hey mand, i dag er en fantastisk dag"!
Lad ikke sikkerhedsprodukter blive din sygdom! Lad ikke sikkerhedsprodukter gøre dig syg! Find nogle nørder, giv dem alle de Star Trek-memorabilia, få dem interesserede, opmuntre dem til at blive hos dig, for de nørdede stinkere, der ikke går i bad dagligt, er dem, der får dine netværk til at fungere som følger! Det er de mennesker, der vil hjælpe dine sikkerhedsprodukter til at fungere korrekt.
Fortæl mig, hvor mange af jer er i stand til at blive i samme rum i lang tid med en person, der konstant siger: "åh, jeg har brug for at udskrive dette manuskript!", Og hvem har travlt med det hele tiden? Men du har brug for folk, der får dine sikkerhedsprodukter til at fungere.
For at gentage, sikkerhedsprodukter er dumme, fordi lysene altid er forkerte, de laver konstant lorte ting, de giver bare ikke sikkerhed. Jeg har aldrig set et godt sikkerhedsprodukt, der ikke kræver, at en fyr med en skruetrækker justerer det, hvor det skal for at få det til at fungere mere eller mindre normalt. Det er bare en kæmpe liste af regler, der siger, at det er dårligt, og det er det!
Så gutter, jeg vil have jer til at være opmærksomme på uddannelse, på ting som sikkerhed, polytekniske læreanstalter, fordi der er mange gratis onlinekurser om sikkerhedsspørgsmål. Lær Python, lær montering, lær webapplikationstest.
Her er hvad der virkelig vil hjælpe dig med at sikre dit netværk. Smarte mennesker beskytter netværk, netværksprodukter beskytter ikke! Gå tilbage på arbejde og fortæl din chef, at du har brug for mere budget til flere kloge mennesker, jeg ved, at det er en krise nu, men fortæl ham alligevel, at vi har brug for flere penge, så folk kan uddanne dem. Hvis vi køber et produkt, men ikke køber et kursus i, hvordan man bruger det, fordi det er dyrt, hvorfor køber vi det så overhovedet, hvis vi ikke skal lære folk at bruge det?
Jeg har arbejdet for en masse leverandører af sikkerhedsprodukter, jeg har brugt næsten hele mit liv på at implementere disse produkter, og jeg er ved at blive træt af alle disse netværksadgangskontroller og sådan noget, fordi jeg har installeret og kørt alle disse lorteprodukter. En dag, jeg gik til en klient, ville de implementere 802.1x-standarden for EAP-protokollen, så de havde MAC-adresser og sekundære adresser for hver port. Jeg kom, så, at det var slemt, vendte mig om og begyndte at trykke på knapperne på printeren. Du ved, printeren kan udskrive en testside for netværksudstyr med alle MAC-adresser og IP-adresser. Men det viste sig, at printeren ikke understøtter 802.1x-standarden, så den skulle udelukkes.
Så tog jeg stikket ud af printeren og ændrede min laptops MAC-adresse til printerens MAC-adresse og tilsluttede min bærbare computer, og omgik dermed denne dyre MAC-løsning, tænk over det! Så hvad gavn kan denne MAC-løsning gøre for mig, hvis en person simpelthen kan give ethvert udstyr videre som en printer eller en VoIP-telefon?
Så for mig i dag handler pentesting om at bruge tid på at prøve at forstå og forstå et sikkerhedsprodukt, som min klient har købt. Nu har hver bank, jeg laver en penetrationstest i, alle de her HIPS, NIPS, LAUGHHS, MACS og en hel masse andre akronymer, der bare suger. Men jeg prøver at finde ud af, hvad disse produkter forsøger at gøre, og hvordan de forsøger at gøre det. Når jeg så har fundet ud af, hvilken metodologi og logik de bruger til at yde beskyttelse, bliver det slet ikke svært at komme rundt.
Mit yndlingsprodukt, som jeg vil efterlade dig med, hedder MS 1103. Det er en browserbaseret udnyttelse, der sprayer HIPS, Host Intrusion Prevention Signature eller Host Intrusion Prevention Signatures. Faktisk er det beregnet til at omgå HIPS-signaturer. Jeg vil ikke vise dig, hvordan det virker, fordi jeg ikke vil tage mig tid til at demonstrere det, men det gør et fantastisk stykke arbejde med at omgå denne beskyttelse, og jeg vil have dig til at adoptere den.
Okay gutter, jeg går nu.
Nogle annoncer 🙂
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, , en unik analog af entry-level servere, som blev opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere i Equinix Tier IV datacenter i Amsterdam? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com