Nous allons maintenant essayer une autre façon d'injecter du SQL. Voyons si la base de données laisse tomber des messages d'erreur. Cette méthode s'appelle "attendre un délai", et le délai lui-même s'écrit comme suit : attendre le délai 00:00:01'. Je le copie depuis notre fichier et le colle dans la barre d'adresse de mon navigateur.
Tout cela s'appelle "l'injection SQL en aveugle sur une base temporaire". Tout ce que nous faisons ici, c'est dire "attendre un délai de 10 secondes". Si vous remarquez, en haut à gauche, nous avons l'inscription "connecting ...", c'est-à-dire que fait notre page ? Il attend une connexion, et après 10 secondes, la bonne page apparaît sur votre moniteur. Avec cette astuce, nous demandons à la base de données de nous permettre de lui poser quelques questions supplémentaires, par exemple, si l'utilisateur est Joe, alors nous devons attendre 10 secondes. Il est clair? Si l'utilisateur est dbo, attendez également 10 secondes. Il s'agit de la méthode Blind SQL Injection.
Je pense que les développeurs ne corrigent pas cette vulnérabilité lors de la création de correctifs. Il s'agit d'une injection SQL, mais notre programme IDS ne le voit pas non plus, comme les méthodes précédentes d'injection SQL.
Essayons quelque chose de plus intéressant. Copiez cette ligne avec l'adresse IP et collez-la dans le navigateur. Ça a marché! La barre TCP de notre programme est devenue rouge, le programme a noté 2 menaces de sécurité.
Bon, voyons ce qui s'est passé ensuite. Nous avons une menace pour le shell XP, et une autre menace est une tentative d'injection SQL. Au total, il y a eu deux tentatives d'attaque de l'application Web.
Bon, maintenant aidez-moi avec la logique. Nous avons un paquet de données de falsification dans lequel IDS indique qu'il a répondu à diverses falsifications du shell XP.
Si nous descendons, nous voyons un tableau de codes HEX, à droite duquel se trouve un drapeau avec le message xp_cmdshell + &27ping, et évidemment c'est mauvais.
Voyons ce qui s'est passé ici. Qu'est-ce que SQL Server a fait ?
Le serveur SQL a dit "vous pouvez avoir mon mot de passe de base de données, vous pouvez obtenir tous mes enregistrements de base de données, mais mec, je ne veux pas du tout que vous exécutiez vos commandes sur moi, ce n'est pas cool du tout" !
Ce que nous devons faire, c'est nous assurer que même si l'IDS signale une menace au shell XP, la menace est ignorée. Si vous utilisez SQL Server 2005 ou SQL Server 2008, si une tentative d'injection SQL est détectée, le shell du système d'exploitation sera verrouillé, vous empêchant de continuer votre travail. C'est vraiment agaçant. Alors, que devons-nous faire ? Vous devriez essayer de demander au serveur très affectueusement. Dois-je dire quelque chose comme « s'il te plaît, papa, puis-je avoir ces cookies » ? C'est ce que je fais, sérieusement, je demande très poliment au serveur ! Je demande plus d'options, je demande une reconfiguration et je demande que les paramètres du shell XP soient modifiés pour rendre le shell disponible car j'en ai besoin!
Nous voyons que l'IDS l'a détecté - vous voyez, 3 menaces ont déjà été notées ici.
Regardez ici - nous avons fait exploser les journaux de sécurité ! Il ressemble à un sapin de Noël, tant de choses sont accrochées ici ! Jusqu'à 27 menaces de sécurité ! Hourra les gars, nous avons attrapé ce hacker, nous l'avons eu !
Nous ne craignons pas qu'il vole nos données, mais s'il peut exécuter des commandes système dans notre "boîte" - c'est déjà sérieux ! Vous pouvez dessiner la route Telnet, FTP, vous pouvez prendre en charge mes données, c'est cool, mais je ne m'inquiète pas pour ça, je ne veux tout simplement pas que vous preniez en charge la coque de ma "boîte".
Je veux parler de choses qui m'ont vraiment touché. Je travaille pour des organismes, je travaille pour eux depuis de nombreuses années, et je te dis ça parce que ma copine pense que je suis au chômage. Elle pense que tout ce que je fais, c'est rester sur scène et discuter, cela ne peut pas être considéré comme du travail. Mais je dis : « non, ma joie, je suis consultant » ! C'est la différence - je dis ce que je pense et je suis payé pour cela.
Permettez-moi de le dire de cette façon - en tant que hackers, nous aimons casser la coquille, et pour nous, il n'y a pas de plus grand plaisir au monde que "d'avaler la coquille". Lorsque les analystes d'IDS écrivent leurs règles, vous pouvez voir qu'ils les écrivent de manière à les protéger contre le piratage du shell. Mais si vous parlez au DSI du problème d'extraction de données, il vous proposera de réfléchir à deux options. Disons que j'ai une application qui fait 100 "pièces" par heure. Qu'est-ce qui est le plus important pour moi - assurer la sécurité de toutes les données de cette application ou la sécurité du shell "box" ? C'est une question sérieuse! De quoi devriez-vous vous préoccuper davantage ?
Ce n'est pas parce que vous avez un shell "boîte" cassé que quelqu'un a nécessairement eu accès au fonctionnement interne des applications. Oui, c'est plus que probable, et si ce n'est pas encore arrivé, cela pourrait bientôt arriver. Mais notez que de nombreux produits de sécurité sont construits sur la prémisse qu'un attaquant parcourt votre réseau. Ils font donc attention à l'exécution des commandes, à l'injection des commandes, et vous devez noter que c'est une chose sérieuse. Ils pointent des vulnérabilités triviales, des scripts intersites très simples, des injections SQL très simples. Ils ne se soucient pas des menaces complexes, ils ne se soucient pas des messages cryptés, ils ne se soucient pas de ce genre de choses. On peut dire que tous les produits de sécurité recherchent le bruit, ils recherchent le « jappement », ils veulent arrêter quelque chose qui vous mord la cheville. Voici ce que j'ai appris en traitant des produits de sécurité. Vous n'avez pas besoin d'acheter des produits de sécurité, vous n'avez pas besoin de conduire le camion en sens inverse. Vous avez besoin de personnes compétentes et qualifiées qui comprennent la technologie. Oui, mon Dieu, les gens ! Nous ne voulons pas jeter des millions de dollars dans ces problèmes, mais beaucoup d'entre vous ont travaillé dans ce domaine et savent que dès que votre patron voit une annonce, il court au magasin en criant "on doit avoir ce truc!". Mais nous n'en avons pas vraiment besoin, nous devons juste réparer le gâchis qui est derrière nous. C'était la prémisse de cette performance.
Un environnement de haute sécurité est quelque chose sur lequel j'ai passé beaucoup de temps pour comprendre les règles de fonctionnement des mécanismes de protection. Une fois que vous avez compris les mécanismes de protection, contourner la protection n'est pas difficile. Par exemple, j'ai une application Web qui est protégée par son propre pare-feu. Je copie l'adresse du panneau de configuration, la colle dans la barre d'adresse du navigateur, accède aux paramètres et essaie d'appliquer le cross-site scripting.
En conséquence, je reçois un message de pare-feu concernant une menace - j'ai été bloqué.
Je pense que c'est mauvais, tu es d'accord ? Vous êtes face à un produit de sécurité. Mais que se passe-t-il si j'essaie quelque chose comme ceci : mettre le paramètre Joe'+OR+1='1 dans la chaîne
Comme vous pouvez le voir, cela a fonctionné. Corrigez-moi si je me trompe, mais nous avons vu l'injection SQL vaincre le pare-feu de l'application. Maintenant, supposons que nous voulions démarrer une entreprise de sécurité, alors mettons le chapeau du fabricant de logiciels. Maintenant, nous incarnons le mal parce que c'est un chapeau noir. Je suis consultant, donc je peux le faire avec des éditeurs de logiciels.
Nous voulons construire et déployer un nouveau système de détection d'intrusion, nous allons donc lancer une campagne de détection de sabotage. Snort, en tant que produit open source, contient des centaines de milliers de signatures de menaces d'intrusion. Nous devons agir de manière éthique, afin de ne pas voler ces signatures à d'autres applications et de les insérer dans notre système. Nous allons juste nous asseoir et les réécrire tous - hé Bob, Tim, Joe, venez par ici et faites un rapide tour d'horizon de ces 100 000 signatures !
Nous devons également créer un scanner de vulnérabilité. Vous savez que Nessus, le chercheur automatique de vulnérabilités, possède pas moins de 80 XNUMX signatures et scripts qui vérifient les vulnérabilités. Nous agirons à nouveau de manière éthique et personnellement, nous les réécrirons tous dans notre programme.
Les gens me demandent : "Joe, tu fais tous ces tests avec des logiciels open source comme Mod Security, Snort et autres, à quel point sont-ils similaires aux produits d'autres fournisseurs ?" Je leur réponds : "Ils ne se ressemblent pas du tout !" Parce que les fournisseurs ne volent pas les éléments des produits de sécurité open source, ils s'assoient et écrivent eux-mêmes toutes ces règles.
Si vous pouvez faire fonctionner vos propres signatures et chaînes d'attaque sans utiliser de produits open source, c'est une excellente opportunité pour vous. Si vous n'êtes pas en mesure de rivaliser avec des produits commerciaux qui vont dans la bonne direction, vous devez trouver un concept qui vous aidera à vous faire connaître dans votre domaine.
Tout le monde sait que je bois. Laissez-moi vous montrer pourquoi je bois. Si vous avez déjà fait un audit de code source dans votre vie, vous allez certainement vous saouler, croyez-moi, après cela, vous commencerez à boire.
Notre langage préféré est donc C++. Jetons un coup d'œil à ce programme - Web Knight est une application de pare-feu pour les serveurs Web. Il a des exceptions par défaut. C'est intéressant - si je déploie ce pare-feu, il ne me protégera pas d'Outlook Web Access.
Merveilleux! C'est parce que de nombreux éditeurs de logiciels extraient des règles de certaines applications et les intègrent à leur produit sans faire tout un tas de recherches appropriées. Ainsi, lorsque je déploie une application de pare-feu réseau, je pense que tout ce qui concerne le webmail est mal fait ! Parce que presque tous les webmails violent la sécurité par défaut. Vous disposez d'un code Web qui exécute des commandes système et interroge LDAP ou tout autre magasin de base de données utilisateur directement sur le Web.
Dites-moi, sur quelle planète une telle chose peut-elle être considérée comme sûre ? Pensez-y: vous ouvrez Outlook Web Access, appuyez sur b ctrl + K, recherchez des utilisateurs et tout cela, vous gérez Active Directory directement à partir du Web, vous exécutez des commandes système sous Linux si vous utilisez "squirrel mail" ou Horde ou autre autre chose. Vous retirez toutes ces évaluations et d'autres types de fonctionnalités dangereuses. Par conséquent, de nombreux pare-feu les excluent de la liste des menaces de sécurité, essayez de demander à votre fabricant de logiciels à ce sujet.
Revenons à l'application Web Knight. Il a volé de nombreuses règles de sécurité à un scanner d'URL qui analyse toutes ces plages d'adresses IP. Et quoi, toutes ces plages d'adresses sont exclues de mon produit ?
L'un d'entre vous souhaite-t-il installer ces adresses sur son réseau ? Voulez-vous que votre réseau fonctionne sur ces adresses ? Oui c'est incroyable. D'accord, faisons défiler ce programme et regardons d'autres choses que ce pare-feu ne veut pas faire.
Ils s'appellent "1999" et veulent que leur serveur web appartienne au passé ! Est-ce que l'un d'entre vous se souvient de cette merde : /scripts, /iishelp, msads ? Peut-être que quelques personnes se souviendront avec nostalgie à quel point c'était amusant de pirater de telles choses. "Souviens-toi, mec, il y a combien de temps on a "tué" les serveurs, c'était cool !".
Maintenant, si vous regardez ces exceptions, vous verrez que vous pouvez faire toutes ces choses - msads, imprimantes, iisadmpwd - toutes ces choses dont personne n'a besoin aujourd'hui. Qu'en est-il des commandes que vous n'êtes pas autorisé à exécuter ?
Ce sont arp, at, cacls, chkdsk, cipher, cmd, com. Lorsque vous les répertoriez, vous êtes submergé par les souvenirs d'autrefois, "mec, tu te souviens comment nous avons repris ce serveur, tu te souviens de ces jours" ?
Mais voici ce qui est vraiment intéressant - est-ce que quelqu'un voit WMIC ici ou peut-être PowerShell ? Imaginez que vous ayez une nouvelle application qui fonctionne en exécutant des scripts sur le système local, et ce sont des scripts modernes, parce que vous voulez exécuter Windows Server 2008, et je vais faire un excellent travail pour la protéger avec des règles conçues pour Windows 2000. Pour que la prochaine fois qu'un fournisseur vienne vous voir avec son application Web, demandez-lui, "hé mec, avez-vous prévu des choses comme l'administration de bits ou l'exécution de commandes powershell, avez-vous vérifié toutes les autres choses, parce que nous allons mettre à jour et utiliser la nouvelle version de DotNET" ? Mais toutes ces choses devraient être présentes dans le produit de sécurité par défaut !
La prochaine chose dont je veux vous parler, ce sont les erreurs de logique. Passons à 192.168.2.6. Il s'agit à peu près de la même application que la précédente.
Vous remarquerez peut-être quelque chose d'intéressant si vous faites défiler la page et cliquez sur le lien Contactez-nous.
Si vous regardez le code source de l'onglet "Contactez-nous", qui est l'une des méthodes de pentesting que je fais tout le temps, vous remarquerez cette ligne.
Pensez-y! J'entends que beaucoup à la vue de cela ont dit : "Wow" ! Une fois, j'ai fait des tests d'intrusion pour, disons, une banque milliardaire, et j'ai remarqué quelque chose de similaire là-bas. Donc, nous n'avons pas besoin d'injection SQL ou de scripts intersites - nous avons l'essentiel, cette barre d'adresse.
Donc, sans exagération - la banque nous a dit qu'ils avaient les deux - et un spécialiste du réseau, et un inspecteur web, et ils n'ont fait aucune remarque. C'est-à-dire qu'ils considéraient comme normal qu'un fichier texte puisse être ouvert et lu via un navigateur.
Autrement dit, vous pouvez simplement lire le fichier directement à partir du système de fichiers. Le chef de leur équipe de sécurité m'a dit : "oui, l'un des scanners a trouvé cette vulnérabilité, mais l'a considérée comme mineure". À quoi j'ai répondu, d'accord, donnez-moi une minute. J'ai tapé filename=../../../../boot.ini dans la barre d'adresse et j'ai pu lire le fichier de démarrage du système de fichiers !
A cela ils m'ont dit : « non, non, non, ce ne sont pas des fichiers critiques » ! J'ai répondu - mais c'est Server 2008, n'est-ce pas ? Ils ont dit oui, c'est lui. Je dis - mais ce serveur a un fichier de configuration situé dans le répertoire racine du serveur, n'est-ce pas ? "D'accord", répondent-ils. "Génial", dis-je, "et si l'attaquant fait cela", et je tape filename=web.config dans la barre d'adresse. Ils disent - et alors, vous ne voyez rien sur le moniteur ?
Je dis - et si je fais un clic droit sur le moniteur et sélectionne l'option "Afficher le code de la page" ? Et que vais-je trouver ici ? "Rien de critique" ? Je verrai le mot de passe de l'administrateur du serveur !
Et vous dites qu'il n'y a pas de problème ici?
Mais ma partie préférée est la suivante. Vous ne me laissez pas exécuter de commandes dans la boîte, mais je peux voler le mot de passe administrateur et la base de données du serveur Web, parcourir toute la base de données, supprimer toutes les données de base de données et de défaillance du système, et repartir avec tout cela. C'est le cas lorsque le méchant dit "hé mec, aujourd'hui est un grand jour" !
Ne laissez pas les produits de sécurité devenir votre maladie ! Ne laissez pas les produits de sécurité vous rendre malade ! Trouvez des nerds, donnez-leur tous ces souvenirs de Star Trek, intéressez-les, encouragez-les à rester avec vous, car ces puants ringards qui ne se douchent pas tous les jours sont ceux qui font fonctionner vos réseaux comme suit ! Ce sont ces personnes qui aideront vos produits de sécurité à fonctionner correctement.
Dites-moi, combien d'entre vous sont capables de rester longtemps dans la même pièce avec une personne qui dit constamment : "oh, j'ai besoin d'imprimer ce script de toute urgence !", et qui est occupé avec ça tout le temps ? Mais vous avez besoin de personnes qui font fonctionner vos produits de sécurité.
Pour réitérer, les produits de sécurité sont stupides parce que les lumières sont toujours fausses, ils font constamment des choses merdiques, ils n'assurent tout simplement pas la sécurité. Je n'ai jamais vu un bon produit de sécurité qui ne nécessite pas un gars avec un tournevis pour le régler là où il doit le faire fonctionner plus ou moins normalement. C'est juste une énorme liste de règles disant que c'est mauvais, et c'est tout !
Alors les gars, je veux que vous prêtiez attention à l'éducation, à des choses comme la sécurité, les écoles polytechniques, car il existe de nombreux cours en ligne gratuits sur les questions de sécurité. Apprenez Python, apprenez l'assemblage, apprenez les tests d'applications Web.
Voici ce qui vous aidera vraiment à sécuriser votre réseau. Les gens intelligents protègent les réseaux, les produits réseau ne protègent pas ! Retournez au travail et dites à votre patron que vous avez besoin de plus de budget pour les gens plus intelligents, je sais que c'est une crise maintenant mais dites-lui de toute façon que nous avons besoin de plus d'argent pour que les gens les éduquent. Si nous achetons un produit mais n'achetons pas de cours sur la façon de l'utiliser parce qu'il est cher, alors pourquoi l'achetons-nous si nous n'enseignons pas aux gens comment l'utiliser ?
J'ai travaillé pour de nombreux fournisseurs de produits de sécurité, j'ai passé presque toute ma vie à implémenter ces produits, et j'en ai marre de tous ces contrôles d'accès au réseau et d'autres choses parce que j'ai installé et exécuté tous ces produits de merde. Un jour, je suis allé chez un client, ils voulaient implémenter la norme 802.1x pour le protocole EAP, ils avaient donc des adresses MAC et des adresses secondaires pour chaque port. Je suis venu, j'ai vu que c'était mauvais, je me suis retourné et j'ai commencé à appuyer sur les boutons de l'imprimante. Vous savez, l'imprimante peut imprimer une page de test de l'équipement réseau avec toutes les adresses MAC et adresses IP. Mais il s'est avéré que l'imprimante ne prend pas en charge la norme 802.1x, elle doit donc être exclue.
Ensuite, j'ai débranché l'imprimante et changé l'adresse MAC de mon ordinateur portable en adresse MAC de l'imprimante et connecté mon ordinateur portable, contournant ainsi cette solution MAC coûteuse, pensez-y ! Alors, à quoi peut bien servir cette solution MAC si une personne peut simplement faire passer n'importe quel équipement pour une imprimante ou un téléphone VoIP ?
Donc pour moi aujourd'hui, le pentesting consiste à passer du temps à essayer de comprendre et de comprendre un produit de sécurité que mon client a acheté. Maintenant, chaque banque dans laquelle je fais un test de pénétration a tous ces HIPS, NIPS, LAUTHS, MACS et tout un tas d'autres acronymes qui sont nuls. Mais j'essaie de comprendre ce que ces produits essaient de faire et comment ils essaient de le faire. Ensuite, une fois que j'ai compris quelle méthodologie et quelle logique ils utilisent pour assurer la protection, contourner cela ne devient pas du tout difficile.
Mon produit préféré, que je vais vous laisser, s'appelle MS 1103. C'est un exploit basé sur un navigateur qui pulvérise HIPS, Host Intrusion Prevention Signature ou Host Intrusion Prevention Signatures. En fait, il est destiné à contourner les signatures HIPS. Je ne veux pas vous montrer comment cela fonctionne parce que je ne veux pas prendre le temps de le démontrer, mais cela fait un excellent travail pour contourner cette protection, et je veux que vous l'adoptiez.
OK les gars, je pars maintenant.
Quelques publicités 🙂
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, , un analogue unique des serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher dans le centre de données Equinix Tier IV à Amsterdam ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com