HACKTIVITY Conference 2012. 빅뱅 이론: 보안 침투 테스트의 진화. 2 부

HACKTIVITY Conference 2012. 빅뱅 이론: 보안 침투 테스트의 진화. 1 부

이제 SQL을 주입하는 다른 방법을 시도해 보겠습니다. 데이터베이스가 오류 메시지를 계속 삭제하는지 살펴보겠습니다. 이 방법을 "지연 대기"라고 하며 지연 자체는 다음과 같이 작성됩니다. waitfor delay 00:00:01'. 파일에서 이것을 복사하여 브라우저의 주소 표시줄에 붙여넣습니다.

이 모든 것을 "일시적으로 블라인드 SQL 주입"이라고 합니다. 여기서 우리가 하는 일은 "10초만 기다리세요"라고 말하는 것뿐입니다. 아시다시피 왼쪽 상단에 "connecting ..."이라는 비문이 있습니다. 즉, 우리 페이지는 무엇을합니까? 연결을 기다리고 10초 후에 모니터에 올바른 페이지가 나타납니다. 이 트릭을 사용하면 데이터베이스에 몇 가지 추가 질문을 할 수 있도록 요청합니다. 예를 들어 사용자가 Joe인 경우 10초를 기다려야 합니다. 알았습니다? 사용자가 dbo인 경우에도 10초를 기다립니다. 이것은 Blind SQL 주입 방법입니다.

개발자가 패치를 만들 때 이 취약점을 수정하지 않는다고 생각합니다. 이것은 SQL 인젝션이지만 이전의 SQL 인젝션 방법과 같이 우리 IDS 프로그램에서도 볼 수 없습니다.
좀 더 흥미로운 것을 시도해 봅시다. 이 행을 IP 주소로 복사하여 브라우저에 붙여넣으십시오. 그것은 효과가 있었다! 우리 프로그램의 TCP 막대가 빨간색으로 바뀌었고 프로그램은 2개의 보안 위협을 지적했습니다.

좋아, 다음에 무슨 일이 있었는지 보자. XP 셸에 대한 위협이 하나 있고 또 다른 위협은 SQL 주입 시도입니다. 총 XNUMX번의 웹 애플리케이션 공격 시도가 있었습니다.

좋아요, 이제 논리를 도와주세요. IDS가 다양한 XP 셸 변조에 응답했다고 말하는 변조 데이터 패킷이 있습니다.

아래로 내려가면 HEX 코드 테이블이 표시되고 그 오른쪽에는 xp_cmdshell + &27ping 메시지가 있는 플래그가 있으며 분명히 이것은 좋지 않습니다.

여기서 무슨 일이 일어났는지 봅시다. SQL Server는 무엇을 했습니까?

SQL 서버는 "당신은 내 데이터베이스 암호를 알 수 있고 내 모든 데이터베이스 레코드를 얻을 수 있지만 임마, 나는 당신이 나에게 명령을 실행하는 것을 전혀 원하지 않습니다. 전혀 멋지지 않습니다"라고 말했습니다!

우리가 해야 할 일은 IDS가 XP 셸에 대한 위협을 보고하더라도 위협이 무시되도록 하는 것입니다. SQL Server 2005 또는 SQL Server 2008을 사용하는 경우 SQL 주입 시도가 감지되면 운영 체제 셸이 잠겨 작업을 계속할 수 없습니다. 매우 성가시다. 그래서 우리는 무엇을 해야 합니까? 서버에게 매우 다정하게 요청해야 합니다. "아빠, 이 과자 먹어도 될까요?"라고 말해야 할까요? 그게 내가하는 일입니다. 진지하게 서버에게 매우 정중하게 요청합니다! 더 많은 옵션을 요청하고 재구성을 요청하고 필요하기 때문에 셸을 사용할 수 있도록 XP 셸 설정을 변경하도록 요청합니다!

IDS가 이를 감지했음을 알 수 있습니다. 여기에 이미 3가지 위협이 기록되어 있습니다.

여기를 보세요 - 우리가 보안 로그를 폭파했습니다! 크리스마스 트리처럼 생겨서 이것저것 많이 걸려있어요! 무려 27가지 보안 위협! 만세 여러분, 우리는 이 해커를 잡았습니다, 우리는 그를 잡았습니다!

우리는 그가 우리 데이터를 훔칠까 봐 걱정하지 않지만 그가 우리 "상자"에서 시스템 명령을 실행할 수 있다면 이것은 이미 심각한 일입니다! Telnet 경로, FTP를 그릴 수 있고 내 데이터를 인계받을 수 있습니다. 멋지지만 걱정하지 않습니다. 단지 내 "상자"의 껍질을 인계받는 것을 원하지 않습니다.

저를 정말 사로잡은 것들에 대해 이야기하고 싶습니다. 나는 조직에서 일하고, 여러 해 동안 그 조직에서 일해 왔는데, 여자 친구가 내가 실업자라고 생각해서 이렇게 말씀드리는 것입니다. 그녀는 내가 하는 일이라고는 무대에 서서 수다 떠는 것뿐이라고 생각합니다. 이것은 일이라고 할 수 없습니다. 그러나 저는 "아니요, 기쁨입니다. 저는 컨설턴트입니다"라고 말합니다! 그것이 차이점입니다. 저는 제 마음을 말하고 그에 대한 대가를 받습니다.

해커로서 우리는 껍질을 깨는 것을 좋아하며 "껍질을 삼키는 것"보다 세상에서 더 큰 즐거움은 없습니다. IDS 분석가가 규칙을 작성할 때 쉘 해킹으로부터 보호하는 방식으로 규칙을 작성하는 것을 볼 수 있습니다. 그러나 CIO에게 데이터 추출 문제에 대해 이야기하면 두 가지 옵션에 대해 생각해 보라고 제안할 것입니다. 시간당 100개의 "조각"을 만드는 애플리케이션이 있다고 가정해 보겠습니다. 나에게 더 중요한 것은 이 애플리케이션의 모든 데이터 보안 또는 "박스" 셸의 보안을 보장하는 것입니까? 이것은 심각한 질문입니다! 무엇을 더 염려해야 합니까?

깨진 "상자" 셸이 있다고 해서 반드시 누군가가 응용 프로그램의 내부 작업에 액세스할 수 있다는 의미는 아닙니다. 예, 가능성이 높으며 아직 발생하지 않은 경우 곧 발생할 수 있습니다. 그러나 많은 보안 제품은 공격자가 네트워크를 로밍한다는 전제하에 구축됩니다. 그래서 그들은 명령 실행, 명령 주입에 주의를 기울이고 이것이 심각한 일이라는 점에 유의해야 합니다. 그들은 사소한 취약점, 매우 단순한 크로스 사이트 스크립팅, 매우 단순한 SQL 주입을 지적합니다. 그들은 복잡한 위협에 관심이 없고 암호화된 메시지에 관심이 없으며 그런 종류의 것에 관심이 없습니다. 모든 보안 제품은 소음을 찾고, "야핑"을 찾고, 발목을 물어뜯는 무언가를 멈추고 싶어한다고 말할 수 있습니다. 다음은 보안 제품을 다루면서 배운 내용입니다. 보안 제품을 구매할 필요도 없고 트럭을 후진할 필요도 없습니다. 기술을 이해하는 유능하고 숙련된 사람이 필요합니다. 예, 맙소사! 우리는 이러한 문제에 수백만 달러를 들이고 싶지 않지만, 많은 여러분이 이 분야에서 일해 보았고 상사가 광고를 보자마자 "이거 사야 해! "라고 외치며 가게로 달려간다는 것을 알고 있습니다. 그러나 우리는 그것이 정말로 필요하지 않습니다. 우리는 단지 우리 뒤에 있는 엉망진창을 고치면 됩니다. 그것이 이번 공연의 전제였다.

높은 보안 환경은 보호 메커니즘이 작동하는 규칙을 이해하기 위해 많은 시간을 투자한 것입니다. 보호 메커니즘을 이해하면 보호를 우회하는 것이 어렵지 않습니다. 예를 들어 자체 방화벽으로 보호되는 웹 애플리케이션이 있습니다. 설정 패널의 주소를 복사해서 브라우저의 주소창에 붙여넣고 설정에 들어가서 크로스 사이트 스크립팅을 적용해 봅니다.

결과적으로 위협에 대한 방화벽 메시지를 받았습니다. 차단되었습니다.

나는 그것이 나쁘다고 생각합니다. 동의합니까? 보안 제품을 마주하고 있습니다. 하지만 다음과 같이 시도하면 어떻게 될까요? 매개변수 Joe'+OR+1='1을 문자열에 넣습니다.

보시다시피 효과가 있었습니다. 내가 틀렸다면 정정하십시오. 하지만 SQL 주입이 애플리케이션 방화벽을 무력화시키는 것을 보았습니다. 이제 보안 회사를 시작하고 싶다고 가정해 봅시다. 소프트웨어 제작자의 모자를 쓰겠습니다. 이제 우리는 검은 모자이기 때문에 악을 구현합니다. 저는 컨설턴트이므로 소프트웨어 제작자와 함께 할 수 있습니다.

우리는 새로운 침입 탐지 시스템을 구축하고 배포하기를 원하므로 무단 변경 탐지 캠페인을 시작할 것입니다. 오픈 소스 제품인 Snort에는 수십만 개의 침입 위협 시그니처가 포함되어 있습니다. 우리는 윤리적으로 행동해야 하므로 다른 애플리케이션에서 이러한 서명을 훔쳐 시스템에 삽입하지 않습니다. 우리는 그냥 앉아서 그것들을 모두 다시 작성할 것입니다. 밥, 팀, 조, 이리 와서 100개의 모든 서명을 빠르게 실행하세요!

또한 취약성 스캐너를 만들어야 합니다. 자동 취약성 검색기인 Nessus에는 취약성을 확인하는 80개의 서명과 스크립트가 있습니다. 우리는 다시 윤리적으로 행동하고 프로그램에서 모든 것을 개인적으로 다시 작성할 것입니다.
사람들은 "Joe, Mod Security, Snort 등과 같은 오픈 소스 소프트웨어로 이 모든 테스트를 수행합니다. 다른 공급업체의 제품과 얼마나 유사한가요?"라고 묻습니다. 나는 그들에게 "전혀 닮지 않았어요!"라고 대답합니다. 공급업체는 오픈 소스 보안 제품에서 물건을 훔치지 않기 때문에 앉아서 이러한 모든 규칙을 직접 작성합니다.

오픈 소스 제품을 사용하지 않고 자신만의 서명과 공격 문자열을 만들 수 있다면 이것은 당신에게 좋은 기회입니다. 상용 제품과 경쟁할 수 없다면 올바른 방향으로 나아가서 해당 분야에서 알려질 수 있는 개념을 찾아야 합니다.

모두가 내가 술을 마신다는 것을 압니다. 내가 왜 술을 마시는지 보여드리겠습니다. 인생에서 소스 코드 감사를 해본 적이 있다면 확실히 취하게 될 것입니다. 저를 믿으세요. 그 후에 술을 마시기 시작할 것입니다.

그래서 우리가 가장 좋아하는 언어는 C++입니다. 이 프로그램을 살펴보겠습니다. Web Knight는 웹 서버용 방화벽 응용 프로그램입니다. 기본 예외가 있습니다. 흥미롭게도 이 방화벽을 배포하면 Outlook Web Access로부터 보호되지 않습니다.

아주 멋진! 그 이유는 많은 소프트웨어 공급업체가 일부 응용 프로그램에서 규칙을 추출하여 올바른 조사를 전혀 수행하지 않고 제품에 적용하기 때문입니다. 그래서 네트워크 방화벽 응용 프로그램을 배포할 때 웹 메일에 대한 모든 것이 잘못되었다고 생각합니다! 거의 모든 웹 메일이 기본 보안을 위반하기 때문입니다. 시스템 명령을 실행하고 LDAP 또는 웹에서 바로 다른 사용자 데이터베이스 저장소를 쿼리하는 웹 코드가 있습니다.

말해봐, 어떤 행성에서 그런 것이 안전하다고 여겨질 수 있니? 생각해 보십시오. Outlook Web Access를 열고, b ctrl+K를 누르고, 사용자를 조회하고, 웹에서 직접 Active Directory를 관리하고, "다람쥐 메일"이나 Horde 등을 사용하는 경우 Linux에서 시스템 명령을 실행합니다. 다른 것. 이러한 모든 평가 및 기타 유형의 안전하지 않은 기능을 제거하고 있습니다. 따라서 많은 방화벽이 보안 위협 목록에서 제외하므로 소프트웨어 제조업체에 이에 대해 문의하십시오.

Web Knight 애플리케이션으로 돌아가 보겠습니다. 이러한 모든 IP 주소 범위를 스캔하는 URL 스캐너에서 많은 보안 규칙을 훔쳤습니다. 그리고 이 모든 주소 범위는 내 제품에서 제외됩니까?

네트워크에 이 주소를 설치하고 싶은 사람이 있습니까? 이 주소에서 네트워크를 실행하시겠습니까? 예, 놀랍습니다. 이제 이 프로그램을 아래로 스크롤하여 이 방화벽이 원하지 않는 다른 작업을 살펴보겠습니다.

그들은 "1999"라고 불리며 웹 서버가 과거에 있기를 원합니다! /scripts, /iishelp, msads라는 쓰레기를 기억하는 사람이 있습니까? 아마도 몇몇 사람들은 그런 것들을 해킹하는 것이 얼마나 즐거웠는지 향수를 느끼며 기억할 것입니다. "기억해, 우리가 얼마나 오래 전에 서버를 "죽였는지", 멋졌어!"

이제 이러한 예외를 살펴보면 msad, 프린터, iisadmpwd와 같은 오늘날 아무도 필요로 하지 않는 모든 작업을 수행할 수 있음을 알 수 있습니다. 실행할 수 없는 명령은 어떻게 됩니까?

이들은 arp, at, cacls, chkdsk, cipher, cmd, com입니다. 그것들을 열거할 때, 당신은 "야, 우리가 그 서버를 어떻게 인수했는지 기억해, 그 시절을 기억해"라는 옛날의 기억에 압도당합니까?

그러나 여기 정말 흥미로운 점이 있습니다. 여기에서 WMIC 또는 PowerShell을 볼 수 있는 사람이 있습니까? Windows Server 2008을 실행하고 싶기 때문에 로컬 시스템에서 스크립트를 실행하여 작동하는 새 응용 프로그램이 있다고 상상해 보십시오. 2000. 다음 번에 벤더가 웹 애플리케이션을 가지고 여러분을 찾아올 때 이렇게 물어보십시오. 새 버전의 DotNET을 업데이트하고 사용하려면"? 그러나 이 모든 것은 기본적으로 보안 제품에 있어야 합니다!

다음으로 이야기하고 싶은 것은 논리적 오류입니다. 192.168.2.6으로 가보겠습니다. 이것은 이전 응용 프로그램과 거의 동일한 응용 프로그램입니다.

페이지를 아래로 스크롤하여 문의하기 링크를 클릭하면 흥미로운 점을 발견할 수 있습니다.

제가 늘 하는 침투 테스트 방법 중 하나인 "문의하기" 탭의 소스 코드를 보면 이 줄이 눈에 띕니다.

생각해보세요! 나는 이것을보고 많은 사람들이 "와우"라고 말했다는 것을 들었습니다! 예를 들어 억만장자 은행에 대한 침투 테스트를 한 적이 있는데 그곳에서 비슷한 것을 발견했습니다. 따라서 우리는 SQL 인젝션이나 교차 사이트 스크립팅이 필요하지 않습니다. 중요한 것은 바로 이 주소 표시줄입니다.

따라서 과장하지 않고 은행은 네트워크 전문가와 웹 검사관이 모두 있다고 말했지만 아무런 언급도하지 않았습니다. 즉, 그들은 브라우저를 통해 텍스트 파일을 열고 읽을 수 있는 것이 정상이라고 생각했습니다.

즉, 파일 시스템에서 직접 파일을 읽을 수 있습니다. 보안 팀의 책임자는 "예, 스캐너 중 하나가 이 취약점을 발견했지만 사소한 것으로 간주했습니다."라고 말했습니다. 나는 대답했다. 알았어, 잠깐만. 주소 표시줄에 filename=../../../../boot.ini를 입력했고 파일 시스템 부팅 파일을 읽을 수 있었습니다!

이것에 대해 그들은 "아니요, 아니오, 이것은 중요한 파일이 아닙니다"라고 말했습니다! 나는 대답했지만 Server 2008이 아닌가? 그들은 예, 그 사람이라고 말했습니다. 하지만 이 서버에는 서버의 루트 디렉토리에 구성 파일이 있습니다. 맞습니까? "맞아요." 그들이 대답합니다. "좋습니다. 공격자가 이렇게 하면 어떻게 될까요?"라고 말하고 주소 표시줄에 filename=web.config를 입력합니다. 그들은 말합니다-그래서 모니터에 아무것도 보이지 않습니까?

모니터를 마우스 오른쪽 버튼으로 클릭하고 "페이지 코드 표시" 옵션을 선택하면 어떻게 됩니까? 여기서 무엇을 찾을 수 있습니까? "아무것도 중요하지 않다"? 서버 관리자 비밀번호를 볼게요!

그리고 당신은 여기에 문제가 없다고 말합니까?

하지만 내가 가장 좋아하는 부분은 다음 부분입니다. 상자에서 명령을 실행할 수는 없지만 웹 서버의 관리자 암호와 데이터베이스를 훔치고, 전체 데이터베이스를 살펴보고, 모든 데이터베이스와 시스템 오류 항목을 추출하고, 모든 것을 가지고 떠날 수 있습니다. 나쁜 놈이 "이봐, 오늘은 좋은 날이야"라고 말하는 경우입니다!

안전 제품이 질병이 되지 않도록 하십시오! 보안 제품이 당신을 아프게 하지 마십시오! 괴짜를 찾아 그들에게 모든 Star Trek 기념품을 주고 관심을 갖게 하고 당신과 함께 머물도록 격려하세요. 이들은 보안 제품이 제대로 작동하도록 도와줄 사람들입니다.

"오,이 대본을 급히 인쇄해야합니다! "라고 끊임없이 말하는 사람과 같은 방에 오랫동안 머물 수있는 사람이 몇 명인지 말씀해주십시오. 하지만 보안 제품을 작동시키는 사람이 필요합니다.

거듭 말하지만, 보안 제품은 조명이 항상 잘못되기 때문에 바보입니다. 그들은 끊임없이 엉뚱한 일을 하고 보안을 제공하지 않습니다. 어느 정도 정상적으로 작동하는 데 필요한 부분을 조정하기 위해 드라이버가 있는 사람이 필요하지 않은 우수한 보안 제품을 본 적이 없습니다. 그것은 나쁘다는 규칙의 거대한 목록 일뿐입니다. 그게 다입니다!

보안 문제에 대한 많은 무료 온라인 과정이 있기 때문에 여러분이 교육, 보안, 폴리테크닉과 같은 것에 관심을 갖기를 바랍니다. Python을 배우고, 어셈블리를 배우고, 웹 애플리케이션 테스트를 배웁니다.

다음은 네트워크 보안에 실제로 도움이 되는 사항입니다. 똑똑한 사람은 네트워크를 보호하지만 네트워크 제품은 보호하지 않습니다! 직장으로 돌아가서 상사에게 더 똑똑한 사람들을 위해 더 많은 예산이 필요하다고 말하세요. 지금이 위기라는 것을 알지만 어쨌든 사람들이 그들을 교육할 수 있도록 더 많은 돈이 필요하다고 그에게 말하세요. 우리가 제품을 구입하지만 비싸기 때문에 사용 방법에 대한 과정을 구입하지 않는다면 사람들에게 사용 방법을 가르치지 않을 것이라면 왜 구입합니까?

저는 많은 보안 제품 공급업체에서 일했고 거의 평생을 이러한 제품을 구현하는 데 보냈으며 이 모든 쓰레기 제품을 설치하고 실행했기 때문에 이러한 모든 네트워크 액세스 제어 및 기타 항목에 지쳤습니다. 어느 날 고객에게 갔더니 EAP 프로토콜에 802.1x 표준을 구현하기를 원했기 때문에 MAC 주소와 각 포트에 대한 보조 주소가 있었습니다. 나는 와서 그것이 나쁘다는 것을 알고 돌아 서서 프린터의 버튼을 누르기 시작했습니다. 프린터는 모든 MAC 주소와 IP 주소가 포함된 네트워크 장비 테스트 페이지를 인쇄할 수 있습니다. 그러나 프린터가 802.1x 표준을 지원하지 않는 것으로 밝혀져 제외되어야 합니다.

그런 다음 프린터의 플러그를 뽑고 랩톱의 MAC 주소를 프린터의 MAC 주소로 변경하고 랩톱을 연결하여 이 값비싼 MAC 솔루션을 우회했습니다. 생각해 보십시오! 그렇다면 어떤 장비든 단순히 프린터나 VoIP 전화처럼 사용할 수 있다면 이 MAC 솔루션이 나에게 무슨 소용이 있겠습니까?

그래서 오늘날 제게 침투 테스트는 고객이 구매한 보안 제품을 이해하고 이해하기 위해 시간을 보내는 것입니다. 이제 내가 침투 테스트를 수행하는 모든 은행에는 이러한 모든 HIPS, NIPS, LAUGTHS, MACS 및 기타 약어가 있습니다. 하지만 저는 이 제품들이 무엇을 하려고 하는지, 어떻게 하려고 하는지 알아내려고 노력하고 있습니다. 그런 다음 그들이 보호를 제공하기 위해 어떤 방법론과 논리를 사용하는지 파악하면 우회하는 것이 전혀 어렵지 않습니다.

제가 가장 좋아하는 제품은 MS 1103입니다. 이것은 HIPS, Host Intrusion Prevention Signature 또는 Host Intrusion Prevention Signatures를 분사하는 브라우저 기반 익스플로잇입니다. 실제로 HIPS 서명을 우회하기 위한 것입니다. 시연하는 데 시간을 할애하고 싶지 않기 때문에 어떻게 작동하는지 보여주고 싶지는 않지만 이 보호 기능을 우회하는 훌륭한 작업을 수행하므로 여러분이 이 기능을 채택하기를 바랍니다.
알았어 얘들아 나 지금 갈게

일부 광고 🙂

우리와 함께있어 주셔서 감사합니다. 우리 기사가 마음에 드십니까? 더 재미있는 콘텐츠를 보고 싶다면? 주문하거나 친구에게 추천하여 우리를 지원하십시오. $4.99부터 시작하는 개발자용 클라우드 VPS, 귀하를 위해 우리가 발명한 고유한 보급형 서버 아날로그: VPS(KVM) E5-2697 v3(6코어) 10GB DDR4 480GB SSD 1Gbps에 대한 전체 진실 또는 서버 공유 방법은? (RAID1 및 RAID10에서 사용 가능, 최대 24개 코어 및 최대 40GB DDR4).

Dell R730xd는 암스테르담의 Equinix Tier IV 데이터 센터에서 2배 더 저렴합니까? 여기서 만 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV $199부터 네덜란드에서! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 최저 $99! 에 대해 읽다 인프라 공사를 구축하는 방법. 730페니에 5유로 상당의 Dell R2650xd E4-9000 vXNUMX 서버를 사용하는 클래스?

출처 : habr.com