Dabar bandysime kitą būdą įterpti SQL. Pažiūrėkime, ar duomenų bazėje nuolat rodomi klaidų pranešimai. Šis metodas vadinamas „laukimas delsos“, o pats uždelsimas rašomas taip: waitfor delay 00:00:01'. Nukopijuoju tai iš mūsų failo ir įklijuoju į savo naršyklės adreso juostą.
Visa tai vadinama „aklu SQL įpurškimu laikinai“. Viskas, ką mes čia darome, yra „palaukite 10 sekundžių“. Jei pastebėsite, viršuje kairėje yra užrašas „jungiantis ...“, tai yra, ką veikia mūsų puslapis? Jis laukia ryšio ir po 10 sekundžių jūsų monitoriuje pasirodys tinkamas puslapis. Naudodamiesi šiuo triuku, mes prašome duomenų bazės leisti jai užduoti dar kelis klausimus, pavyzdžiui, jei vartotojas yra Joe, reikia palaukti 10 sekundžių. Tai aišku? Jei vartotojas yra dbo, taip pat palaukite 10 sekundžių. Tai yra aklo SQL įpurškimo metodas.
Manau, kad kurdami pataisas kūrėjai nepataiso šios spragos. Tai yra SQL įterpimas, bet mūsų IDS programa taip pat nemato, kaip ir ankstesni SQL injekcijos metodai.
Pabandykime ką nors įdomesnio. Nukopijuokite šią eilutę su IP adresu ir įklijuokite ją į naršyklę. Pavyko! TCP juosta mūsų programoje tapo raudona, programa pažymėjo 2 saugumo grėsmes.
Gerai, pažiūrėkime, kas nutiko toliau. Mes turime vieną grėsmę XP apvalkalui, o kita grėsmė yra SQL injekcijos bandymas. Iš viso buvo du bandymai atakuoti žiniatinklio programą.
Gerai, dabar padėk man su logika. Turime klastojimo duomenų paketą, kuriame IDS sako, kad sureagavo į įvairius XP apvalkalo klastojimus.
Jei nusileisime žemyn, pamatysime HEX kodų lentelę, kurios dešinėje yra vėliavėlė su pranešimu xp_cmdshell + &27ping, ir akivaizdu, kad tai yra blogai.
Pažiūrėkime, kas čia atsitiko. Ką padarė SQL serveris?
SQL serveris pasakė: „Jūs galite turėti mano duomenų bazės slaptažodį, galite gauti visus mano duomenų bazės įrašus, bet, bičiuli, aš visai nenoriu, kad man paleistumėte savo komandas, tai visai nepuiku“!
Ką turime padaryti, tai užtikrinti, kad net jei IDS praneštų apie grėsmę XP apvalkalui, grėsmė būtų ignoruojama. Jei naudojate SQL Server 2005 arba SQL Server 2008, aptikus SQL įterpimo bandymą, operacinės sistemos apvalkalas bus užrakintas, o tai neleis jums tęsti darbo. Tai labai erzina. Taigi ką mums daryti? Turėtumėte pabandyti paklausti serverio labai meiliai. Ar turėčiau pasakyti kažką panašaus į „prašau, tėti, ar galiu turėti šių sausainių“? Taip ir darau, rimtai, labai mandagiai prašau serverio! Aš prašau daugiau parinkčių, prašau perkonfigūruoti ir prašau pakeisti XP apvalkalo nustatymus, kad apvalkalas būtų prieinamas, nes man jo reikia!
Matome, kad IDS tai aptiko – matote, čia jau buvo pastebėtos 3 grėsmės.
Tik pažiūrėkite čia – susprogdinome saugos žurnalus! Atrodo kaip eglutė, čia tiek daug dalykų pakabinta! Net 27 grėsmės saugumui! Sveiki, vaikinai, mes pagavome šį įsilaužėlį, mes jį pagavome!
Nesijaudiname, kad jis pavogs mūsų duomenis, bet jei jis gali vykdyti sistemos komandas mūsų „dėžutėje“ – tai jau rimta! Galite nubraižyti Telnet maršrutą, FTP, galite perimti mano duomenis, tai puiku, bet aš dėl to nesijaudinu, tiesiog nenoriu, kad jūs perimtumėte mano „dėžutės“ apvalkalą.
Noriu pakalbėti apie dalykus, kurie mane tikrai patraukė. Aš dirbu organizacijose, dirbu jose daug metų ir tai sakau, nes mano mergina mano, kad esu bedarbė. Ji mano, kad aš tik stoviu ant scenos ir šnekučiuosiu, to negalima laikyti darbu. Bet aš sakau: „ne, mano džiaugsmas, aš esu konsultantas“! Toks ir skirtumas – aš sakau savo nuomonę ir už tai gaunu atlyginimą.
Leiskite pasakyti taip – mes, kaip programišiai, mėgstame nulaužti apvalkalą, o mums pasaulyje nėra didesnio malonumo, kaip „praryti apvalkalą“. Kai IDS analitikai rašo savo taisykles, matote, kad jie jas rašo taip, kad apsaugotų nuo apvalkalo įsilaužimo. Bet jei kalbėsite su CIO apie duomenų išgavimo problemą, jis pasiūlys pagalvoti apie dvi galimybes. Tarkime, turiu programą, kuri pagamina 100 „gabalų“ per valandą. Kas man svarbiau – užtikrinti visų duomenų saugumą šioje programoje ar „dėžutės“ apvalkalo saugumą? Tai rimtas klausimas! Dėl ko reikėtų labiau susirūpinti?
Vien todėl, kad sugedo „dėžutės“ apvalkalas, nebūtinai reiškia, kad kažkas gavo prieigą prie vidinių programų veikimo. Taip, tai daugiau nei tikėtina, o jei dar neįvyko, tai gali greitai. Tačiau atminkite, kad daugelis saugos produktų yra sukurti remiantis prielaida, kad užpuolikas klaidžioja jūsų tinkle. Taigi jie atkreipia dėmesį į komandų vykdymą, į komandų suleidimą, ir jūs turėtumėte atkreipti dėmesį, kad tai yra rimtas dalykas. Jie nurodo nereikšmingus pažeidžiamumus, labai paprastą scenarijų sudarymą tarp svetainių, labai paprastas SQL injekcijas. Jiems nerūpi sudėtingos grėsmės, nerūpi užšifruoti pranešimai, jiems nerūpi tokie dalykai. Galima sakyti, kad visi saugumo produktai ieško triukšmo, ieško „žiopso“, nori sustabdyti tai, kas kandžioja čiurną. Štai ką sužinojau dirbdamas su saugos produktais. Jums nereikia pirkti saugos produktų, nereikia vairuoti sunkvežimio atbuline eiga. Jums reikia kompetentingų, kvalifikuotų žmonių, kurie supranta technologijas. Taip, mano Dieve, žmonės! Nenorime mesti milijonų dolerių į šias problemas, tačiau daugelis iš jūsų yra dirbę šioje srityje ir žinote, kad vos tik jūsų viršininkas pamato skelbimą, jis bėga į parduotuvę šaukdamas „mes turime gauti šį daiktą!“. Bet mums to tikrai nereikia, tiesiog turime sutvarkyti netvarką, kuri yra už mūsų. Tokia buvo šio spektaklio prielaida.
Aukšto saugumo aplinka yra tai, kuriai aš praleidau daug laiko, kad suprasčiau apsaugos mechanizmų veikimo taisykles. Suvokus apsaugos mechanizmus, apeiti apsaugą nėra sunku. Pavyzdžiui, turiu žiniatinklio programą, kuri yra apsaugota savo ugniasienės. Nukopijuoju nustatymų skydelio adresą, įklijuoju jį į naršyklės adreso juostą ir einu į nustatymus bei bandau pritaikyti scenarijus tarp svetainių.
Dėl to gaunu ugniasienės pranešimą apie grėsmę – buvau užblokuotas.
Manau, kad tai blogai, ar sutinkate? Jūs susiduriate su saugos produktu. Bet ką daryti, jei pabandysiu kažką panašaus: į eilutę įdėkite parametrą Joe'+OR+1='1
Kaip matote, pavyko. Pataisykite mane, jei klystu, bet matėme, kad SQL injekcija nugalėjo programos užkardą. Dabar apsimeskime, kad norime įkurti apsaugos įmonę, todėl užsidėkite programinės įrangos kūrėjo kepurę. Dabar mes įkūnijame blogį, nes tai juoda skrybėlė. Esu konsultantas, todėl galiu tai padaryti su programinės įrangos gamintojais.
Norime sukurti ir įdiegti naują įsilaužimo aptikimo sistemą, todėl pradėsime klastojimo aptikimo kampaniją. Snort, kaip atvirojo kodo produktas, turi šimtus tūkstančių įsibrovimo grėsmės parašų. Turime elgtis etiškai, todėl nepavogsime šių parašų iš kitų programų ir neįterpsime jų į savo sistemą. Mes tiesiog susėsime ir perrašysime juos visus – ei, Bobai, Timai, Džo, ateikite čia ir greitai peržiūrėkite visus tuos 100 000 parašų!
Taip pat turime sukurti pažeidžiamumo skaitytuvą. Jūs žinote, kad Nessus, automatinis pažeidžiamumo ieškiklis, turi gerus 80 XNUMX parašų ir scenarijų, kurie tikrina, ar nėra pažeidžiamumų. Vėl elgsimės etiškai ir asmeniškai juos visus perrašysime į savo programą.
Žmonės manęs klausia: „Joe, jūs visus šiuos testus atliekate su atvirojo kodo programine įranga, tokia kaip „Mod Security“, „Snort“ ir panašiai, kuo jie panašūs į kitų pardavėjų produktus? Aš jiems atsakau: „Jie visai nepanašūs! Kadangi pardavėjai nevagia daiktų iš atvirojo kodo saugos produktų, jie susėda ir patys parašo visas šias taisykles.
Jei galite priversti savo parašus ir atakų eilutes veikti nenaudodami atvirojo kodo produktų, tai jums puiki galimybė. Jei nesugebate konkuruoti su komerciniais produktais, eidami teisinga linkme, turite rasti koncepciją, kuri padėtų jums tapti žinomu savo srityje.
Visi žino, kad aš geriu. Leisk man parodyti, kodėl aš geriu. Jei kada nors gyvenime darėte šaltinio kodo auditą, tikrai prisigersite, patikėkite, po to imsite gerti.
Taigi mūsų mėgstamiausia kalba yra C++. Pažvelkime į šią programą – Web Knight yra ugniasienės programa, skirta žiniatinklio serveriams. Jame yra numatytosios išimtys. Įdomu – jei įdiegsiu šią užkardą, ji neapsaugos manęs nuo „Outlook Web Access“.
Nuostabu! Taip yra todėl, kad daugelis programinės įrangos pardavėjų ištraukia taisykles iš kai kurių programų ir įtraukia jas į savo produktą neatlikę daugybės reikiamų tyrimų. Taigi, kai įdiegiu tinklo ugniasienės programą, manau, kad viskas, kas susiję su žiniatinklio paštu, padaryta neteisingai! Kadangi beveik bet koks žiniatinklio paštas pažeidžia numatytąją apsaugą. Jūs turite žiniatinklio kodą, kuris vykdo sistemos komandas ir užklausas LDAP arba bet kuri kita vartotojų duomenų bazės saugykla tiesiog žiniatinklyje.
Sakykite, kokioje planetoje toks dalykas gali būti laikomas saugiu? Tiesiog pagalvokite apie tai: atidarote „Outlook Web Access“, paspaudžiate b ctrl + K, ieškote vartotojų ir visa tai, „Active Directory“ tvarkote tiesiogiai iš žiniatinklio, vykdote sistemos komandas „Linux“, jei naudojate „squirrel mail“, „Horde“ ar bet ką. kažkas kito. Jūs pašalinate visus tuos evalus ir kitas nesaugių funkcijų rūšis. Todėl daugelis užkardų neįtraukia jas iš saugumo grėsmių sąrašo, pabandykite apie tai pasiteirauti savo programinės įrangos gamintojo.
Grįžkime prie Web Knight programos. Jis pavogė daug saugumo taisyklių iš URL skaitytuvo, kuris nuskaito visus šiuos IP adresų diapazonus. Ir ką, visi šie adresų diapazonai neįtraukti į mano produktą?
Ar kas nors iš jūsų nori įdiegti šiuos adresus savo tinkle? Ar norite, kad jūsų tinklas veiktų šiais adresais? Taip, tai nuostabu. Gerai, slinkite žemyn šia programa ir pažvelkime į kitus dalykus, kurių ši ugniasienė nenori daryti.
Jie vadinami „1999 m.“ ir nori, kad jų žiniatinklio serveris būtų praeityje! Ar kas nors iš jūsų prisimena šį šūdą: /scripts, /iishelp, msads? Galbūt pora žmonių su nostalgija prisimins, kaip smagu buvo nulaužti tokius dalykus. „Atmink, žmogau, kaip seniai mes „nužudėme“ serverius, buvo šaunu!
Dabar, jei pažvelgsite į šias išimtis, pamatysite, kad galite atlikti visus šiuos dalykus – msads, spausdintuvus, iisadmpwd – visus šiuos dalykus, kurių šiandien niekam nereikia. Ką daryti su komandomis, kurių jums neleidžiama vykdyti?
Tai yra arp, at, cacls, chkdsk, šifras, cmd, com. Jas surašant užplūsta prisiminimai apie senus laikus, „bičiuli, prisimeni, kaip mes perėmėme tą serverį, prisimeni tuos laikus“?
Bet štai kas tikrai įdomu – ar kas nors mato čia WMIC, o gal PowerShell? Įsivaizduokite, kad turite naują programą, kuri veikia vykdydama scenarijus vietinėje sistemoje, o tai yra šiuolaikiniai scenarijai, nes norite paleisti „Windows Server 2008“, o aš padarysiu puikų darbą, kad apsaugočiau ją taikydamas „Windows“ skirtas taisykles. 2000. Kad kitą kartą, kai pardavėjas ateis pas jus su savo žiniatinklio programa, paklauskite jo: „Ei, žmogau, ar numatėte tokius dalykus kaip bits admin arba powershell komandų vykdymas, ar patikrinote visus kitus dalykus, nes mes ketiname atnaujinti ir naudoti naują DotNET versiją? Bet visi šie dalykai pagal numatytuosius nustatymus turėtų būti saugos gaminyje!
Kitas dalykas, apie kurį noriu su jumis pasikalbėti, yra loginės klaidos. Eikime į 192.168.2.6. Tai maždaug ta pati programa kaip ir ankstesnė.
Galite pastebėti ką nors įdomaus, jei slinksite puslapiu žemyn ir spustelėsite nuorodą Susisiekite su mumis.
Jei pažvelgsite į skirtuko „Susisiekite su mumis“ šaltinio kodą, kuris yra vienas iš nuolatinių bandymų metodų, pastebėsite šią eilutę.
Pagalvok apie tai! Girdžiu, kad daugelis tai pamatę pasakė: „Oho“! Kartą atlikau įsiskverbimo testą, tarkime, milijardieriaus banke ir ten pastebėjau kažką panašaus. Taigi, mums nereikia SQL injekcijos ar kelių svetainių scenarijų – turime pagrindinį dalyką, šią adreso juostą.
Taigi, neperdedant – bankas mums pasakė, kad turi ir – ir tinklo specialistą, ir interneto inspektorių, ir jie jokių pastabų nepateikė. Tai yra, jie laikė normalu, kad tekstinį failą galima atidaryti ir perskaityti per naršyklę.
Tai yra, galite tiesiog nuskaityti failą tiesiai iš failų sistemos. Jų apsaugos komandos vadovas man pasakė: „Taip, vienas iš skaitytuvų rado šį pažeidžiamumą, bet laikė jį nedideliu“. Į ką aš atsakiau: gerai, duok man minutę. Adreso juostoje įvedžiau filename=../../../../boot.ini ir galėjau perskaityti failų sistemos įkrovos failą!
Į tai jie man pasakė: „ne, ne, ne, tai nėra svarbūs failai“! Aš atsakiau – bet tai serveris 2008, ar ne? Jie pasakė, kad taip, tai jis. Sakau – bet šis serveris turi konfigūracijos failą, esantį šakniniame serverio kataloge, tiesa? „Teisingai“, – atsako jie. „Puiku“, sakau, „o jei užpuolikas tai padarys“, ir adreso juostoje įvedu filename=web.config. Sako - ką gi, nieko nematote monitoriuje?
Sakau – o jei dešiniuoju pelės mygtuku spusteliu monitorių ir pasirinksiu parinktį „Rodyti puslapio kodą“? Ir ką aš čia rasiu? „Nieko kritiško“? Pamatysiu serverio administratoriaus slaptažodį!
Ir jūs sakote, kad čia nėra problemų?
Bet mano mėgstamiausia dalis yra kita. Neleidžiate man paleisti komandų laukelyje, bet galiu pavogti žiniatinklio serverio administratoriaus slaptažodį ir duomenų bazę, peržiūrėti visą duomenų bazę, išplėšti visus duomenų bazės ir sistemos gedimų duomenis ir visa tai išeiti. Tai yra atvejis, kai blogiukas sako: „Ei, žmogau, šiandien puiki diena“!
Neleiskite saugos produktams tapti jūsų liga! Neleiskite, kad saugos produktai jus susirgtų! Suraskite niekšelius, padovanokite jiems visus tuos „Žvaigždžių kelio“ atminimo daiktus, sudominkite juos, paskatinkite likti su jumis, nes tie smirdžiai, kurie kasdien nesiprausia duše, yra tie, kurie priverčia jūsų tinklus veikti taip, kaip seka! Tai žmonės, kurie padės jūsų saugos produktams tinkamai veikti.
Sakykite, kiek iš jūsų sugebate ilgai išbūti viename kambaryje su žmogumi, kuris nuolat sako: „O, man reikia skubiai atsispausdinti šį scenarijų!“, O kas tuo visą laiką užsiėmęs? Tačiau jums reikia žmonių, kurie užtikrintų, kad jūsų saugos produktai veiktų.
Dar kartą pakartosiu, saugos produktai yra kvaili, nes lemputės visada netinkamos, jie nuolat daro niekšiškus dalykus, tiesiog nesuteikia saugumo. Niekada nemačiau gero saugos produkto, kuriam nereikėtų vaikino su atsuktuvu, kad jį sureguliuotų ten, kur reikia, kad jis veiktų daugiau ar mažiau normaliai. Tai tik didžiulis taisyklių sąrašas, teigiantis, kad tai blogai, ir viskas!
Taigi, vaikinai, noriu, kad atkreiptumėte dėmesį į švietimą, tokius dalykus kaip saugumas, politechnika, nes yra daug nemokamų internetinių kursų saugumo klausimais. Išmokite Python, išmokite Assembly, išmokite testuoti žiniatinklio programas.
Štai kas tikrai padės apsaugoti tinklą. Protingi žmonės saugo tinklus, tinklo produktai neapsaugo! Grįžkite į darbą ir pasakykite savo viršininkui, kad reikia daugiau biudžeto protingesniems žmonėms. Žinau, kad dabar krizė, bet vis tiek pasakykite jam, kad mums reikia daugiau pinigų, kad žmonės juos mokytų. Jei perkame prekę, bet neperkame kurso, kaip juo naudotis, nes jis brangus, tai kodėl iš viso perkame, jei nemokome žmonių juo naudotis?
Dirbau daugybei saugos produktų pardavėjų, beveik visą savo gyvenimą praleidau diegdamas šiuos produktus, ir man jau bloga nuo visų šių prieigos prie tinklo valdymo priemonių ir kitų dalykų, nes įdiegiau ir paleidau visus šiuos nešvarumus. Vieną dieną nuėjau pas klientą, jie norėjo įdiegti 802.1x standartą EAP protokolui, todėl turėjo MAC adresus ir antrinius adresus kiekvienam prievadui. Atėjau, pamačiau, kad blogai, apsisukau ir pradėjau spausti spausdintuvo mygtukus. Žinote, spausdintuvas gali atspausdinti tinklo įrangos bandomąjį puslapį su visais MAC ir IP adresais. Tačiau paaiškėjo, kad spausdintuvas nepalaiko 802.1x standarto, todėl jis turėtų būti pašalintas.
Tada atjungiau spausdintuvą ir pakeičiau nešiojamojo kompiuterio MAC adresą į spausdintuvo MAC adresą ir prijungiau nešiojamąjį kompiuterį, taip apeidamas šį brangų MAC sprendimą, pagalvokite apie tai! Taigi, kuo šis MAC sprendimas gali būti naudingas, jei žmogus gali tiesiog perduoti bet kokią įrangą kaip spausdintuvą ar VoIP telefoną?
Taigi man šiandien pentestavimas reiškia laiko praleidimą bandant suprasti ir suprasti saugos produktą, kurį įsigijo mano klientas. Dabar kiekvienas bankas, kuriame aš atlieku įsiskverbimo testą, turi visus šiuos HIPS, NIPS, LAUGTHS, MACS ir daugybę kitų akronimų, kurie tiesiog šlykšti. Bet aš bandau išsiaiškinti, ką šie produktai bando padaryti ir kaip jie tai daro. Tada, kai išsiaiškinu, kokia metodika ir logika jie naudojasi apsaugai užtikrinti, tai apeiti tampa visai nesunku.
Mano mėgstamiausias produktas, kurį paliksiu jums, vadinasi MS 1103. Tai naršyklėje pagrįstas išnaudojimas, purškiantis HIPS, pagrindinio kompiuterio įsibrovimo prevencijos parašą arba pagrindinio kompiuterio įsibrovimo prevencijos parašus. Tiesą sakant, ji skirta apeiti HIPS parašus. Nenoriu jums parodyti, kaip tai veikia, nes nenoriu skirti laiko jai pademonstruoti, bet tai puikiai apeina šią apsaugą, todėl noriu, kad ją priimtumėte.
Gerai, vaikinai, aš išeinu.
Kai kurie skelbimai 🙂
Dėkojame, kad likote su mumis. Ar jums patinka mūsų straipsniai? Norite pamatyti įdomesnio turinio? Palaikykite mus pateikdami užsakymą ar rekomenduodami draugams, , unikalus pradinio lygio serverių analogas, kurį mes sugalvojome jums: (galima su RAID1 ir RAID10, iki 24 branduolių ir iki 40 GB DDR4).
„Dell R730xd“ 2 kartus pigiau „Equinix Tier IV“ duomenų centre Amsterdame? Tik čia Olandijoje! „Dell R420“ – 2 x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB – nuo 99 USD! Skaityti apie
Šaltinis: www.habr.com