כנס HACKTIVITY 2012. The Big Bang Theory: The Evolution of Security Pentesting. חלק 1

שלום כולם איך אתם? אני מקווה שאתה מסתדר, אז תקשיב. תקשיב למה שתמיד קורה לי כשאני עוזב את אמריקה ומגיע לאסיה או לאירופה, לכל המדינות האחרות האלה. אני מתחיל להופיע, אני עומד על הבמה ומתחיל לדבר עם אנשים, אני אומר להם... איך אני יכול לנסח את זה פוליטית... אנשים שהם לא אמריקאים הם גם אנשים נחמדים, ואני נהנה לראות ולשמוע אותם.

תראה, אני חושב שתבין אותי נכון, אז תירגע קצת, יישר כתפיים, אני רציני! בסדר, כשאני עושה את שלי כאן, אני רוצה שתישאר איתי בקשר. יש לי נקודה חמה אלחוטית וכמה אפליקציות פגיעות בחוסר סדר מוחלט, ויש לי רעיון איך לבלבל את התוכניות שלך... בשנה שעברה הופעתי והשתכרתי על הבמה, ואז אחר כך ניגש אלי מבקר ואמר, "היי ג'ו, הייתה לך מצגת הגונה, אבל ההדגמה לא הספיקה! לכן, היום כל המצגת שלי תהיה הדגמה מוצקה, ואני תוהה מה עוד אולי לא תאהב.

אז, "האבולוציה של ניסויים בתנאים של אבטחה מוגברת." אני מפיל רשתות כבר 10 שנים טובות, ועד כמה שהן היו מחורבנות, הן עדיין כאלה. אני לא יודע אם יש לך ניסיון איתם, אבל הרשתות עדיין מבאסות. והאפליקציות עדיין מבאסות. מה קורה עכשיו? יש לנו כעת 50 מיליון מוצרי אבטחה המגינים על היישומים שלך, מהם מה? - זה מבאס! – ואתה נכנס איתם לאינטרנט, מה? - זה מבאס! "ויש לנו חבורה של דברים שמגנים על כל השטויות האלה!"

אז מה תהיה העבודה שלי היום? מי אני? רוב אנשי הרשת מכירים אותי, אני הבחור השחור בכנסים אבטחה, כן, זה אני, אותו בחור שאומרים עליו בדרך כלל: “טוב, איך קוראים לו... אפריקאי צבעוני... ראיתי אותו בעבר "!

אוקיי חבר'ה, אני פורץ לרשתות כבר זמן מה. אז, אני קרקר, אני קללה, ומי שמכיר אותי גם יודע שאני אוהב לשתות רום וקוקה קולה. אבל משהו השתנה בחיים שלי, עשיתי חברה חדשה, והיא מטורפת כי אני שותה יותר מדי, והיא ממש לא אוהבת את איך שאני אוכל, בגלל זה אני צריך לנסוע, בגלל זה הייתי צריך לבוא לכאן, הייתי צריך לאכול את כל הגולאש השומני הזה. אז בבקשה אל תגיד לה מה אני אוכל ושותה.

בשקף הזה אתה רואה את הנאום הראשון שלי ב-DefCon לפני 10 שנים, תראה, אז עדיין היו מסכי CRT, מישהו זוכר אותם?

דיברתי שם עם הרבה אנשים ואכן תפסנו איתם את הדגל. לכידת הדגל הייתה פשוט חוויה מדהימה ששינתה את חיי בצורה מופלאה לחלוטין, בדיוק כמו ישו, הייתי מוכנה לצעוק "הללויה!" זה היה כל כך מדהים.
אז מה שאני רוצה לעשות זה ליצור אתגר Capture the Flag למתחילים. אם אתה חדש, כנראה שמעולם לא השתתפת ב-Capture the Flag. יש קורס של חודש להתכונן למבחן זה, הכולל למידה על בעיות הצפנה ופענוח, בדיקות רשת, בדיקות תוכנות זדוניות, למידה על בעיות הנדסה הפוכה, שימוש בניצולים ועוד דברים כאלה. זה אירוע מאוד סולידי ומהנה. בקיצור, בואו ננסה משהו דומה.

בשקופית רואים את ההגדרות של הרשת האלחוטית, אני מבקש מכם לא לשבור אותה. אם אתה רוצה להיכנס לרשת שנקראת joe-hacktivity-demo, אתה יכול להשתמש בסיסמה זו.

יש כאן קובץ טקסט, הסיבה ליצירתו היא פשוט כדי לאפשר לך להעתיק ולהדביק מידע בשורת הכתובת של הדפדפן שלך. אנשים בדרך כלל עושים זאת עם דברים כמו Windows 7, אבל כל מה שאתה צריך במקרה זה הוא רק דפדפן אינטרנט. אז אם יש לך פיירפוקס, כרום, כל מה שאתה צריך לפרוץ זה פשוט לפתוח את האייפד או המחשב הנייד שלך, להעתיק את הטקסט הזה ולהיכנס לאתר של חנות הספרים המקוונת. יש לי IDS, יש לי Snort Box פועל, ואנחנו רק נשאיר את הרשת הזו פעילה. אנחנו הולכים להשתמש בחבורה של יישומי רשת, חבורה של הזרקות SQL, חבורה של סקריפטים בין-אתרים נגד המארח הזה שיש לו יישום אינטרנט זה. אז יש לנו עוד "קופסה" שיש לה חומת אש כדי שאוכל להעביר לך כמה מזהים וחומות אש. פשוט ניכנס לשם ונדבר על זה ונעשה שם כמה דברים מעניינים.

אז האם אני צריך להמשיך להסביר או שאני יכול להתחיל? בסדר, בסדר, בוא נתחיל. יש לי כאן מערכת זיהוי חבלה חכמה במחשב הנייד שלי. כעת אתקרב למסך שבו מוצג קובץ הטקסט. אתה יכול לבדוק את הכתובת שלו בשורת הדפדפן, זה קובץ הטקסט שלנו.

אני הולך ליישם סקריפטים בין אתרים באמצעות SQL טריוויאלי, אבל אם אתה רוצה להתעסק עם אפליקציה רצינית יותר, אתה יכול לבדוק את קובץ הטקסט הזה, שיש לו שני יישומים. האפליקציה ב-2.6, שפותחה על פלטפורמת ASP.NET, בודקת את תקינות הרשת, היא גרסה מעודכנת של פלטפורמת DotNet עם ספריית סקריפטים חוצה אתרים ועוד כמה מנגנוני אבטחה, ו-web.config שונה קובץ לטעינת ספריות אבטחה אחרות.

האפליקציה ב-2.7 היא אותה אפליקציה כמו הקודמת, אבל יש לה לא רק את כל תכונות האבטחה של DotNet, אלא גם חומת אש ליישומי רשת. אז, אני רוצה להסתבך עם היישום הזה בשעה 2.35, ואני הולך לדבר על זה.

אם אתם מכירים את היסודות של סקריפטים בין-אתרים והזרקת SQL, תבינו מה הם 2.6, 2.5 ו-2.7. אז יש לנו את קובץ הטקסט הזה שאנחנו יכולים להעתיק ולהדביק. בואו נדבר על הפרמטר שאני מכניס לשורת הכתובת של האתר שלנו. זה bookdetail.aspx?id=2 וסימן השאלה אומר שמזהה הפרמטרים שאנחנו צריכים הוא 2. מה שקורה בפועל הוא שממשק שרת האינטרנט שלך מדבר עם מסד הנתונים של שרת האינטרנט כדי לראות אם יש בו ערך, קשור למזהה הנתונים הזה עם הערך 2. ומסד הנתונים מגיב לממשק: "כן, אחי, יש לי מה שאתה צריך"!

מה שנעשה עכשיו זה לבדוק אם הזרקת SQL שלנו עובדת. אז נזרוק כאן קצת קוד פשוט, כמו ציטוט בסוף, ונראה שזה הביא להודעת השגיאה "פתחו מרכאות אחרי מחרוזת תווים". זוהי אחת הבדיקות הנפוצות ביותר כאשר אתה מחליף פרמטר בהצעת מחיר או משתמש ישירות בהצעת מחיר כפרמטר. זה קורה לעתים קרובות, ואין כאן שום דבר מפתיע.

בואו ננסה את זה קצת אחרת. אני אחליף את שורת האפשרויות בערך bookdetail.aspx?id=4. שימו לב - כאשר אני מחליף את ה-4 הזה ב-4, העמוד המוצג משתנה, התמונה בראש העמוד משתנה. כעת ננסה לשים את השניים בסוגריים, התמונה השתנתה שוב. אם אני כותב (2-2) בסוף השורה, התמונה תהפוך לזה של 4 בסוף השורה. אם אני כותב (1-3) בסוגריים, העמוד יראה אותו דבר כאילו שמתי את הספרה XNUMX בסוף, כלומר, השוויתי את המזהה לשלוש.

אז, כמה מכם התעמקו בדברים האלה על ידי ביצוע ניסויים? אתה חושב, "בסדר, אני אדביק כאן קוד SQL בשורת הכתובת והוא יפנה אותי לדף הבית, ועכשיו אני אשנה אותו כך שהוא יוכל לשלוח אותי לאן שאני רוצה שהוא יגיע או חזרה לדף הבית." למעשה, אתה מדכא הודעות שגיאה, והיעדר הודעת שגיאה ODBS גורם לך לרקוד משמחה כי הצלחת להחדיר את קוד ה-SQL.

אני רואה שמשהו לא בסדר, אבל אני לא יכול לתקן את זה. ומה קורה? המפתח שלך חושב שהוא הכי חכם כי הוא הצליח להסיר הודעות שגיאה. אבל מה בעצם קורה כשאתה מאלץ את מסד הנתונים לבצע את כל החישובים האריתמטיים האלה?

אז מסד הנתונים עושה את החישוב הזה: (4-1) ונקבל עמוד 3. זה עתה הוכחנו שהזרקת SQL אפשרית כעת. אז אתה יכול לחזור למפתח ולהגיד, "לא, לא, לא, בחור, עדיין יש לך אפשרות להזרקת SQL למרות שאין הודעות שגיאה!" אתה יכול לתקן את זה רק מעט, וזה קורה כל הזמן ובכל מקום.

השתמשתי בסוגים אלה של טריקים, אבל המשחקים משתנים ואנשים רבים משתמשים כעת במשהו שנקרא חומת אש של אפליקציות אינטרנט. לכן, אם תזין משהו כמו: 2 או 1 ב (בחר משתמש)— בשורת פרמטר הכתובת, בדרך כלל תקבל הודעת שגיאה עקב הקידומת השגויה של שם DBO (בעל מסד נתונים) עבור סוג נתונים זה. במקרה זה, חומת האש נלכדת בשלב זה של בחירת המשתמש ואומרת: "לא, לא, לא, אני לא יכול לבחור"!

אז כשאתה רואה דברים כאלה, זה אומר שגם אם עדיין לא הבנת אם אתה פוגע בחומת אש של יישום אינטרנט, או שאתה לא עושה את הטריקים החשבוניים האלה, עדיין יש דרך טובה להבין אם יש הזרקת SQL במקרה נתון והאם יישום האינטרנט הזה הוא חומת אש.

אני אגיד לך שיש דבר אחד נורא - זה הצורך לערוך בדיקת רשתות קמעונאיות. מישהו מכם יודע מה זה אומר באנגלית? PCI? אני שונא את PCI, אבל אני עושה בדיקות רשתות קמעונאיות כל הזמן. PCI הוא תקן אבטחת מידע המבוסס על תקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS) משנת 2008. "חדירה של רשתות קמעונאיות" מאפשרת לך לבדוק את תאימות הנתונים לתקן PCI ולזהות איומים אמיתיים.

תקן זה הוא חוכמה אינסופית שאומרת את האמת: "הם צריכים... זה צריך להיות..." ואתה צריך להשתמש בתקני קידוד מאובטח בהתאם לתקני האימות בעולם, ותעשה... או שאתה יכול חומת אש לאינטרנט שלך יישום.

כל המשתמשים שעבדתי איתם עשו את הדבר הנכון, הם עשו מודל איומים, אחר כך הייתה להם פגישה, ואז עוד פגישה, ואז הם נפגשו שוב ולבסוף הם תיקנו את זה. אתה חושב כך? אבל לא! הם "גיבו את המשאית שלהם" וחיישני החניה שלה עשו אותות לאחור כמו זה. הם פשוט החביאו את הבעיה בארון, הרחק מהעין, ואמרו: "תיקנו את זה"!

עכשיו אני אראה לך עוד דבר שלדעתי מאוד מעניין לשחק איתו. תסתכל כאן. כל מה שעשיתי עד כה זה ליישם SQL. מה שאני אעשה עכשיו זה שאבחר את כתובת מסד הנתונים הראשית, אעתיק אותה ואדביק אותה בשורת הכתובת של הדפדפן. אנו רואים שמסד הנתונים הראשון נקרא "BookApp" כאשר הפרמטר האחרון בשורת פרמטר הכתובת הוא 0.

עכשיו אני אחליף את ה-0 הזה ב-1, ותראה מה קורה - ראינו שמסד הנתונים השני נקרא "מאסטר".

לאחר מכן אנו משנים 1 ל-2 ורואים שמסד הנתונים הבא נקרא "tempdb".

עכשיו תעזרו לי! האם היית אומר שזיהינו הזרקת SQL? כן, נכון, מעולה! אבל הבעיה היא ששום דבר לא הפך לאדום בתוכנית זיהוי ה-IDS שלי! הדבר הזה שנמצא על המסך, הוא לא אדום, כשאנחנו עושים את הזרקת SQL, לא זוהו איומים!

נהדר, עכשיו תראה כאן - אני בטח עושה משהו לא בסדר. אני לא לוקח את מידע מסד הנתונים ישירות מהמסד, אז מה אומר לי הדבר הזה שאני מדגיש באדום?

לא, חכה רגע! אני אנסה לעשות את זה אחרת. במקום להשתמש במספור מספור הנתונים, בואו נשתמש במספור משורת הטבלה שמעליה כתוב "SQL Injection Error - Extracting 1 Database Table".

אני אעתיק את הנתונים האלה ואדביק אותם בשורת הכתובת של הדפדפן. תראה מה יש לנו עכשיו - הביטוי (בחר שם ראשון מתוך נושאים שבהם xtype = char (1)) - מה זה נותן?

נכון, השם של בסיס הנתונים הראשי הוא BOOKMASTER. אני חושב שזו הזרקת SQL, מישהו אחר חושב אותו הדבר? אפילו סטיבי וונדר יכול היה לראות שזו הזרקת SQL!

אבל בואו נסתכל כאן - 0 איומים! אבל זו מערכת זולה, יש בה באגים, והכללים לא עודכנו.

אני חושב שכללי אימות ה-IDS קצת לא מעודכנים, הורדתי אותם הבוקר והם כבר קצת, רק קצת מיושנים. אולי עשיתי משהו לא בסדר כאן, הורדתי את הכללים הישנים, אבל הייתי צריך להוריד את הכללים העדכניים ביותר, שהם לא יותר מ-3 שעות - אני לא יודע.
אבל בואו נסתכל הלאה. מה אם ננסה להעתיק נתונים אחרים שכתוב עליהם "שגיאת הזרקת SQL - חילוץ 2 טבלאות מסד נתונים" מעליו.

אז, הרשומות של מסד הנתונים השני נותנות לנו מה שנקרא "sysdiagrams".

כלומר, שאלנו את השאלה, האם הפרמטר xtype = char (85)) והשם 'BOOKMASTER' יכולים לתת את השם של מה זה רמה אחת מעל BOOKMASTER? במילים אחרות, האם המערכת יכולה לתת לי את שם הטבלה שאחריה? כך אנו מפרטים את מסד הנתונים - ברגע שאתה משחזר את שם מסד הנתונים ואת שם הטבלה, אתה ממשיך לשאול, "היי אחי, אני יכול לקבל את השם של טבלה שגדולה מזו שאני מסתכל עליה עכשיו?", ואתה פשוט ממשיך בתהליך ומקבל שמות טבלאות חדשים.

אבל בואו נחזור ונסתכל על התוכנית שלי - היא שוב מראה שמספר איומי האבטחה הייחודיים הוא 0. יש לנו שוב בעיה!

מה אם אנסה הזרקת SQL מבוססת איחוד? יש לי כאן עוד כמה סוגים של הזרקות SQL, ועכשיו רק נכניס שורה שמפנה ישירות לרשומה שהמזהה שלה הוא 100.

כתוצאה מכך, נקבל את התשובה שמספר 100 נמצא מחוץ לטווח הערכים המקובל. כי אם יש לי 10 עמודות, אני יכול לבחור 5? בְּהֶחלֵט! האם אני יכול לבחור 20 עמודות מתוך 10? ברור שלא! כלומר, מסד הנתונים מגיב: "סליחה, אחי, אבל אין לי כל כך הרבה עמודות!" מעולה, אז אני משנה 100 ל-50 וזה אומר לי שוב "50 מחוץ לטווח." אוקיי, מה דעתך על 25? לא, 25 גם מחוץ לטווח. תגיד לי מה עוד להקליד? 13? זה מספר חסר מזל, אבל בסדר, בואו לחייג 13, והוא גם מחוץ לטווח.

בואו ניקח 9! נהדר, תשעה עבדו! זה הערך הנכון, אני צריך יותר מ-9 אבל פחות מערך הגבול, אז בואו נשחק עוד קצת כדי לגלות כמה עמודות יש בטבלה שלנו.

אז איך אנחנו קובעים כמה עמודות יש בטבלה? כעת נכניס רצף מ-1 עד 9 לשורת הכתובות, אשר נקרא "הצהרת איחוד", או "הוראה מאוחדת." הוראה זו משלבת את מה שהמפתח כתב עם מה שכתבת בעצמך.

אבל אתה חייב לקבל את מספר המספרים הנכון עבור שתי אפשרויות ההוראות כדי להבין באיזה מספר מסתיימות העמודות שלך. בואו נעשה את הטריק הזה - להקצות ערך שלילי למספר 2, כלומר לשנות את ה-2 בשורת הכתובות ל- 2. תראו מה קיבלנו.

התמונה עם כריכת הספר נעלמה, אבל כל המספרים הללו הופיעו - אלו הם מספרי העמודות בטבלת מסד הנתונים. קדימה, תגיד לי את המספר! שתיים? אוקיי, בוא נעשה את זה 2. אני מחליף את ה-2 ברצף במילה "user", ועכשיו המשתמש dbo מופיע בדף במקום Book name 2.

מה אם אלך למספר 3? יחד עם המספרים 3 אכתוב @@version. אתה רואה מה יש לנו עכשיו בדף?

בסדר, עכשיו חבר'ה תעזרו לי! האם נוכל לומר כעת שיש לנו הזרקת SQL?

עדיין כלום! מערכת האבטחה לא רואה שום הזרקת SQL.

התחלתי את קריירת האבטחה שלי כמנתח מערכות לזיהוי חדירה של IDS. אלו היו חיים נוראיים, היית צריך לעקוב אחר יירוט מנות כל היום, וכנראה שלא היה שום דבר אחר, חוץ מנישואים, שגרם לך לרצות לירות לעצמך בראש.

כלומר, הייתי בדיוק כמו כולם, כל היום הסתכלתי על דברים שהיו ממש גרועים, וכשאתה מתחיל לראות את הדברים האלה חולפים על פניך, זה פשוט מעורר מחשבה, זה מטריף.

אז נניח שאנחנו הולכים לעשות משהו מעניין. אולי אני אשלוף אותו מכאן ואעתיק אותו ואגרור אותו לכאן. אז, אני מדביק את גרסת מסד הנתונים, שם השרת, ואז master.sys.fn_varbintohexstr(password_hash) בשורת הכתובת - שום דבר מעניין, נכון?

כעת אנו מקבלים מידע מסוג זה בדף ואני חושב שהשורה העליונה תהיה שימושית עבורנו.

הדבר החשוב הוא שנוכל ללמוד ש-IDS הוא דבר נהדר שעומד לרשותנו! אז מי איתי? הפעל וקנה מיד אחת מהתוכניות הללו!

המסך מראה שהתוכנית שוב לא זיהתה שום הזרקות SQL.

זו פשוט תוכנית נהדרת, היא אפילו יותר טובה ממה שאנחנו חושבים כי היא יכולה להרכיב את כל יומני המשתמש חסרי התועלת שאף אחד לא מסתכל עליהם, וזה מגניב! אוקיי, בוא נניח שאנחנו עושים משהו מעניין אחרי הכל. אנו משתמשים בפרמטרים הבאים: 1=1, 1=2 ו-1*1. אחד שווה אחד? כן. האם אחד שווה לשניים? לא, לא שווה. אבל מה שאנחנו צריכים לעשות זה לבדוק אם השינויים יהיו בעמוד הנכון שאנחנו רוצים, כביכול, "לרשום".

אני מעתיק ומדביק את הפרמטרים של השורה הראשונה 1=1 בשורת הכתובות, מסתכל בדף, ואז משנה את הביטוי הזה ל-1=2. אם הדף משתנה בצורה "לא הוגנת" כלשהי - כפי שאנו יכולים לראות, הוא באמת השתנה - אז מנקודת מבט של תכנות אני יכול להסיק שיש הזרקת SQL. כי אם אני משתמש ב-1=1 ו-1=2, אז אני יכול לספור ככה: "בסדר, אם אני לוקח את שם המשתמש dbo ו-1=1, כי לפי ההוראות, אם שם המשתמש הוא dbo ו-1=1, אז אנחנו מקבלים את הדף הנכון, ובזכות זה אני יודע ששם המשתמש הוא באמת dbo." זה ברור? ובכן, בואו נסתכל שוב על לשונית תוכנית IDS - ללא איומים! אני אומר לך, זה מוצר מדהים.
עכשיו בואו נעשה את הדבר המעניין הזה. בואו נסתכל על הערכים האלה. האם אחד גדול ממינוס אחד? ברור שיש עוד. אבל מה שיבוא אחר כך זה משהו שאני מאוד אוהב. זהו הביטוי "1 פחות מ-1".

שוב, אלו רק דרכים שונות לשאול את אותה שאלה. אם יש לך ילדים, אתה יודע כמה הם טובים בלשאל שאלות. "אפשר לקבל את העוגיות האלה? - לא אתה לא יכול! אולי אוכל לקבל את הצ'יפס האלה? - לא, בלי עוגיות! "אז אולי אוכל לקבל את האוראו האלה?" אני יודע את זה, עברתי את זה.

25:50 דקות

כנס HACKTIVITY 2012. The Big Bang Theory: The Evolution of Security Pentesting. חלק 2

כמה מודעות 🙂

תודה שנשארת איתנו. האם אתה אוהב את המאמרים שלנו? רוצים לראות עוד תוכן מעניין? תמכו בנו על ידי ביצוע הזמנה או המלצה לחברים, Cloud VPS למפתחים החל מ-$4.99, אנלוגי ייחודי של שרתים ברמת הכניסה, שהומצא על ידינו עבורכם: כל האמת על VPS (KVM) E5-2697 v3 (6 ליבות) 10GB DDR4 480GB SSD 1Gbps החל מ-$19 או איך לשתף שרת? (זמין עם RAID1 ו-RAID10, עד 24 ליבות ועד 40GB DDR4).

Dell R730xd זול פי 2 במרכז הנתונים Equinix Tier IV באמסטרדם? רק כאן 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV החל מ-$199 בהולנד! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - החל מ-$99! לקרוא על כיצד לבנות תשתיות קורפ. מחלקה עם שימוש בשרתי Dell R730xd E5-2650 v4 בשווי 9000 יורו עבור אגורה?

מקור: www.habr.com