Nu gaan we een andere manier proberen om SQL te injecteren. Laten we eens kijken of de database steeds foutmeldingen laat vallen. Deze methode heet "waiting for a delay", en de delay zelf wordt als volgt geschreven: waitfor delay 00:00:01'. Ik kopieer dit uit ons bestand en plak het in de adresbalk van mijn browser.
Dit alles wordt "blinde SQL-injectie op tijdelijke basis" genoemd. Alles wat we hier doen is zeggen "wacht een vertraging van 10 seconden". Als u het opmerkt, hebben we linksboven de inscriptie "verbinden ...", dat wil zeggen, wat doet onze pagina? Het wacht op een verbinding en na 10 seconden verschijnt de juiste pagina op je monitor. Met deze truc vragen we de database om nog een paar vragen te stellen, bijvoorbeeld als de gebruiker Joe is, dan moeten we 10 seconden wachten. Het is duidelijk? Als de gebruiker dbo is, wacht dan ook 10 seconden. Dit is de blinde SQL-injectiemethode.
Ik denk dat de ontwikkelaars dit beveiligingslek niet oplossen bij het maken van patches. Dit is SQL-injectie, maar ons IDS-programma ziet het ook niet, zoals eerdere methoden van SQL-injectie.
Laten we iets interessants proberen. Kopieer deze regel met het IP-adres en plak deze in de browser. Het werkte! De TCP-balk in ons programma werd rood, het programma constateerde 2 beveiligingsbedreigingen.
Oké, laten we kijken wat er daarna gebeurde. We hebben één bedreiging voor de XP-shell en een andere bedreiging is een poging tot SQL-injectie. In totaal waren er twee pogingen om de webapplicatie aan te vallen.
Oké, help me nu met de logica. We hebben een geknoei datapakket waarin IDS zegt dat het heeft gereageerd op verschillende geknoei met de XP-shell.
Als we naar beneden gaan, zien we een tabel met HEX-codes, rechts daarvan staat een vlag met het bericht xp_cmdshell + &27ping, en dit is duidelijk slecht.
Laten we eens kijken wat hier is gebeurd. Wat deed SQL Server?
De SQL-server zei "je kunt mijn databasewachtwoord hebben, je kunt al mijn databaserecords krijgen, maar kerel, ik wil helemaal niet dat je je commando's op mij uitvoert, dat is helemaal niet cool"!
Wat we moeten doen, is ervoor zorgen dat zelfs als de IDS een bedreiging voor de XP-shell meldt, de bedreiging wordt genegeerd. Als u SQL Server 2005 of SQL Server 2008 gebruikt en een SQL-injectiepoging wordt gedetecteerd, wordt de shell van het besturingssysteem vergrendeld, waardoor u niet verder kunt werken. Het is heel irritant. Dus wat moeten we doen? Je moet proberen de server heel liefdevol te vragen. Moet ik iets zeggen als: "Alsjeblieft, papa, mag ik deze koekjes?" Dat is wat ik doe, serieus, ik vraag het de server heel beleefd! Ik vraag om meer opties, ik vraag om een herconfiguratie en ik vraag om XP-shellinstellingen te wijzigen om de shell beschikbaar te maken omdat ik die nodig heb!
We zien dat IDS dit heeft gedetecteerd - zie je, hier zijn al 3 bedreigingen genoteerd.
Kijk maar eens hier - we hebben de beveiligingslogboeken opgeblazen! Het lijkt wel een kerstboom, zoveel dingen hangen hier! Maar liefst 27 beveiligingsbedreigingen! Hoera jongens, we hebben deze hacker gepakt, we hebben hem!
We zijn niet bang dat hij onze gegevens zal stelen, maar als hij systeemopdrachten in onze "box" kan uitvoeren, is dit al serieus! Je kunt de Telnet-route tekenen, FTP, je kunt mijn gegevens overnemen, dat is cool, maar daar maak ik me geen zorgen over, ik wil gewoon niet dat je de schil van mijn "box" overneemt.
Ik wil praten over dingen die me echt raakten. Ik werk voor organisaties, ik werk al vele jaren voor hen, en ik vertel je dit omdat mijn vriendin denkt dat ik werkloos ben. Ze denkt dat ik alleen maar op het podium sta en klets, dit kan niet als werk worden beschouwd. Maar ik zeg: “nee, mijn vreugde, ik ben een adviseur”! Dat is het verschil - ik zeg mijn mening en ik word ervoor betaald.
Laat ik het zo zeggen: wij als hackers houden ervan om de schaal te kraken, en voor ons is er geen groter plezier in de wereld dan "de schaal doorslikken". Wanneer IDS-analisten hun regels schrijven, kun je zien dat ze ze schrijven op een manier die bescherming biedt tegen shell-hacking. Maar als je met de CIO praat over het probleem van het extraheren van gegevens, zal hij je aanraden om na te denken over twee opties. Laten we zeggen dat ik een applicatie heb die 100 "stukjes" per uur maakt. Wat is belangrijker voor mij - om de veiligheid van alle gegevens in deze applicatie of de veiligheid van de "box" -shell te waarborgen? Dit is een serieuze vraag! Waar moet je je meer zorgen over maken?
Alleen omdat je een kapotte "box" -schil hebt, wil nog niet zeggen dat iemand toegang heeft gekregen tot de interne werking van de applicaties. Ja, het is meer dan waarschijnlijk, en als het nog niet is gebeurd, kan het binnenkort gebeuren. Houd er echter rekening mee dat veel beveiligingsproducten zijn gebouwd op de veronderstelling dat een aanvaller door uw netwerk zwerft. Dus letten ze op de uitvoering van commando's, op het injecteren van commando's, en je moet er rekening mee houden dat dit een serieuze zaak is. Ze wijzen op triviale kwetsbaarheden, zeer eenvoudige cross-site scripting, zeer eenvoudige SQL-injecties. Ze geven niet om complexe bedreigingen, ze geven niet om gecodeerde berichten, ze geven niet om dat soort dingen. Men kan zeggen dat alle beveiligingsproducten op zoek zijn naar geluid, ze zoeken naar "gekeffen", ze willen iets stoppen dat in je enkel bijt. Dit is wat ik heb geleerd toen ik met beveiligingsproducten te maken had. U hoeft geen beveiligingsproducten te kopen, u hoeft de vrachtwagen niet achteruit te rijden. Je hebt competente, vakbekwame mensen nodig die de technologie begrijpen. Ja, mijn God, mensen! We willen geen miljoenen dollars in deze problemen steken, maar velen van jullie hebben op dit gebied gewerkt en weten dat zodra je baas een advertentie ziet, hij naar de winkel rent en roept "we moeten dit ding hebben!". Maar we hebben het niet echt nodig, we moeten gewoon de puinhoop die achter ons ligt oplossen. Dat was het uitgangspunt voor deze voorstelling.
Een hoogbeveiligde omgeving is iets waar ik veel tijd aan heb besteed om de regels te begrijpen van hoe beschermingsmechanismen werken. Als u eenmaal de beschermingsmechanismen begrijpt, is het niet moeilijk om de bescherming te omzeilen. Ik heb bijvoorbeeld een webapplicatie die wordt beschermd door een eigen firewall. Ik kopieer het adres van het instellingenpaneel, plak het in de adresbalk van de browser en ga naar de instellingen en probeer cross-site scripting toe te passen.
Als gevolg hiervan ontvang ik een firewallbericht over een dreiging - ik werd geblokkeerd.
Ik vind het slecht, ben je het daarmee eens? U wordt geconfronteerd met een beveiligingsproduct. Maar wat als ik zoiets probeer: zet de parameter Joe'+OR+1='1 in de string
Zoals je ziet is het gelukt. Corrigeer me als ik het mis heb, maar we hebben gezien dat SQL-injectie de toepassingsfirewall versloeg. Laten we nu doen alsof we een beveiligingsbedrijf willen beginnen, dus laten we de hoed van de softwaremaker opzetten. Nu belichamen we het kwaad omdat het een zwarte hoed is. Ik ben een consultant, dus ik kan dit doen met softwareproducenten.
We willen een nieuw inbraakdetectiesysteem bouwen en implementeren, dus starten we een sabotagedetectiecampagne. Snort bevat als open source-product honderdduizenden handtekeningen voor indringingsdreigingen. We moeten ethisch handelen, dus we zullen deze handtekeningen niet van andere applicaties stelen en in ons systeem plaatsen. We gaan er gewoon voor zitten en herschrijven ze allemaal - hey Bob, Tim, Joe, kom hier en loop snel door al die 100 handtekeningen!
We moeten ook een kwetsbaarheidsscanner maken. U weet dat Nessus, de automatische kwetsbaarheidszoeker, ruim 80 handtekeningen en scripts heeft die op kwetsbaarheden controleren. We zullen opnieuw ethisch handelen en ze allemaal persoonlijk herschrijven in ons programma.
Mensen vragen me: "Joe, je doet al deze tests met open source software zoals Mod Security, Snort en dergelijke, hoe vergelijkbaar zijn ze met de producten van andere leveranciers?" Ik antwoord ze: "Ze lijken helemaal niet op elkaar!" Omdat verkopers geen dingen stelen van open source beveiligingsproducten, gaan ze zitten en schrijven al deze regels zelf.
Als u uw eigen handtekeningen en aanvalsreeksen kunt laten werken zonder open source-producten te gebruiken, is dit een geweldige kans voor u. Als u niet kunt concurreren met commerciële producten, in de goede richting, moet u een concept vinden waarmee u bekend kunt worden in uw vakgebied.
Iedereen weet dat ik drink. Laat me je laten zien waarom ik drink. Als je ooit in je leven een broncode-audit hebt gedaan, zul je zeker dronken worden, geloof me, daarna ga je drinken.
Onze favoriete taal is dus C++. Laten we dit programma eens bekijken - Web Knight is een firewalltoepassing voor webservers. Het heeft standaard uitzonderingen. Het is interessant: als ik deze firewall inzet, zal hij me niet beschermen tegen Outlook Web Access.
Prachtig! Dat komt omdat veel softwareleveranciers regels uit sommige applicaties halen en in hun product stoppen zonder een heleboel goed onderzoek te doen. Dus als ik een netwerkfirewalltoepassing implementeer, denk ik dat alles aan webmail verkeerd is gedaan! Omdat bijna elke webmail de standaardbeveiliging schendt. U hebt webcode die systeemopdrachten en query's uitvoert op LDAP of een andere gebruikersdatabase op internet.
Vertel me eens, op welke planeet kan zoiets als veilig worden beschouwd? Denk er maar eens over na: u opent Outlook Web Access, drukt op b ctrl+K, zoekt gebruikers op en zo, u beheert Active Directory rechtstreeks vanaf het web, u voert systeemopdrachten uit op Linux als u "squirrel mail" of Horde of wat dan ook gebruikt iets anders. Je haalt al die evaluaties en andere soorten onveilige functionaliteit eruit. Daarom sluiten veel firewalls ze uit van de lijst met beveiligingsbedreigingen. Vraag hiernaar bij uw softwarefabrikant.
Laten we teruggaan naar de Web Knight-applicatie. Het heeft veel beveiligingsregels gestolen van een URL-scanner die al deze IP-adresbereiken scant. En wat, al deze adresbereiken zijn uitgesloten van mijn product?
Wil iemand van jullie deze adressen op je netwerk installeren? Wil je dat je netwerk op deze adressen draait? Ja, het is geweldig. Oké, laten we dit programma naar beneden scrollen en kijken naar andere dingen die deze firewall niet wil doen.
Ze heten "1999" en willen dat hun webserver tot het verleden behoort! Herinnert iemand van jullie zich deze rotzooi: /scripts, /iishelp, msads? Misschien zullen een paar mensen zich met nostalgie herinneren hoe leuk het was om zulke dingen te hacken. "Onthoud, man, hoe lang geleden we servers hebben "gedood", het was cool!".
Als je nu naar deze uitzonderingen kijkt, zul je zien dat je al deze dingen kunt doen - msads, printers, iisadmpwd - al deze dingen die niemand vandaag nodig heeft. Hoe zit het met opdrachten die u niet mag uitvoeren?
Dit zijn arp, at, cacls, chkdsk, cipher, cmd, com. Als je ze opsomt, word je overweldigd door herinneringen aan vroeger, "kerel, weet je nog hoe we die server hebben overgenomen, weet je nog die tijd"?
Maar hier is wat echt interessant is: ziet iemand hier WMIC of misschien PowerShell? Stel je voor dat je een nieuwe applicatie hebt die werkt door scripts uit te voeren op het lokale systeem, en dit zijn moderne scripts, want je wilt Windows Server 2008 draaien, en ik ga het uitstekend beschermen met regels die zijn ontworpen voor Windows 2000. Zodat de volgende keer dat een leverancier naar je toe komt met zijn webapplicatie, hem vraagt: "Hé man, heb je gezorgd voor zaken als bits admin of het uitvoeren van powershell-opdrachten, heb je alle andere dingen gecontroleerd, want we gaan om de nieuwe versie van DotNET bij te werken en te gebruiken"? Maar al deze dingen zouden standaard in het beveiligingsproduct aanwezig moeten zijn!
Het volgende waar ik het met je over wil hebben zijn logische drogredenen. Laten we naar 192.168.2.6 gaan. Dit is ongeveer dezelfde toepassing als de vorige.
U kunt iets interessants opmerken als u naar beneden scrolt op de pagina en op de link Contact opnemen klikt.
Als je naar de broncode van het tabblad "Contact" kijkt, wat een van de pentestmethoden is die ik altijd doe, zul je deze regel opmerken.
Denk er over na! Ik hoor dat velen bij het zien hiervan zeiden: "Wow"! Ik deed ooit een penetratietest voor bijvoorbeeld een miljardairbank en merkte daar iets soortgelijks op. We hebben dus geen SQL-injectie of cross-site scripting nodig - we hebben het belangrijkste, deze adresbalk.
Dus zonder overdrijving - de bank vertelde ons dat ze beide hadden - en een netwerkspecialist en een webinspecteur, en ze maakten geen opmerkingen. Dat wil zeggen, ze vonden het normaal dat een tekstbestand via een browser kan worden geopend en gelezen.
Dat wil zeggen, u kunt het bestand gewoon rechtstreeks vanuit het bestandssysteem lezen. Het hoofd van hun beveiligingsteam vertelde me: "Ja, een van de scanners heeft deze kwetsbaarheid gevonden, maar beschouwde deze als klein." Waarop ik antwoordde: oké, geef me een minuutje. Ik typte bestandsnaam=../../../../boot.ini in de adresbalk en ik kon het opstartbestand van het bestandssysteem lezen!
Hierop vertelden ze me: "nee, nee, nee, dit zijn geen kritieke bestanden"! Ik antwoordde - maar het is Server 2008, nietwaar? Ze zeiden ja, hij is het. Ik zeg - maar deze server heeft een configuratiebestand in de hoofdmap van de server, toch? "Juist", antwoorden ze. "Geweldig", zeg ik, "wat als de aanvaller dit doet", en ik typ filename=web.config in de adresbalk. Ze zeggen - dus wat, je ziet niets op de monitor?
Ik zeg - wat als ik met de rechtermuisknop op de monitor klik en de optie "Paginacode weergeven" selecteer? En wat vind ik hier? "Niets kritisch"? Ik zal het wachtwoord van de serverbeheerder zien!
En u zegt dat er hier geen probleem is?
Maar mijn favoriete deel is het volgende. Je laat me geen commando's in de box uitvoeren, maar ik kan het beheerderswachtwoord en de database van de webserver stelen, door de hele database bladeren, alle database- en systeemstoringen eruit halen en ermee weglopen. Dit is het geval wanneer de slechterik zegt "Hé man, vandaag is een geweldige dag"!
Laat veiligheidsproducten niet uw ziekte worden! Laat beveiligingsproducten u niet ziek maken! Zoek een paar nerds, geef ze al die Star Trek-memorabilia, wek ze geïnteresseerd, moedig ze aan om bij je te blijven, want die nerdy stinkers die niet dagelijks douchen, zijn degenen die ervoor zorgen dat je netwerken als volgt werken! Dit zijn de mensen die ervoor zorgen dat uw beveiligingsproducten goed werken.
Vertel me eens, hoeveel van jullie kunnen lang in dezelfde kamer blijven met iemand die constant zegt: "oh, ik moet dit script dringend afdrukken!", En wie is hier de hele tijd mee bezig? Maar u hebt mensen nodig die ervoor zorgen dat uw beveiligingsproducten werken.
Nogmaals, beveiligingsproducten zijn dom omdat de lichten altijd verkeerd zijn, ze doen constant stomme dingen, ze bieden gewoon geen beveiliging. Ik heb nog nooit een goed beveiligingsproduct gezien waarvoor geen man met een schroevendraaier nodig is om het te tweaken waar het nodig is om het min of meer normaal te laten werken. Het is gewoon een enorme lijst met regels die zeggen dat het slecht is, en dat is alles!
Dus jongens, ik wil dat jullie aandacht besteden aan onderwijs, aan zaken als beveiliging, hogescholen, want er zijn veel gratis online cursussen over beveiligingskwesties. Leer Python, leer Assembly, leer het testen van webapplicaties.
Dit is wat u echt zal helpen bij het beveiligen van uw netwerk. Slimme mensen beschermen netwerken, netwerkproducten beschermen niet! Ga weer aan het werk en vertel je baas dat je meer budget nodig hebt voor meer slimme mensen. Ik weet dat het nu een crisis is, maar vertel hem hoe dan ook dat we meer geld nodig hebben voor mensen om ze op te leiden. Als we een product kopen maar geen cursus over hoe het te gebruiken kopen omdat het duur is, waarom kopen we het dan überhaupt als we mensen niet gaan leren hoe ze het moeten gebruiken?
Ik heb voor veel leveranciers van beveiligingsproducten gewerkt, ik heb bijna mijn hele leven besteed aan het implementeren van deze producten, en ik word ziek van al deze netwerktoegangscontroles en zo, omdat ik al deze onzinproducten heb geïnstalleerd en uitgevoerd. Op een dag ging ik naar een klant, ze wilden de 802.1x-standaard voor het EAP-protocol implementeren, dus ze hadden MAC-adressen en secundaire adressen voor elke poort. Ik kwam, zag dat het slecht was, draaide me om en begon op de knoppen van de printer te drukken. Weet je, de printer kan een testpagina van de netwerkapparatuur afdrukken met alle MAC-adressen en IP-adressen. Maar het bleek dat de printer de 802.1x-standaard niet ondersteunt, dus deze moet worden uitgesloten.
Toen heb ik de printer losgekoppeld en het MAC-adres van mijn laptop gewijzigd in het MAC-adres van de printer en mijn laptop aangesloten, waarmee ik deze dure MAC-oplossing omzeilde, denk er eens over na! Dus wat voor goeds kan deze MAC-oplossing voor mij doen als iemand alle apparatuur gewoon kan laten doorgaan voor een printer of een VoIP-telefoon?
Dus voor mij vandaag gaat pentesten over het besteden van tijd aan het proberen te begrijpen en begrijpen van een beveiligingsproduct dat mijn klant heeft gekocht. Nu heeft elke bank waar ik een penetratietest doe al die HIPS, NIPS, LAUGTHS, MACS en een heleboel andere acroniemen die gewoon waardeloos zijn. Maar ik probeer erachter te komen wat deze producten proberen te doen en hoe ze dat proberen te doen. Als ik er eenmaal achter ben welke methodologie en logica ze gebruiken om bescherming te bieden, wordt het helemaal niet moeilijk om er omheen te komen.
Mijn favoriete product, waar ik je bij laat, heet MS 1103. Het is een browsergebaseerde exploit die HIPS, Host Intrusion Prevention Signature of Host Intrusion Prevention Signatures spuit. In feite is het bedoeld om HIPS-handtekeningen te omzeilen. Ik wil je niet laten zien hoe het werkt, omdat ik niet de tijd wil nemen om het te demonstreren, maar het omzeilt deze bescherming uitstekend en ik wil dat je het overneemt.
Oké jongens, ik ga nu weg.
Sommige advertenties 🙂
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, , een unieke analoog van servers op instapniveau, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2x goedkoper in Equinix Tier IV datacenter in Amsterdam? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com