HACKTIVITY カンファレンス 2012。ビッグバン セオリー: セキュリティ侵入テストの進化。 パート2

HACKTIVITY カンファレンス 2012。ビッグバン セオリー: セキュリティ侵入テストの進化。 パート1

ここで、別の方法で SQL を注入してみます。 データベースがエラー メッセージをドロップし続けるかどうかを確認してみましょう。 この方法は「遅延待ち」と呼ばれ、遅延自体は次のように記述されます: waitfor遅延 00:00:01'。 これをファイルからコピーし、ブラウザのアドレス バーに貼り付けます。

これはすべて「一時的なブラインド SQL インジェクション」と呼ばれます。 ここでやっていることは、「10 秒待ってください」と言っているだけです。 お気づきかと思いますが、左上に「接続中...」という碑文があります。つまり、このページは何をするのでしょうか? 接続を待機し、10 秒後に正しいページがモニターに表示されます。 このトリックを使用すると、さらにいくつかの質問をできるようにデータベースに要求します。たとえば、ユーザーが Joe の場合、10 秒待つ必要があります。 それは明らかだ？ ユーザーが dbo の場合も、10 秒待ちます。 これはブラインド SQL インジェクション手法です。

開発者はパッチを作成するときにこの脆弱性を修正していないと思います。 これは SQL インジェクションですが、以前の SQL インジェクション方法のように、IDS プログラムでもこれを認識しません。
もっと面白いことを試してみましょう。 IP アドレスを含むこの行をコピーし、ブラウザに貼り付けます。 出来た！ プログラムの TCP バーが赤になり、プログラムは 2 つのセキュリティ上の脅威を示しました。

さて、次に何が起こったのか見てみましょう。 XP シェルに対する脅威が XNUMX つあり、もう XNUMX つの脅威は SQL インジェクションの試行です。 Web アプリケーションに対する攻撃の試みは合計 XNUMX 回ありました。

さて、ロジックを手伝ってください。 改ざんデータ パケットがあり、IDS はさまざまな XP シェルの改ざんに対応したと述べています。

下に進むと、27 進数コードの表が表示され、その右側には xp_cmdshell + &XNUMXping というメッセージのフラグがあり、これは明らかに問題です。

ここで何が起こったのか見てみましょう。 SQL Server は何をしましたか?

SQL サーバーは、「あなたは私のデータベースのパスワードを知ることができますし、私のデータベースのレコードをすべて取得することもできますが、おい、私に対してコマンドを実行することはまったく望んでいません。それはまったくクールではありません。」と言いました。

私たちがしなければならないことは、たとえ IDS が XP シェルに脅威を報告したとしても、その脅威が無視されるようにすることです。 SQL Server 2005 または SQL Server 2008 を使用している場合、SQL インジェクションの試みが検出されると、オペレーティング システムのシェルがロックされ、作業を続行できなくなります。 とても迷惑です。 それで、私たちは何をすべきでしょうか？ サーバーに愛情を込めて尋ねてみてください。 「お願い、パパ、このクッキーを食べてもいいですか？」のようなことを言うべきでしょうか？ それが私がやっていることであり、真剣に、サーバーに非常に丁寧に尋ねます。 より多くのオプションを要求し、再構成を要求し、必要なためシェルを使用できるようにするために XP シェル設定の変更を要求しています。

IDS がこれを検出したことがわかります。ここではすでに 3 つの脅威が指摘されています。

ここを見てください - セキュリティログを爆破しました! たくさんのものが飾られていて、クリスマスツリーみたいですね！ セキュリティ上の脅威は 27 個もあります。 万々歳、このハッカーを捕まえました、捕まえました！

私たちは彼が私たちのデータを盗むことを心配していませんが、彼が私たちの「ボックス」でシステムコマンドを実行できる場合、これはすでに深刻です。 Telnet ルートや FTP を引くこともでき、私のデータを引き継ぐこともできます。それは素晴らしいことですが、それについては心配していません。ただ、あなたに私の「ボックス」のシェルを引き継いでほしくないのです。

本当に気になったことについて話したいと思います。 私は組織で働いており、長年組織のために働いていますが、ガールフレンドが私が失業していると思っているので、これを言います。 彼女は、私がステージに立っておしゃべりしているだけで、これは仕事とは言えないと考えています。 しかし、私はこう言います。「いいえ、本当にうれしいです。私はコンサルタントです。」 それが違いです。私は自分の意見を発言し、その対価としてお金を受け取ります。

こう言わせてください。私たちハッカーは殻を破るのが大好きで、この世で「殻を飲み込む」こと以上の喜びはありません。 IDS アナリストがルールを作成するとき、シェル ハッキングから保護する方法でルールを作成していることがわかります。 しかし、データ抽出の問題について CIO に相談すると、100 つの選択肢について考えるように勧められるでしょう。 XNUMX 時間あたり XNUMX 個の「個」を作成するアプリケーションがあるとします。 私にとって、このアプリケーション内のすべてのデータのセキュリティを確保することと、「ボックス」シェルのセキュリティを確保することのどちらがより重要ですか? これは深刻な質問です! もっと心配すべきことは何でしょうか？

「ボックス」シェルが壊れているからといって、誰かがアプリケーションの内部動作にアクセスしたことを必ずしも意味するわけではありません。 はい、その可能性は十分にあります。まだ起こっていないとしても、すぐにそうなる可能性があります。 ただし、多くのセキュリティ製品は、攻撃者がネットワークを徘徊することを前提に構築されていることに注意してください。 したがって、彼らはコマンドの実行やコマンドの注入に注意を払っていますが、これは重大なことであることに注意する必要があります。 彼らは、些細な脆弱性、非常に単純なクロスサイト スクリプティング、非常に単純な SQL インジェクションを指摘しています。 彼らは複雑な脅威や暗号化されたメッセージなどには関心がありません。 すべてのセキュリティ製品は、騒音を探している、「ガヤガヤ」という音を探している、足首に何かが噛み付くのを止めたいと思っていると言えます。 セキュリティ製品を扱うときに私が学んだことは次のとおりです。 セキュリティ製品を購入する必要も、トラックをバック運転する必要もありません。 テクノロジーを理解した有能で熟練した人材が必要です。 はい、神様、皆さん！ 私たちはこれらの問題に何百万ドルも注ぎ込みたくありませんが、この分野で働いたことがある人は多く、上司が広告を見るとすぐに「これを手に入れなければ！」と叫びながら店に駆け込むことを知っています。 しかし、実際にはそれは必要ありません。私たちの背後にある混乱を解決する必要があるだけです。 それが今回の公演の前提でした。

高度なセキュリティ環境は、保護メカニズムがどのように機能するかのルールを理解するために多くの時間を費やしました。 保護のメカニズムを理解すれば、保護を回避することは難しくありません。 たとえば、独自のファイアウォールで保護されている Web アプリケーションがあります。 設定パネルのアドレスをコピーしてブラウザのアドレス バーに貼り付け、設定に移動してクロスサイト スクリプティングを適用してみます。

その結果、脅威に関するファイアウォール メッセージを受け取りました - ブロックされました。

それはまずいと思いますが、同意しますか？ あなたはセキュリティ製品に直面しています。 しかし、次のようなことを試してみたらどうでしょうか: パラメータ Joe'+OR+1='1 を文字列に入れます

ご覧のとおり、うまくいきました。 間違っている場合は訂正してください。ただし、SQL インジェクションがアプリケーション ファイアウォールを破るのを見てきました。 ここで、セキュリティ会社を設立したいと考えて、ソフトウェア メーカーの帽子をかぶってみましょう。 今、私たちは悪を体現しています。それは黒い帽子だからです。 私はコンサルタントなので、ソフトウェア制作者と協力して行うことができます。

新しい侵入検知システムを構築して展開したいので、改ざん検知キャンペーンを開始します。 Snort はオープン ソース製品として、数十万の侵入脅威のシグネチャを含んでいます。 私たちは倫理的に行動する必要があるため、これらの署名を他のアプリケーションから盗んでシステムに挿入することはありません。 私たちはただ座って、それらをすべて書き直すつもりです - おい、ボブ、ティム、ジョー、こっちに来て、これら 100 の署名をすべてざっと調べてみましょう。

脆弱性スキャナーも作成する必要があります。 自動脆弱性検索ツールである Nessus には、脆弱性をチェックする 80 件もの署名とスクリプトがあることはご存知でしょう。 私たちは再び倫理的に行動し、プログラム内のすべてを個人的に書き直します。
「ジョー、あなたはこれらすべてのテストを Mod Security や Snort などのオープン ソース ソフトウェアで行っていますが、他のベンダーの製品とどれくらい似ていますか?」と人々は私に尋ねます。 私は彼らにこう答えます。「全然似てないよ！」 ベンダーはオープンソースのセキュリティ製品から何かを盗むことはないので、これらすべてのルールを自分たちで作成します。

オープンソース製品を使用せずに独自のシグネチャと攻撃文字列を機能させることができれば、これは大きなチャンスとなります。 正しい方向に進んで商用製品と競争できない場合は、自分の分野での知名度を高めるのに役立つコンセプトを見つける必要があります。

私が酒を飲んでいることは誰もが知っています。 私がお酒を飲む理由を教えてください。 人生でソースコード監査を行ったことがある人なら、間違いなく酔っ払うでしょう、信じてください、その後は飲み始めるでしょう。

したがって、私たちのお気に入りの言語は C++ です。 このプログラムを見てみましょう - Web Knight は Web サーバー用のファイアウォール アプリケーションです。 デフォルトの例外があります。 興味深いことに、このファイアウォールを展開しても、Outlook Web Access からは保護されません。

素晴らしい！ それは、多くのソフトウェア ベンダーが適切な調査を十分に行わずに、一部のアプリケーションからルールを引き出して自社の製品に組み込んでいるからです。 したがって、ネットワーク ファイアウォール アプリケーションを導入するとき、Web メールに関するすべてのことが間違っていると思います。 ほとんどすべての Web メールがデフォルトのセキュリティに違反しているためです。 システム コマンドを実行し、Web 上で LDAP またはその他のユーザー データベース ストアにクエリを実行する Web コードがあります。

教えてください、どの惑星でそのようなものが安全であると考えられるでしょうか? 考えてみてください。Outlook Web Access を開いて、b Ctrl+K を押し、ユーザーなどを検索し、Active Directory を Web から直接管理し、「squirrel mail」や Horde などを使用している場合は Linux 上でシステム コマンドを実行します。何か他のもの。 これらの eval やその他の種類の安全でない機能をすべて取り出すことになります。 したがって、多くのファイアウォールはセキュリティ脅威のリストからこれらを除外しています。これについてはソフトウェアの製造元に問い合わせてみてください。

Web Knight アプリケーションに戻りましょう。 これらすべての IP アドレス範囲をスキャンする URL スキャナーから多くのセキュリティ ルールを盗みました。 そして、これらすべてのアドレス範囲が私の製品から除外されているのですか?

これらのアドレスをネットワークにインストールしたい人はいますか? ネットワークをこれらのアドレスで実行しますか? はい、すごいですね。 さて、このプログラムを下にスクロールして、このファイアウォールが実行したくないその他のことを見てみましょう。

彼らは「1999」と呼ばれ、Web サーバーを過去のものにしたいと考えています。 /scripts、/iishelp、msads というくだらないことを覚えている人はいますか? おそらく、そのようなものをハッキングすることがどれほど楽しかったかを懐かしく思い出す人もいるでしょう。 「覚えておいてください、私たちがどれだけ前にサーバーを「殺した」か、それはクールでした！」。

さて、これらの例外を見ると、msads、プリンター、iisadmpwd など、今日では誰も必要としないこれらすべてのことを実行できることがわかります。 実行が許可されていないコマンドについてはどうすればよいでしょうか?

これらは、arp、at、cacls、chkdsk、cipher、cmd、com です。 それらを列挙すると、「おい、あのサーバーをどのように乗っ取ったか覚えているだろう、あの頃のことを覚えているだろう」と昔の思い出に圧倒されますか?

しかし、ここが本当に興味深い点です。ここで WMIC を見た人、あるいは PowerShell を見た人はいますか? ローカル システム上でスクリプトを実行することによって機能する新しいアプリケーションがあると想像してください。Windows Server 2008 を実行したいので、これらは最新のスクリプトです。Windows 用に設計されたルールでそれを保護するという素晴らしい仕事をするつもりです。次回、ベンダーが Web アプリケーションを持ってあなたのところに来たときは、「管理ビットや PowerShell コマンドの実行などについては用意しましたか、他のすべてのことは確認しましたか。 DotNET の新しいバージョンを更新して使用しますか? しかし、これらすべてはデフォルトでセキュリティ製品に含まれているはずです。

次にお話したいのは、論理的誤りについてです。 192.168.2.6 に行きましょう。 これは前のものとほぼ同じアプリケーションです。

ページを下にスクロールして [お問い合わせ] リンクをクリックすると、興味深いことに気づくかもしれません。

私がいつも行っている侵入テスト方法の XNUMX つである「お問い合わせ」タブのソース コードを見ると、次の行があることに気づくでしょう。

考えてみてください！ これを見た多くの人が「すごい！」と言ったと聞いています。 私はかつて、たとえば億万長者の銀行の侵入テストを行ったことがありますが、そこでも同様のことに気づきました。 したがって、SQL インジェクションやクロスサイト スクリプティングは必要ありません。重要なのはこのアドレス バーです。

つまり、誇張することなく、銀行はネットワーク専門家とウェブ検査官の両方を持っていると私たちに言いましたが、彼らは何も発言しませんでした。 つまり、ブラウザを通じてテキスト ファイルを開いて読むことができるのが正常であると考えられていました。

つまり、ファイル システムから直接ファイルを読み取ることができます。 同社のセキュリティ チームの責任者は私に、「はい、スキャナーの XNUMX つがこの脆弱性を発見しましたが、軽微なものだと考えました。」と言いました。 それに対して私は、「分かった、ちょっと待って」と答えました。 アドレスバーに filename=../../../../boot.ini と入力すると、ファイル システムのブート ファイルを読み取ることができました。

これに対して彼らは、「いいえ、いいえ、いいえ、これらは重要なファイルではありません」と言いました。 私は答えましたが、それは Server 2008 ですよね? 彼らは「はい、彼です」と言いました。 私は言いますが、このサーバーにはサーバーのルート ディレクトリに設定ファイルがありますよね? 「そうです」と彼らは答えます。 「すごいね」「攻撃者がこれをやったらどうなるだろう」と私は言い、アドレス バーに filename=web.config と入力しました。 彼らはこう言います - それで、モニターに何も映らないのですか？

モニターを右クリックして「ページコードを表示」オプションを選択したらどうなるでしょうか? そしてここで何が見つかるでしょうか？ 「重要なことは何もない」？ サーバー管理者のパスワードが表示されます。

それで、ここには問題がないと言うのですか？

しかし、私のお気に入りの部分は次の部分です。 ボックス内でコマンドを実行させることはできませんが、Web サーバーの管理者パスワードとデータベースを盗み、データベース全体を調べ、データベースとシステム障害に関するものをすべて取り除き、すべてを持ち帰ることはできます。 これは、悪者が「やあ、今日は素晴らしい日だ」と言った場合です。

安全製品が病気にならないようにしてください。 セキュリティ製品で病気にならないようにしましょう。 何人かのオタクを見つけて、スタートレックの記念品をすべて渡し、興味を持ってもらい、一緒にいてくれるように勧めましょう。なぜなら、毎日シャワーを浴びないオタク臭い奴らこそが、あなたのネットワークを次のように機能させる人たちだからです。 これらの人々は、セキュリティ製品が適切に機能するよう支援します。

教えてください。「ああ、このスクリプトを急いで印刷する必要がある!」と常に言う人と、同じ部屋に長い間滞在できる人がいますか。また、常にその作業で忙しい人は誰ですか? しかし、セキュリティ製品を機能させるには人材が必要です。

繰り返しになりますが、セキュリティ製品は愚かです。なぜなら、ライトはいつも間違っていて、常にひどいことをしているだけで、セキュリティを提供していないだけです。 多かれ少なかれ正常に動作させるために必要な箇所をドライバーで微調整する必要がない、優れたセキュリティ製品を私は見たことがありません。 それは悪いことであるという膨大なルールのリストにすぎません。それだけです。

皆さん、セキュリティやポリテクニックなどの教育に注目してほしいのです。セキュリティ問題に関する無料のオンライン コースがたくさんあるからです。 Python を学び、アセンブリを学び、Web アプリケーションのテストを学びます。

ネットワークを保護するのに本当に役立つものは次のとおりです。 賢い人はネットワークを守りますが、ネットワーク製品は守りません。 仕事に戻って、もっと賢い人材のためにもっと予算が必要だと上司に伝えてください。今が危機であることはわかっていますが、とにかく人々を教育するためにもっとお金が必要だと伝えてください。 製品を購入しても、その製品が高価であるという理由でその使用方法のコースを購入しない場合、製品の使用方法を人々に教えるつもりがないのであれば、そもそもなぜ製品を購入するのでしょうか?

私は多くのセキュリティ製品ベンダーで働いており、人生のほぼすべてをこれらの製品の実装に費やしてきましたが、くだらない製品をすべてインストールして実行してきたため、ネットワーク アクセス制御などにうんざりしています。 ある日、クライアントのところへ行くと、クライアントは EAP プロトコルに 802.1x 標準を実装したいと考えていたため、ポートごとに MAC アドレスとセカンダリ アドレスが必要でした。 私は来て、それが悪いことに気づき、振り返ってプリンターのボタンを押し始めました。 ご存知のとおり、プリンタはすべての MAC アドレスと IP アドレスを含むネットワーク機器テスト ページを印刷できます。 しかし、プリンターが 802.1x 標準をサポートしていないことが判明したため、除外する必要があります。

次に、プリンターのプラグを抜き、ラップトップの MAC アドレスをプリンターの MAC アドレスに変更してラップトップを接続し、この高価な MAC ソリューションをバイパスしました。考えてみてください。 では、人があらゆる機器を単にプリンタや VoIP 電話として偽装できるとしたら、この MAC ソリューションは私にとって何の役に立つでしょうか?

したがって、今日の私にとって侵入テストとは、クライアントが購入したセキュリティ製品を理解するために時間を費やすことです。 現在、私がペネトレーションテストを行っている銀行には、HIPS、NIPS、LAUGTHS、MACS、その他のひどい頭字語がたくさんあります。 しかし、私はこれらの製品が何をしようとしているのか、そしてどのようにそれをしようとしているのかを理解しようとしています。 そして、彼らが保護を提供するためにどのような方法論とロジックを使用しているかを理解すれば、それを回避することはまったく難しくありません。

私のお気に入りの製品は、このままにしておきますが、MS 1103 と呼ばれます。これは、HIPS、ホスト侵入防御シグネチャ、またはホスト侵入防御シグネチャをスプレーするブラウザベースのエクスプロイトです。 実際、これは HIPS 署名をバイパスすることを目的としています。 実演するのに時間がかかりたくないので、どのように機能するかは示しませんが、この保護を回避するのに非常に優れた機能を備えているので、ぜひ採用していただきたいと思います。
オーケー、みんな、もう出発するよ。

いくつかの広告 🙂

いつもご宿泊いただきありがとうございます。 私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 開発者向けのクラウド VPS は 4.99 ドルから, 当社があなたのために発明した、エントリーレベルのサーバーのユニークな類似物です。 VPS (KVM) E5-2697 v3 (6 コア) 10GB DDR4 480GB SSD 1Gbps 19 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

アムステルダムのエクイニクス Tier IV データセンターでは Dell R730xd が 2 倍安い? ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルから オランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読む インフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com