Jetzt werden wir eine andere Möglichkeit ausprobieren, SQL einzuschleusen. Mal sehen, ob die Datenbank weiterhin Fehlermeldungen fallen lässt. Diese Methode heißt „Warten auf eine Verzögerung“ und die Verzögerung selbst wird wie folgt geschrieben: waitfor delay 00:00:01‘. Ich kopiere dies aus unserer Datei und füge es in die Adressleiste meines Browsers ein.
All dies wird als „blinde SQL-Injection auf vorübergehender Basis“ bezeichnet. Wir sagen hier nur „Warten Sie eine Verzögerung von 10 Sekunden“. Wenn Sie bemerken, haben wir oben links die Aufschrift „Verbinden ...“, das heißt, was macht unsere Seite? Es wartet auf eine Verbindung und nach 10 Sekunden erscheint die richtige Seite auf Ihrem Monitor. Mit diesem Trick bitten wir die Datenbank, ihr noch ein paar Fragen zu stellen. Wenn der Benutzer beispielsweise Joe ist, müssen wir 10 Sekunden warten. Das ist klar? Wenn der Benutzer dbo ist, warten Sie ebenfalls 10 Sekunden. Dies ist die Blind SQL-Injection-Methode.
Ich denke, dass die Entwickler diese Schwachstelle bei der Erstellung von Patches nicht beheben. Dies ist eine SQL-Injection, aber unser IDS-Programm erkennt sie auch nicht, wie bei früheren Methoden der SQL-Injection.
Versuchen wir etwas Interessanteres. Kopieren Sie diese Zeile mit der IP-Adresse und fügen Sie sie in den Browser ein. Es funktionierte! Die TCP-Leiste in unserem Programm wurde rot, das Programm hat 2 Sicherheitsbedrohungen festgestellt.
Okay, mal sehen, was als nächstes passierte. Wir haben eine Bedrohung für die XP-Shell und eine weitere Bedrohung ist ein SQL-Injection-Versuch. Insgesamt gab es zwei Angriffsversuche auf die Webanwendung.
Okay, jetzt helfen Sie mir mit der Logik. Wir haben ein Manipulationsdatenpaket, in dem IDS angibt, dass es auf verschiedene XP-Shell-Manipulationen reagiert hat.
Wenn wir nach unten gehen, sehen wir eine Tabelle mit HEX-Codes, rechts davon befindet sich eine Flagge mit der Meldung xp_cmdshell + &27ping, und das ist offensichtlich schlecht.
Mal sehen, was hier passiert ist. Was hat SQL Server getan?
Der SQL-Server sagte: „Du kannst mein Datenbankpasswort haben, du kannst alle meine Datenbankeinträge bekommen, aber Alter, ich möchte überhaupt nicht, dass du deine Befehle auf mir ausführst, das ist überhaupt nicht cool“!
Wir müssen sicherstellen, dass die Bedrohung ignoriert wird, selbst wenn das IDS eine Bedrohung an die XP-Shell meldet. Wenn Sie SQL Server 2005 oder SQL Server 2008 verwenden und ein SQL-Injection-Versuch erkannt wird, wird die Betriebssystem-Shell gesperrt, sodass Sie Ihre Arbeit nicht fortsetzen können. Es ist sehr nervig. Was sollen wir also tun? Sie sollten versuchen, den Server sehr liebevoll zu fragen. Sollte ich etwas sagen wie: „Bitte, Papa, kann ich diese Kekse haben“? Das ist es, was ich tue, im Ernst, ich frage den Kellner sehr höflich! Ich bitte um mehr Optionen, ich bitte um eine Neukonfiguration und ich bitte darum, dass die XP-Shell-Einstellungen geändert werden, um die Shell verfügbar zu machen, weil ich sie brauche!
Wir sehen, dass IDS dies erkannt hat – Sie sehen, hier wurden bereits 3 Bedrohungen festgestellt.
Schauen Sie einfach hier – wir haben die Sicherheitsprotokolle in die Luft gesprengt! Es sieht aus wie ein Weihnachtsbaum, so viele Dinge hängen hier! Bis zu 27 Sicherheitsbedrohungen! Hurra Leute, wir haben diesen Hacker gefangen, wir haben ihn!
Wir haben keine Angst, dass er unsere Daten stiehlt, aber wenn er Systembefehle in unserer „Box“ ausführen kann – das ist schon ernst! Du kannst die Telnet-Route zeichnen, FTP, du kannst meine Daten übernehmen, das ist cool, aber darüber mache ich mir keine Sorgen, ich möchte nur nicht, dass du die Hülle meiner „Box“ übernimmst.
Ich möchte über Dinge sprechen, die mich wirklich bewegt haben. Ich arbeite für Organisationen, ich arbeite schon seit vielen Jahren für sie, und ich erzähle Ihnen das, weil meine Freundin denkt, ich sei arbeitslos. Sie denkt, dass ich nur auf der Bühne stehe und plaudere, das kann nicht als Arbeit angesehen werden. Aber ich sage: „Nein, meine Freude, ich bin Berater“! Das ist der Unterschied: Ich sage meine Meinung und werde dafür bezahlt.
Lassen Sie es mich so ausdrücken: Wir als Hacker lieben es, die Hülle zu knacken, und für uns gibt es kein größeres Vergnügen auf der Welt, als „die Hülle zu schlucken“. Wenn IDS-Analysten ihre Regeln schreiben, können Sie sehen, dass sie sie so schreiben, dass sie vor Shell-Hacking schützen. Wenn Sie jedoch mit dem CIO über das Problem der Datenextraktion sprechen, bietet er Ihnen an, über zwei Optionen nachzudenken. Nehmen wir an, ich habe eine Anwendung, die 100 „Stücke“ pro Stunde herstellt. Was ist mir wichtiger – die Sicherheit aller Daten in dieser Anwendung oder die Sicherheit der „Box“-Shell zu gewährleisten? Das ist eine ernste Frage! Worüber sollten Sie sich mehr Sorgen machen?
Nur weil Sie eine kaputte „Box“-Shell haben, bedeutet das nicht unbedingt, dass sich jemand Zugriff auf das Innenleben der Anwendungen verschafft hat. Ja, das ist mehr als wahrscheinlich, und wenn es noch nicht passiert ist, könnte es bald passieren. Beachten Sie jedoch, dass viele Sicherheitsprodukte auf der Annahme basieren, dass ein Angreifer Ihr Netzwerk durchstreift. Sie achten also auf die Ausführung von Befehlen, auf das Einschleusen von Befehlen, und Sie sollten sich darüber im Klaren sein, dass dies eine ernste Sache ist. Sie weisen auf triviale Schwachstellen, sehr einfaches Cross-Site-Scripting und sehr einfache SQL-Injections hin. Sie kümmern sich nicht um komplexe Bedrohungen, sie kümmern sich nicht um verschlüsselte Nachrichten, sie kümmern sich nicht um solche Dinge. Man kann sagen, dass alle Sicherheitsprodukte auf Lärm achten, sie suchen nach „Kläffen“, sie wollen etwas stoppen, das Ihnen in den Knöchel beißt. Folgendes habe ich im Umgang mit Sicherheitsprodukten gelernt. Sie müssen keine Sicherheitsprodukte kaufen und den LKW nicht rückwärts fahren. Sie brauchen kompetente, qualifizierte Leute, die die Technologie verstehen. Ja, mein Gott, Leute! Wir wollen nicht Millionen von Dollar in diese Probleme stecken, aber viele von Ihnen haben in diesem Bereich gearbeitet und wissen, dass Ihr Chef, sobald er eine Anzeige sieht, zum Laden rennt und schreit: „Das müssen wir uns besorgen!“. Aber wir brauchen es nicht wirklich, wir müssen nur das Chaos beseitigen, das hinter uns liegt. Das war die Voraussetzung für diesen Auftritt.
Eine Hochsicherheitsumgebung ist etwas, mit dem ich viel Zeit verbracht habe, um die Regeln für die Funktionsweise von Schutzmechanismen zu verstehen. Sobald Sie die Schutzmechanismen verstanden haben, ist es nicht schwierig, den Schutz zu umgehen. Ich habe zum Beispiel eine Webanwendung, die durch eine eigene Firewall geschützt ist. Ich kopiere die Adresse des Einstellungsfelds, füge sie in die Adressleiste des Browsers ein, gehe zu den Einstellungen und versuche, Cross-Site-Scripting anzuwenden.
Als Ergebnis erhalte ich eine Firewall-Nachricht über eine Bedrohung – ich wurde blockiert.
Ich finde es schlimm, stimmst du zu? Sie stehen vor einem Sicherheitsprodukt. Was aber, wenn ich so etwas versuche: Füge den Parameter Joe'+OR+1='1 in die Zeichenfolge ein
Wie Sie sehen, hat es funktioniert. Korrigieren Sie mich, wenn ich falsch liege, aber wir haben gesehen, dass SQL-Injection die Anwendungs-Firewall besiegt. Stellen wir uns nun vor, wir wollen ein Sicherheitsunternehmen gründen, also setzen wir den Hut des Softwareherstellers auf. Jetzt verkörpern wir das Böse, weil es ein schwarzer Hut ist. Ich bin Berater und kann dies daher mit Softwareherstellern tun.
Wir wollen ein neues System zur Erkennung von Eindringlingen aufbauen und bereitstellen, deshalb werden wir eine Kampagne zur Erkennung von Manipulationen starten. Als Open-Source-Produkt enthält Snort Hunderttausende Signaturen von Eindringungsbedrohungen. Wir müssen ethisch handeln, damit wir diese Signaturen nicht aus anderen Anwendungen stehlen und in unser System einfügen. Wir werden uns einfach hinsetzen und sie alle neu schreiben – hey Bob, Tim, Joe, kommt her und geht kurz alle 100 Unterschriften durch!
Wir müssen auch einen Schwachstellenscanner erstellen. Sie wissen, dass Nessus, der automatische Schwachstellenfinder, über gut 80 Signaturen und Skripte verfügt, die nach Schwachstellen suchen. Wir werden wieder ethisch handeln und sie alle persönlich in unserem Programm umschreiben.
Die Leute fragen mich: „Joe, du machst all diese Tests mit Open-Source-Software wie Mod Security, Snort und dergleichen. Wie ähnlich sind sie den Produkten anderer Anbieter?“ Ich antworte ihnen: „Sie sehen sich überhaupt nicht ähnlich!“ Da Anbieter nichts von Open-Source-Sicherheitsprodukten stehlen, setzen sie sich hin und schreiben alle diese Regeln selbst.
Wenn Sie Ihre eigenen Signaturen und Angriffszeichenfolgen ohne den Einsatz von Open-Source-Produkten zum Laufen bringen können, ist dies eine großartige Gelegenheit für Sie. Wenn Sie nicht in der Lage sind, mit kommerziellen Produkten in die richtige Richtung zu gehen, müssen Sie ein Konzept finden, das Ihnen hilft, in Ihrem Bereich bekannt zu werden.
Jeder weiß, dass ich trinke. Lass mich dir zeigen, warum ich trinke. Wenn Sie jemals in Ihrem Leben ein Quellcode-Audit durchgeführt haben, werden Sie sich auf jeden Fall betrinken, glauben Sie mir, danach werden Sie anfangen zu trinken.
Unsere Lieblingssprache ist also C++. Werfen wir einen Blick auf dieses Programm – Web Knight ist eine Firewall-Anwendung für Webserver. Es gibt Standardausnahmen. Das ist interessant: Wenn ich diese Firewall einsetze, schützt sie mich nicht vor Outlook Web Access.
Wunderbar! Das liegt daran, dass viele Softwareanbieter Regeln aus manchen Anwendungen übernehmen und sie in ihr Produkt integrieren, ohne gründliche Recherchen durchzuführen. Wenn ich also eine Netzwerk-Firewall-Anwendung bereitstelle, denke ich, dass bei Webmail alles falsch gemacht wird! Denn fast jedes Webmail verstößt gegen die Standardsicherheit. Sie verfügen über Webcode, der Systembefehle ausführt und LDAP oder einen anderen Benutzerdatenbankspeicher direkt im Web abfragt.
Sagen Sie mir, auf welchem Planeten kann so etwas als sicher gelten? Denken Sie nur einmal darüber nach: Sie öffnen Outlook Web Access, drücken Strg+K, suchen nach Benutzern und all das, Sie verwalten Active Directory direkt aus dem Internet, Sie führen Systembefehle unter Linux aus, wenn Sie „Squirrel Mail“ oder Horde oder was auch immer verwenden etwas anderes. Sie ziehen all diese Auswertungen und andere Arten unsicherer Funktionen heraus. Daher werden sie von vielen Firewalls aus der Liste der Sicherheitsbedrohungen ausgeschlossen. Fragen Sie diesbezüglich Ihren Softwarehersteller.
Kommen wir zurück zur Web Knight-Anwendung. Es hat einem URL-Scanner, der alle diese IP-Adressbereiche scannt, viele Sicherheitsregeln gestohlen. Und was, alle diese Adressbereiche sind von meinem Produkt ausgeschlossen?
Möchte jemand von euch diese Adressen in seinem Netzwerk installieren? Möchten Sie, dass Ihr Netzwerk unter diesen Adressen läuft? Ja, es ist großartig. Okay, lasst uns dieses Programm nach unten scrollen und uns andere Dinge ansehen, die diese Firewall nicht tun möchte.
Sie heißen „1999“ und möchten, dass ihr Webserver in der Vergangenheit liegt! Erinnert sich jemand von euch an diesen Mist: /scripts, /iishelp, msads? Vielleicht erinnern sich ein paar Leute mit Nostalgie daran, wie viel Spaß es gemacht hat, solche Dinge zu hacken. „Denken Sie daran, Mann, wie lange es her ist, dass wir Server „getötet“ haben, das war cool!“
Wenn Sie sich nun diese Ausnahmen ansehen, werden Sie feststellen, dass Sie all diese Dinge tun können – msads, Drucker, iisadmpwd – all diese Dinge, die heute niemand mehr braucht. Was ist mit Befehlen, die Sie nicht ausführen dürfen?
Dies sind arp, at, cacls, chkdsk, cipher, cmd, com. Wenn Sie sie auflisten, werden Sie von Erinnerungen an die alten Zeiten überwältigt. „Alter, erinnern Sie sich, wie wir diesen Server übernommen haben, erinnern Sie sich an diese Tage?“
Aber hier ist das wirklich Interessante: Sieht hier jemand WMIC oder vielleicht PowerShell? Stellen Sie sich vor, Sie haben eine neue Anwendung, die durch die Ausführung von Skripten auf dem lokalen System funktioniert, und das sind moderne Skripte, weil Sie Windows Server 2008 ausführen möchten, und ich werde sie mit für Windows entwickelten Regeln hervorragend schützen 2000. Wenn also das nächste Mal ein Anbieter mit seiner Webanwendung zu Ihnen kommt, fragen Sie ihn: „Hey Mann, haben Sie für Dinge wie Bits Admin oder die Ausführung von Powershell-Befehlen gesorgt, haben Sie alle anderen Dinge überprüft, denn wir gehen.“ die neue Version von DotNET aktualisieren und verwenden? Aber all diese Dinge sollten standardmäßig im Sicherheitsprodukt vorhanden sein!
Das nächste, worüber ich mit Ihnen sprechen möchte, sind logische Irrtümer. Gehen wir zu 192.168.2.6. Dies ist ungefähr die gleiche Anwendung wie die vorherige.
Möglicherweise fällt Ihnen etwas Interessantes auf, wenn Sie auf der Seite nach unten scrollen und auf den Link „Kontakt“ klicken.
Wenn Sie sich den Quellcode der Registerkarte „Kontakt“ ansehen, einer der Pentesting-Methoden, die ich ständig verwende, werden Sie diese Zeile bemerken.
Denk darüber nach! Ich habe gehört, dass viele bei diesem Anblick sagten: „Wow“! Ich habe einmal einen Penetrationstest beispielsweise für eine Milliardärsbank durchgeführt und dort etwas Ähnliches festgestellt. Wir brauchen also weder SQL-Injection noch Cross-Site-Scripting – wir haben das Wichtigste, diese Adressleiste.
Also, ohne Übertreibung – die Bank sagte uns, dass sie beides hatte – und einen Netzwerkspezialisten und einen Webinspektor, und sie machten keine Bemerkungen. Das heißt, sie hielten es für normal, dass eine Textdatei über einen Browser geöffnet und gelesen werden kann.
Das heißt, Sie können die Datei einfach direkt aus dem Dateisystem lesen. Der Leiter ihres Sicherheitsteams sagte mir: „Ja, einer der Scanner hat diese Schwachstelle gefunden, sie aber als geringfügig eingestuft.“ Darauf antwortete ich: Okay, gib mir eine Minute. Ich habe filename=../../../../boot.ini in die Adressleiste eingegeben und konnte die Bootdatei des Dateisystems lesen!
Daraufhin sagten sie mir: „Nein, nein, nein, das sind keine kritischen Dateien“! Ich habe geantwortet – aber es ist Server 2008, nicht wahr? Sie sagten ja, er ist es. Ich sage – aber dieser Server hat eine Konfigurationsdatei im Stammverzeichnis des Servers, oder? „Richtig“, antworten sie. „Großartig“, sage ich, „was ist, wenn der Angreifer das tut?“ und tippe filename=web.config in die Adressleiste. Sie sagen: Na und, Sie sehen nichts auf dem Monitor?
Ich sage: Was passiert, wenn ich mit der rechten Maustaste auf den Monitor klicke und die Option „Seitencode anzeigen“ auswähle? Und was werde ich hier finden? „Nichts Kritisches“? Ich werde das Server-Administrator-Passwort sehen!
Und Sie sagen, dass es hier kein Problem gibt?
Aber mein Lieblingsteil ist der nächste. Sie lassen mich keine Befehle in der Box ausführen, aber ich kann das Administratorkennwort und die Datenbank des Webservers stehlen, die gesamte Datenbank durchsuchen, alle Datenbank- und Systemfehler-Dateien herausreißen und mit allem davonkommen. Das ist der Fall, wenn der Bösewicht sagt: „Hey Mann, heute ist ein toller Tag“!
Lassen Sie nicht zu, dass Sicherheitsprodukte zu Ihrer Krankheit werden! Lassen Sie nicht zu, dass Sicherheitsprodukte Sie krank machen! Finden Sie ein paar Nerds, geben Sie ihnen all diese Star Trek-Erinnerungsstücke, wecken Sie ihr Interesse, ermutigen Sie sie, bei Ihnen zu bleiben, denn diese nerdigen Stinker, die nicht täglich duschen, sind es, die dafür sorgen, dass Ihre Netzwerke wie folgt funktionieren! Dies sind die Menschen, die dafür sorgen, dass Ihre Sicherheitsprodukte ordnungsgemäß funktionieren.
Sagen Sie mir, wie viele von Ihnen können lange Zeit mit einer Person im selben Raum bleiben, die ständig sagt: „Oh, ich muss dieses Skript dringend ausdrucken!“ Und wer ist die ganze Zeit damit beschäftigt? Aber Sie brauchen Menschen, die dafür sorgen, dass Ihre Sicherheitsprodukte funktionieren.
Um es noch einmal zu wiederholen: Sicherheitsprodukte sind dumm, weil die Lichter immer falsch sind, sie ständig beschissene Dinge tun und einfach keine Sicherheit bieten. Ich habe noch nie ein gutes Sicherheitsprodukt gesehen, das nicht von einem Mann mit einem Schraubenzieher an der benötigten Stelle angepasst werden muss, damit es mehr oder weniger normal funktioniert. Es ist nur eine riesige Liste von Regeln, die besagen, dass es schlecht ist, und das war’s!
Also Leute, ich möchte, dass ihr auf Bildung achtet, auf Dinge wie Sicherheit, Fachhochschulen, denn es gibt viele kostenlose Online-Kurse zu Sicherheitsthemen. Lernen Sie Python, lernen Sie Assembly, lernen Sie das Testen von Webanwendungen.
Hier erfahren Sie, was Ihnen wirklich dabei hilft, Ihr Netzwerk zu sichern. Kluge Menschen schützen Netzwerke, Netzwerkprodukte schützen nicht! Gehen Sie zurück an die Arbeit und sagen Sie Ihrem Chef, dass Sie mehr Budget für intelligentere Leute brauchen. Ich weiß, dass es jetzt eine Krise ist, aber sagen Sie ihm trotzdem, dass wir mehr Geld brauchen, damit die Leute sie ausbilden können. Wenn wir ein Produkt kaufen, aber keinen Kurs über dessen Verwendung kaufen, weil es teuer ist, warum kaufen wir es dann überhaupt, wenn wir den Leuten nicht beibringen, wie man es verwendet?
Ich habe für viele Anbieter von Sicherheitsprodukten gearbeitet, ich habe fast mein ganzes Leben damit verbracht, diese Produkte zu implementieren, und ich habe diese ganzen Netzwerkzugriffskontrollen und dergleichen langsam satt, weil ich all diese Mistprodukte installiert und ausgeführt habe. Eines Tages ging ich zu einem Kunden, der den 802.1x-Standard für das EAP-Protokoll implementieren wollte, also hatten sie MAC-Adressen und Sekundäradressen für jeden Port. Ich kam, sah, dass es schlecht war, drehte mich um und begann, die Tasten am Drucker zu drücken. Sie wissen, dass der Drucker eine Testseite für Netzwerkgeräte mit allen MAC-Adressen und IP-Adressen drucken kann. Es stellte sich jedoch heraus, dass der Drucker den 802.1x-Standard nicht unterstützt und daher ausgeschlossen werden sollte.
Dann habe ich den Drucker vom Stromnetz getrennt und die MAC-Adresse meines Laptops in die MAC-Adresse des Druckers geändert und meinen Laptop angeschlossen und so diese teure MAC-Lösung umgangen. Denken Sie darüber nach! Was kann mir diese MAC-Lösung also nützen, wenn jemand ein beliebiges Gerät einfach als Drucker oder VoIP-Telefon ausgeben kann?
Für mich bedeutet Pentesting heute also, Zeit damit zu verbringen, ein Sicherheitsprodukt zu verstehen und zu verstehen, das mein Kunde gekauft hat. Jetzt hat jede Bank, bei der ich einen Penetrationstest durchführe, all diese HIPS, NIPS, LAUGTHS, MACS und eine ganze Reihe anderer Akronyme, die einfach scheiße sind. Aber ich versuche herauszufinden, was diese Produkte bewirken und wie sie es bewirken. Wenn ich dann erst einmal herausgefunden habe, mit welcher Methodik und Logik sie Schutz bieten, wird es überhaupt nicht schwierig, das Problem zu umgehen.
Mein Lieblingsprodukt, das ich Ihnen hier überlasse, heißt MS 1103. Es handelt sich um einen browserbasierten Exploit, der HIPS, Host Intrusion Prevention Signature oder Host Intrusion Prevention Signatures versprüht. Tatsächlich ist es dazu gedacht, HIPS-Signaturen zu umgehen. Ich möchte Ihnen nicht zeigen, wie es funktioniert, weil ich mir nicht die Zeit nehmen möchte, es zu demonstrieren, aber es umgeht diesen Schutz hervorragend und ich möchte, dass Sie es übernehmen.
OK Leute, ich gehe jetzt.
Einige Anzeigen 🙂
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. , ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger im Equinix Tier IV-Rechenzentrum in Amsterdam? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com