Sekarang kita akan mencoba cara lain dari injeksi SQL. Mari kita lihat apakah database terus memunculkan pesan kesalahan. Metode ini disebut "menunggu penundaan", dan penundaan itu sendiri ditulis sebagai berikut: tunggu penundaan 00:00:01'. Saya menyalin ini dari file kami dan menempelkannya ke bilah alamat browser.
Ini semua disebut "injeksi SQL sementara buta". Yang kami lakukan di sini hanyalah mengatakan, "tunggu penundaan 10 detik." Jika Anda perhatikan, di kiri atas kami memiliki tulisan “menghubungkan…”, yaitu, apa fungsi halaman kami? Ia menunggu koneksi, dan setelah 10 detik halaman yang benar muncul di monitor Anda. Dengan menggunakan teknik ini, kami menghubungi database sehingga memungkinkan kami mengajukan beberapa pertanyaan lagi, misalnya jika penggunanya adalah Joe, maka kami perlu menunggu 10 detik. Itu sudah jelas? Jika penggunanya dbo, tunggu juga 10 detik. Ini adalah metode injeksi SQL buta.
Saya rasa pengembang tidak memperbaiki kerentanan ini saat membuat tambalan. Ini adalah injeksi SQL, tetapi program IDS kami juga tidak melihatnya, seperti metode injeksi SQL sebelumnya.
Mari kita coba sesuatu yang lebih menarik. Mari salin baris ini dengan alamat IP dan tempel ke browser. Itu berhasil! Bilah TCP di program kami berubah menjadi merah, program mencatat 2 ancaman keamanan.
Bagus, mari kita lihat apa yang terjadi selanjutnya. Kami memiliki satu ancaman terhadap shell XP, dan ancaman lainnya - upaya injeksi SQL. Secara total, tercatat dua upaya untuk menyerang aplikasi web.
Oke, sekarang bantu saya dengan logika. Kami memiliki paket data intrusi di mana IDS mengatakan telah merespons berbagai intrusi ke dalam shell XP.
Jika kita gulir ke bawah, kita melihat tabel kode HEX, di sebelah kanannya ada bendera dengan pesan xp_cmdshell + &27ping, dan jelas ini buruk.
Mari kita lihat di sini apa yang terjadi. Apa yang dilakukan server SQL?
Server SQL mengatakan: "Anda dapat memiliki kata sandi ke database saya, Anda bisa mendapatkan semua catatan di database saya, tapi kawan, saya tidak ingin Anda menjalankan perintah Anda pada saya, itu tidak keren sama sekali"!
Apa yang perlu kita lakukan adalah memastikan bahwa meskipun IDS melaporkan ancaman terhadap shell XP, ancaman tersebut diabaikan. Jika Anda menggunakan SQL Server 2005 atau SQL Server 2008, maka jika upaya injeksi SQL terdeteksi, shell perintah sistem operasi akan dikunci, mencegah Anda melanjutkan pekerjaan. Ini sangat menjengkelkan. Jadi apa yang harus kita lakukan? Anda harus mencoba bertanya kepada server dengan sangat ramah. Haruskah Anda mengatakan ini: “tolong, ayah, bolehkah saya minta kue ini”? Itu yang saya lakukan, serius, saya bertanya kepada server dengan sangat sopan! Saya meminta opsi tambahan, saya meminta konfigurasi ulang, dan saya meminta pengaturan shell XP diubah agar shell dapat diakses karena saya membutuhkannya!
Kami melihat bahwa IDS telah mendeteksi hal ini - Anda lihat, 3 ancaman telah dicatat di sini.
Lihat saja di sini - kami meledakkan log keamanan! Kelihatannya seperti pohon Natal, banyak sekali yang tergantung di sini! Sebanyak 27 ancaman keamanan! Hore teman-teman, kami menangkap peretas ini, kami menangkapnya!
Kami tidak khawatir dia akan mencuri data kami, tetapi jika dia bisa menjalankan perintah sistem di "kotak" kami - ini sudah serius! Anda bisa menggambar rute Telnet, FTP, Anda bisa mengambil alih data saya, itu keren, tapi saya tidak khawatir, saya hanya tidak ingin Anda mengambil alih cangkang "kotak" saya.
Saya ingin berbicara tentang hal-hal yang benar-benar membuat saya tertarik. Saya bekerja untuk organisasi, saya telah bekerja untuk mereka selama bertahun-tahun, dan saya mengatakan ini kepada Anda karena pacar saya mengira saya menganggur. Dia pikir yang aku lakukan hanyalah berdiri di atas panggung dan ngobrol, ini tidak bisa dianggap sebagai pekerjaan. Tapi saya berkata: “tidak, senangnya, saya seorang konsultan”! Itulah bedanya - saya mengutarakan pikiran saya dan saya dibayar untuk itu.
Saya akan mengatakan ini - kami, sebagai peretas, suka memecahkan cangkangnya, dan bagi kami tidak ada kesenangan yang lebih besar di dunia ini selain “menelan cangkangnya”. Saat analis IDS menulis aturannya, Anda melihat bahwa mereka menulis aturan tersebut untuk melindungi terhadap gangguan shell. Namun jika Anda berbicara dengan CIO tentang masalah ekstraksi data, dia akan meminta Anda memikirkan dua opsi. Katakanlah saya memiliki aplikasi yang menghasilkan 100 "potongan" per jam. Apa yang lebih penting bagi saya: memastikan keamanan semua data dalam aplikasi ini atau keamanan shell “kotak”? Ini adalah pertanyaan serius! Apa yang lebih perlu Anda khawatirkan?
Hanya karena shell "kotak" Anda rusak tidak berarti seseorang telah memperoleh akses ke cara kerja aplikasi. Ya, hal ini kemungkinan besar terjadi, dan jika belum terjadi, mungkin akan segera terjadi. Namun perlu diingat bahwa banyak produk keamanan dibuat dengan asumsi bahwa penyerang bergerak melalui jaringan Anda. Jadi mereka memperhatikan pelaksanaan perintah, pelaksanaan perintah, dan Anda harus mencatat bahwa ini adalah hal yang serius. Mereka memperhatikan kerentanan sepele, skrip lintas situs yang sangat sederhana, hingga injeksi SQL yang sangat sederhana. Mereka tidak peduli dengan ancaman tingkat lanjut atau pesan terenkripsi, mereka tidak peduli dengan hal-hal semacam itu. Bisa dibilang semua produk keamanan mencari kebisingan, mereka mencari yap, mereka ingin menghentikan sesuatu yang mengganggu pergelangan kaki Anda. Inilah yang saya pelajari ketika berurusan dengan produk keamanan. Anda tidak perlu membeli produk keselamatan, Anda tidak perlu mengemudikan truk secara terbalik. Anda memerlukan orang-orang yang kompeten dan terampil yang memahami teknologi. Ya, Tuhan, tepatnya manusia! Kami tidak ingin mengeluarkan jutaan dolar untuk masalah ini, namun banyak dari Anda yang pernah bekerja di bidang ini dan mengetahui bahwa begitu atasan Anda melihat iklan, dia berlari ke toko sambil berteriak, "Kami harus membeli barang ini! " Tapi sebenarnya kita tidak perlu melakukannya, kita hanya perlu memperbaiki kekacauan yang ada di belakang kita. Itulah premis pertunjukan ini.
Lingkungan keamanan adalah tempat saya menghabiskan banyak waktu untuk memahami cara kerja mekanisme keamanan. Setelah Anda memahami mekanisme perlindungan, melewati perlindungan tidaklah sulit. Misalnya, saya mempunyai aplikasi web yang dilindungi oleh firewallnya sendiri. Saya menyalin alamat panel pengaturan, menempelkannya ke bilah alamat browser dan masuk ke pengaturan dan mencoba skrip lintas situs.
Akibatnya, saya menerima pesan firewall tentang ancaman - saya telah diblokir.
Menurutku ini buruk, apakah kamu setuju? Anda menemukan produk keamanan. Tetapi bagaimana jika saya mencoba sesuatu seperti ini: Saya memasukkan parameter Joe'+OR+1='1
Seperti yang Anda lihat, itu berhasil. Koreksi saya jika saya salah, tapi kita telah melihat injeksi SQL mengalahkan firewall aplikasi. Sekarang anggaplah kita ingin memulai sebuah perusahaan implementasi keamanan, jadi kita akan memakai topi pembuat perangkat lunak kita. Sekarang kita mewujudkan kejahatan karena itu topi hitam. Saya seorang konsultan, jadi saya bisa melakukan hal yang sama dengan produsen perangkat lunak.
Kami ingin membuat dan menerapkan sistem deteksi kerusakan baru, jadi kami akan memulai perusahaan deteksi kerusakan. Snort, sebagai produk sumber terbuka, berisi ratusan ribu tanda ancaman yang dapat mengganggu. Kita harus bertindak etis, sehingga kita tidak akan mencuri tanda tangan tersebut dari aplikasi lain dan memasukkannya ke dalam sistem kita. Kita duduk saja dan menulis ulang semuanya - hei, Bob, Tim, Joe, ayo, cepat periksa 100 tanda tangan ini!
Kita juga perlu membuat pemindai kerentanan. Anda tahu bahwa Nessus, sebuah program untuk mencari kerentanan secara otomatis, memiliki 80 ribu tanda tangan dan skrip yang memeriksa kerentanan. Kami akan bertindak secara etis lagi dan menulis ulang semuanya ke dalam program kami sendiri.
Orang-orang bertanya kepada saya, “Joe, Anda melakukan semua tes ini menggunakan perangkat lunak sumber terbuka seperti Mod Security, Snort dan sejenisnya, seberapa miripkah tes tersebut dengan produk pabrikan lain?” Saya menjawab mereka: “Mereka sama sekali tidak mirip!” Karena produsen tidak mencuri barang dari produk keamanan open source, mereka duduk dan menulis sendiri semua peraturan ini.
Jika Anda dapat membuat tanda tangan dan rangkaian serangan Anda sendiri berfungsi tanpa menggunakan produk sumber terbuka, ini adalah peluang besar bagi Anda. Jika Anda tidak mampu bersaing dengan produk komersial dan bergerak ke arah yang benar, Anda harus menemukan konsep yang akan membantu Anda menjadi terkenal di bidang Anda.
Semua orang tahu aku minum. Izinkan saya menunjukkan kepada Anda alasan saya minum. Jika Anda pernah melakukan audit kode sumber dalam hidup Anda, Anda pasti akan minum, percayalah, setelah itu Anda akan mulai minum.
Jadi, bahasa favorit kami adalah C++. Mari kita lihat program ini - Web Knight, ini adalah aplikasi firewall untuk server web. Ini memiliki pengecualian secara default. Ini menarik - jika saya menggunakan firewall ini, itu tidak akan melindungi saya dari Outlook Web Access.
Luar biasa! Hal ini karena banyak vendor perangkat lunak mengambil aturan dari satu aplikasi dan menempelkannya ke produk mereka tanpa melakukan banyak penelitian. Jadi ketika saya menerapkan aplikasi firewall web, saya menemukan bahwa segala sesuatu tentang webmail dilakukan dengan tidak benar! Karena hampir semua webmail merusak keamanan secara default. Anda memiliki kode web yang menjalankan perintah sistem dan kueri untuk LDAP atau penyimpanan database pengguna lainnya langsung di Internet.
Katakan padaku, di planet manakah hal seperti ini bisa dianggap aman? Coba pikirkan: Anda membuka Outlook Web Access, tekan ctrl +K, cari pengguna dan sebagainya, Anda mengelola Direktori Aktif langsung dari Internet, Anda menjalankan perintah sistem di Linux, jika Anda menggunakan Squirrel Mail, atau Horde atau apa pun. kalau tidak. Anda mencabut semua evaluasi ini dan jenis fungsi tidak aman lainnya. Oleh karena itu, banyak firewall mengecualikannya dari daftar risiko keamanan, coba tanyakan kepada produsen perangkat lunak Anda tentang hal ini.
Mari kembali ke aplikasi Web Knight. Itu mencuri banyak aturan keamanan dari pemindai URL, yang memindai semua rentang alamat IP ini. Jadi, apakah semua rentang alamat ini dikecualikan dari produk saya?
Apakah ada di antara Anda yang ingin memasang alamat ini di jaringan Anda? Apakah Anda ingin jaringan Anda berjalan di alamat ini? Ya, itu luar biasa. Oke, mari kita gulir ke bawah program ini dan lihat hal-hal lain yang tidak ingin dilakukan oleh firewall ini.
Mereka disebut "1999" dan mereka ingin server web mereka kembali ke masa lalu! Apakah ada di antara Anda yang ingat sampah ini: /scripts, /iishelp, msads? Mungkin beberapa orang akan mengingat dengan nostalgia betapa menyenangkannya meretas hal-hal seperti itu. “Ingat kawan, dulu sekali kita “mematikan” server, itu keren!”
Sekarang, jika Anda melihat pengecualian ini, Anda akan melihat bahwa Anda dapat melakukan semua hal ini - msads, printer, iisadmpwd - semua hal yang tidak diperlukan siapa pun saat ini. Bagaimana dengan perintah yang tidak boleh Anda jalankan?
Ini adalah arp, at, cacls, chkdsk, cipher, cmd, com. Saat Anda membuat daftarnya, Anda diliputi kenangan masa lalu, “Bung, ingat ketika kami mengambil alih server itu, ingat hari-hari itu”?
Tapi inilah yang menarik - apakah ada yang melihat WMIC atau mungkin PowerShell di sini? Bayangkan Anda memiliki aplikasi baru yang berfungsi dengan menjalankan skrip pada sistem lokal, dan ini adalah skrip modern karena Anda ingin menjalankan Windows Server 2008, dan saya akan melakukan hal hebat dengan melindunginya dengan aturan yang dirancang untuk Windows 2000. Sehingga pada saat vendor mendatangi Anda dengan aplikasi webnya, tanyakan kepada mereka: “hai kawan, apakah Anda memasukkan hal-hal seperti bits admin, atau menjalankan perintah PowerShell, apakah Anda memeriksa semua hal lainnya, karena kami akan memperbarui dan menggunakan DotNET versi baru"? Namun semua hal ini seharusnya ada dalam produk keamanan secara default!
Hal berikutnya yang ingin saya bicarakan dengan Anda adalah kesalahan logis. Mari kita pergi ke 192.168.2.6. Ini tentang aplikasi yang sama dengan yang sebelumnya.
Anda mungkin melihat sesuatu yang menarik jika Anda menggulir halaman ke bawah dan mengklik link Hubungi Kami.
Jika Anda melihat kode sumber dari tab “Hubungi Kami”, yang merupakan salah satu metode pentesting yang selalu saya lakukan, Anda akan melihat baris ini.
Pikirkan tentang itu! Saya mendengar ketika mereka melihat ini, banyak yang berkata: “Wow”! Saya pernah melakukan pengujian penetrasi untuk, katakanlah, bank miliarder, dan saya melihat hal serupa. Jadi, kita tidak memerlukan injeksi SQL atau skrip lintas situs - kita memiliki dasar-dasarnya, bilah alamat ini.
Jadi, tanpa berlebihan - bank memberi tahu kami bahwa mereka memiliki spesialis jaringan dan pemeriksa web, dan mereka tidak memberikan komentar apa pun. Artinya, mereka menganggap wajar jika file teks dapat dibuka dan dibaca melalui browser.
Artinya, Anda cukup membaca file langsung dari sistem file. Kepala tim keamanan mereka mengatakan kepada saya: “ya, salah satu pemindai menemukan kerentanan ini, namun menganggapnya kecil.” Yang saya jawab, oke, beri saya waktu sebentar. Saya mengetik filename=../../../../boot.ini ke bilah alamat dan dapat membaca file boot sistem file!
Terhadap hal ini mereka mengatakan kepada saya: “tidak, tidak, tidak, ini bukan file penting”! Saya menjawab - tapi ini Server 2008? Mereka menjawab ya, itu dia. Saya katakan - tetapi server ini memiliki file konfigurasi yang terletak di direktori root server, bukan? “Benar,” jawab mereka. “Bagus,” kata saya, “bagaimana jika penyerang melakukan ini,” dan saya mengetik filename=web.config di bilah alamat. Mereka berkata - jadi kenapa, Anda tidak melihat apa pun di monitor?
Saya katakan - bagaimana jika saya mengklik kanan pada monitor dan memilih opsi Tampilkan Sumber Halaman? Dan apa yang akan saya temukan di sini? “Tidak ada yang penting”? Saya akan melihat kata sandi administrator server!
Dan Anda bilang tidak ada masalah di sini?
Tapi bagian favoritku adalah yang berikutnya. Anda tidak mengizinkan saya menjalankan perintah di dalam kotak, tapi saya bisa mencuri kata sandi administrator server web dan database, memeriksa seluruh database, merobek semua materi tentang database dan kegagalan sistem, dan lolos dari semuanya. Ini adalah kasus di mana orang jahat berkata, "hai kawan, hari ini adalah hari besarnya"!
Jangan biarkan produk keamanan membuat Anda sakit! Jangan biarkan produk keamanan membuat Anda sakit! Temukan beberapa kutu buku, berikan mereka semua memorabilia Star Trek, buat mereka tertarik, dorong mereka untuk tetap bersama Anda, karena orang-orang menyebalkan yang tidak mandi setiap hari itulah yang membuat jaringan Anda berfungsi. Inilah orang-orang yang akan membantu produk keamanan Anda berfungsi sebagaimana mestinya.
Katakan padaku, berapa banyak dari Anda yang bisa tinggal di ruangan yang sama untuk waktu yang lama dengan seseorang yang terus-menerus berkata: "Oh, saya harus segera mengetik skrip ini!", Dan siapa yang selalu sibuk dengan ini? Namun Anda memerlukan orang yang membuat produk keamanan Anda berfungsi.
Saya akan mengatakannya lagi - produk keamanan itu bodoh karena lampu terus-menerus membuat kesalahan, terus-menerus melakukan hal-hal buruk, hanya saja tidak memberikan keamanan. Saya belum pernah melihat produk keamanan bagus yang tidak memerlukan seseorang yang memiliki obeng untuk mengencangkannya jika diperlukan agar berfungsi lebih atau kurang normal. Itu hanya daftar besar peraturan yang mengatakan itu buruk, itu saja!
Jadi saya ingin kalian melihat pendidikan, hal-hal seperti keselamatan, pelatihan politeknik, karena ada banyak kursus online gratis tentang masalah keselamatan. Pelajari Python, pelajari Majelis, pelajari pengujian aplikasi web.
Inilah yang akan sangat membantu Anda melindungi jaringan Anda. Orang pintar melindungi jaringan, produk jaringan tidak! Kembali bekerja dan beri tahu atasan Anda bahwa Anda memerlukan lebih banyak anggaran untuk lebih banyak orang pintar, saya tahu ini adalah krisis, tapi tetap katakan padanya - kita membutuhkan lebih banyak uang untuk orang-orang, untuk melatih mereka. Jika kita membeli suatu produk tetapi tidak membeli kursus cara menggunakannya karena mahal, lalu mengapa kita membelinya jika kita tidak mengajari orang cara menggunakannya?
Saya telah bekerja untuk banyak vendor produk keamanan, menghabiskan hampir seluruh hidup saya untuk mengimplementasikan produk-produk tersebut, dan saya muak dengan semua kontrol akses jaringan dan sebagainya karena saya menginstal dan menjalankan semua produk sampah itu. Saya pernah mengunjungi klien, mereka ingin menerapkan standar 802.1x untuk protokol EAP, sehingga mereka memiliki alamat MAC dan alamat sekunder untuk setiap port. Saya datang, melihat kondisinya buruk, berbalik dan mulai menekan tombol pada printer. Tahukah Anda, printer bisa mencetak halaman uji peralatan jaringan dengan semua alamat MAC dan alamat IP. Namun ternyata printer tersebut tidak mendukung standar 802.1x sehingga harus dikecualikan.
Kemudian saya mencabut printer dan mengubah alamat MAC laptop saya ke alamat MAC printer dan menghubungkan laptop saya, sehingga melewati solusi MAC yang mahal ini, pikirkanlah! Jadi apa gunanya solusi MAC ini bagi saya jika seseorang dapat menganggap peralatan apa pun sebagai printer atau telepon VoIP?
Jadi hari ini, pentesting bagi saya adalah saya menghabiskan waktu untuk mencoba memahami dan memahami produk keamanan yang dibeli klien saya. Saat ini setiap bank tempat saya melakukan pengujian penetrasi memiliki semua HIPS, NIPS, LAugTHS, MACS dan sejumlah akronim lainnya yang benar-benar omong kosong. Namun saya mencoba mencari tahu apa yang coba dilakukan oleh produk-produk ini dan bagaimana mereka mencoba melakukannya. Kemudian, setelah saya mengetahui metodologi dan logika seperti apa yang mereka gunakan untuk memberikan perlindungan, tidak akan sulit untuk mengabaikannya.
Produk favorit saya yang akan saya tinggalkan untuk Anda disebut MS 1103. Ini adalah eksploitasi berbasis browser yang "menyemprotkan" HIPS, Tanda Tangan Pencegahan Intrusi Host, atau tanda tangan pencegahan intrusi host. Faktanya, ini dirancang untuk melewati tanda tangan HIPS. Saya tidak ingin menunjukkan cara kerjanya karena saya tidak ingin waktu untuk mendemonstrasikannya, tetapi ia berhasil melewati keamanan itu dan saya ingin Anda mencobanya.
Oke teman-teman, aku berangkat sekarang.
Beberapa iklan 🙂
Terima kasih untuk tetap bersama kami. Apakah Anda menyukai artikel kami? Ingin melihat konten yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikan kepada teman, , analog unik dari server level awal, yang kami temukan untuk Anda: (tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2x lebih murah di pusat data Equinix Tier IV di Amsterdam? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai $99! Membaca tentang
Sumber: www.habr.com