Acum vom încerca o altă modalitate de a injecta SQL. Să vedem dacă baza de date continuă să scadă mesaje de eroare. Această metodă se numește „așteptând o întârziere”, iar întârzierea în sine este scrisă după cum urmează: waitfor delay 00:00:01'. Copiez acest lucru din fișierul nostru și îl lipesc în bara de adrese a browserului meu.
Toate acestea se numesc „injectare SQL oarbă pe bază temporară”. Tot ce facem aici este să spunem „așteaptă o întârziere de 10 secunde”. Dacă observați, în stânga sus avem inscripția „conectare...”, adică ce face pagina noastră? Așteaptă o conexiune, iar după 10 secunde, pe monitor apare pagina corectă. Cu acest truc, cerem bazei de date să ne permită să-i mai punem câteva întrebări, de exemplu, dacă utilizatorul este Joe, atunci trebuie să așteptăm 10 secunde. Este clar? Dacă utilizatorul este dbo, așteptați și 10 secunde. Aceasta este metoda Blind SQL Injection.
Cred că dezvoltatorii nu remediază această vulnerabilitate atunci când creează patch-uri. Aceasta este injectarea SQL, dar nici programul nostru IDS nu o vede, ca și metodele anterioare de injectare SQL.
Să încercăm ceva mai interesant. Copiați această linie cu adresa IP și inserați-o în browser. A mers! Bara TCP din programul nostru a devenit roșie, programul a notat 2 amenințări de securitate.
Bine, să vedem ce s-a întâmplat mai departe. Avem o amenințare la adresa shell-ului XP și o altă amenințare este o încercare de injectare SQL. În total, au fost două încercări de a ataca aplicația web.
Bine, acum ajută-mă cu logica. Avem un pachet de date de manipulare în care IDS spune că a răspuns la diverse falsificări ale shell-ului XP.
Dacă coborâm, vedem un tabel de coduri HEX, în dreapta căruia există un steag cu mesajul xp_cmdshell + &27ping, și evident că acest lucru este rău.
Să vedem ce s-a întâmplat aici. Ce a făcut SQL Server?
Serverul SQL a spus „poți avea parola mea de bază de date, poți obține toate înregistrările mele de bază de date, dar omule, nu vreau deloc să-ți rulezi comenzile pe mine, asta nu e deloc cool”!
Ceea ce trebuie să facem este să ne asigurăm că, chiar dacă IDS raportează o amenințare la adresa shell-ului XP, amenințarea este ignorată. Dacă utilizați SQL Server 2005 sau SQL Server 2008, dacă este detectată o încercare de injectare SQL, shell-ul sistemului de operare va fi blocat, împiedicându-vă să vă continuați munca. Este foarte enervant. Deci ce să facem? Ar trebui să încercați să întrebați serverul cu multă afecțiune. Ar trebui să spun ceva de genul „te rog, tati, pot să am prăjiturile astea”? Asta fac, serios, intreb foarte politicos serverul! Cer mai multe opțiuni, cer o reconfigurare și cer ca setările shell-ului XP să fie schimbate pentru a face shell-ul disponibil pentru că am nevoie de el!
Vedem că IDS a detectat acest lucru - vezi, 3 amenințări au fost deja notate aici.
Uită-te aici - am aruncat în aer jurnalele de securitate! Arată ca un pom de Crăciun, atât de multe lucruri sunt atârnate aici! Până la 27 de amenințări la securitate! Ura, băieți, l-am prins pe acest hacker, l-am prins!
Nu ne îngrijorează că ne va fura datele, dar dacă poate executa comenzi de sistem în „caseta” noastră - asta este deja grav! Poti desena ruta Telnet, FTP, imi poti prelua datele, asta e tare, dar nu imi fac griji pentru asta, doar nu vreau sa preiei carcasa „cutiei” mele.
Vreau să vorbesc despre lucruri care m-au prins cu adevărat. Lucrez pentru organizații, lucrez pentru ele de mulți ani și vă spun asta pentru că iubita mea crede că sunt șomer. Ea crede că tot ce fac este să stau pe scenă și să vorbesc, asta nu poate fi considerat muncă. Dar eu zic: „nu, bucuria mea, sunt consultant”! Asta e diferența - îmi spun părerea și sunt plătit pentru asta.
Permiteți-mi să o spun astfel - nouă, ca hackeri, ne place să spargem coaja și pentru noi nu există o plăcere mai mare în lume decât „înghițirea carapacei”. Când analiștii IDS își scriu regulile, puteți vedea că le scriu într-un mod care protejează împotriva hacking-ului. Dar dacă discutați cu CIO despre problema extragerii datelor, acesta vă va oferi să vă gândiți la două opțiuni. Să presupunem că am o aplicație care face 100 de „bucăți” pe oră. Ce este mai important pentru mine - să asigure securitatea tuturor datelor din această aplicație sau securitatea shell-ului „box”? Aceasta este o întrebare serioasă! De ce ar trebui să fii mai preocupat?
Doar pentru că aveți o carcasă „cutie” spartă nu înseamnă neapărat că cineva a obținut acces la funcționarea interioară a aplicațiilor. Da, este mai mult decât probabil, iar dacă nu s-a întâmplat încă, s-ar putea să se întâmple în curând. Dar rețineți că multe produse de securitate sunt construite pe premisa că un atacator vă străbate rețeaua. Deci, ei acordă atenție executării comenzilor, injectării comenzilor și ar trebui să rețineți că acesta este un lucru serios. Ei evidențiază vulnerabilități banale, scripturi foarte simple între site-uri, injecții SQL foarte simple. Nu le pasă de amenințările complexe, nu le pasă de mesajele criptate, nu le pasă de așa ceva. Se poate spune că toate produsele de securitate caută zgomot, caută „gălățuri”, vor să oprească ceva care te mușcă de gleznă. Iată ce am învățat când am avut de-a face cu produse de securitate. Nu trebuie să cumpărați produse de securitate, nu trebuie să conduceți camionul în marșarier. Ai nevoie de oameni competenți, calificați, care să înțeleagă tehnologia. Da, Doamne, oameni buni! Nu vrem să aruncăm milioane de dolari în aceste probleme, dar mulți dintre voi ați lucrat în acest domeniu și știți că de îndată ce șeful dumneavoastră vede un anunț, fuge la magazin strigând „trebuie să luăm chestia asta!”. Dar nu prea avem nevoie de el, trebuie doar să reparăm mizeria care este în spatele nostru. Aceasta a fost premisa pentru această performanță.
Un mediu de înaltă securitate este ceva pentru care am petrecut mult timp pentru a înțelege regulile modului în care funcționează mecanismele de protecție. Odată ce ați înțeles mecanismele de protecție, ocolirea protecției nu este dificilă. De exemplu, am o aplicație web care este protejată de propriul firewall. Copiez adresa panoului de setări, o lipesc în bara de adrese a browserului și merg la setări și încerc să aplic cross-site scripting.
Ca urmare, primesc un mesaj de firewall despre o amenințare - am fost blocat.
Cred că e rău, ești de acord? Te confrunți cu un produs de securitate. Dar dacă încerc ceva de genul acesta: puneți parametrul Joe'+OR+1='1 în șir
După cum puteți vedea, a funcționat. Corectează-mă dacă greșesc, dar am văzut că injecția SQL a înfrânt firewall-ul aplicației. Acum să ne prefacem că vrem să înființăm o companie de securitate, așa că să ne punem pălăria producătorului de software. Acum întruchipăm răul pentru că este o pălărie neagră. Sunt consultant, așa că pot face asta cu producătorii de software.
Dorim să construim și să implementăm un nou sistem de detectare a intruziunilor, așa că vom începe o campanie de detectare a intruziunilor. Snort, ca produs open source, conține sute de mii de semnături de amenințări de intruziune. Trebuie să acționăm etic, așa că nu vom fura aceste semnături din alte aplicații și le vom introduce în sistemul nostru. O să ne așezăm și să le rescriem pe toate - hei Bob, Tim, Joe, vino aici și fă o analiză rapidă prin toate acele 100 de semnături!
De asemenea, trebuie să creăm un scanner de vulnerabilități. Știți că Nessus, instrumentul de căutare automată a vulnerabilităților, are peste 80 de semnături și scripturi care verifică vulnerabilități. Vom acționa din nou etic și le vom rescrie personal pe toate în programul nostru.
Oamenii mă întreabă: „Joe, faci toate aceste teste cu software open source precum Mod Security, Snort și altele asemenea, cât de asemănătoare sunt cu produsele altor furnizori?” Le răspund: „Nu seamănă deloc!” Pentru că vânzătorii nu fură lucruri din produsele de securitate open source, ei se așează și scriu ei înșiși toate aceste reguli.
Dacă vă puteți face propriile semnături și șirurile de atac să funcționeze fără a utiliza produse open source, aceasta este o oportunitate grozavă pentru dvs. Dacă nu poți concura cu produsele comerciale, mergând în direcția corectă, trebuie să găsești un concept care să te ajute să devii cunoscut în domeniul tău.
Toată lumea știe că beau. Lasă-mă să-ți arăt de ce beau. Dacă ai făcut vreodată un audit de cod sursă în viața ta, cu siguranță te vei îmbăta, crede-mă, după aceea vei începe să bei.
Deci limba noastră preferată este C++. Să aruncăm o privire la acest program - Web Knight este o aplicație firewall pentru servere web. Are excepții implicite. Este interesant - dacă implementez acest firewall, nu mă va proteja de Outlook Web Access.
Minunat! Asta pentru că mulți furnizori de software scot reguli din unele aplicații și le introduc în produsul lor fără a face o grămadă de cercetări corecte. Deci, când implementez o aplicație de firewall de rețea, cred că totul despre webmail este greșit! Pentru că aproape orice webmail încalcă securitatea implicită. Aveți cod web care execută comenzi de sistem și interogă LDAP sau orice alt magazin de baze de date de utilizator chiar pe web.
Spune-mi, pe ce planetă poate fi considerat sigur? Gândește-te la asta: deschizi Outlook Web Access, apeși b ctrl+K, cauți utilizatori și toate astea, gestionezi Active Directory direct de pe web, executi comenzi de sistem pe Linux dacă folosești „squirrel mail” sau Horde sau orice altceva altceva. Scoateți toate acele evaluări și alte tipuri de funcționalități nesigure. Prin urmare, multe firewall-uri le exclud din lista amenințărilor de securitate, încercați să întrebați producătorul dvs. de software despre acest lucru.
Să revenim la aplicația Web Knight. A furat o mulțime de reguli de securitate dintr-un scanner de adrese URL care scanează toate aceste intervale de adrese IP. Și ce, toate aceste intervale de adrese sunt excluse din produsul meu?
Vreți vreunul dintre voi să instaleze aceste adrese în rețeaua dvs.? Doriți ca rețeaua dvs. să ruleze pe aceste adrese? Da, este uimitor. Bine, haideți să derulăm în jos acest program și să ne uităm la alte lucruri pe care acest firewall nu vrea să le facă.
Se numesc „1999” și doresc ca serverul lor web să fie în trecut! Îți amintește vreunul dintre voi porcăria asta: /scripts, /iishelp, msads? Poate că câțiva oameni își vor aminti cu nostalgie cât de distractiv a fost să piratezi astfel de lucruri. „Ține minte, omule, cu cât timp în urmă am „ucis” servere, a fost cool!”.
Acum, dacă te uiți la aceste excepții, vei vedea că poți face toate aceste lucruri - msads, printers, iisadmpwd - toate aceste lucruri de care nimeni nu are nevoie astăzi. Dar comenzile pe care nu ai voie să le executi?
Acestea sunt arp, at, cacls, chkdsk, cipher, cmd, com. Când le enumerați, sunteți copleșit de amintirile din vremurile vechi, „omule, amintește-ți cum am preluat acel server, îți amintești acele vremuri”?
Dar iată ce este cu adevărat interesant - vede cineva WMIC aici sau poate PowerShell? Imaginați-vă că aveți o nouă aplicație care funcționează rulând scripturi pe sistemul local și acestea sunt scripturi moderne, pentru că doriți să rulați Windows Server 2008 și o să fac o treabă grozavă protejându-l cu reguli concepute pentru Windows 2000. Pentru ca data viitoare când un furnizor vine la tine cu aplicația lor web, întreabă-l, „hei omule, ai asigurat lucruri precum bits admin sau executarea comenzilor powershell, ai verificat toate celelalte lucruri, pentru că mergem pentru a actualiza și utiliza noua versiune de DotNET"? Dar toate aceste lucruri ar trebui să fie prezente implicit în produsul de securitate!
Următorul lucru despre care vreau să vă vorbesc este erorile logice. Să mergem la 192.168.2.6. Aceasta este aproximativ aceeași aplicație ca cea anterioară.
Este posibil să observați ceva interesant dacă derulați în jos în pagină și faceți clic pe linkul Contactați-ne.
Dacă te uiți la codul sursă al filei „Contactează-ne”, care este una dintre metodele de pentesting pe care le fac tot timpul, vei observa această linie.
Gandeste-te la asta! Aud că mulți la vederea asta au spus: „Wow”! Am făcut odată teste de penetrare pentru, să zicem, o bancă miliardară și am observat ceva asemănător acolo. Deci, nu avem nevoie de injecție SQL sau cross site scripting - avem principalul lucru, această bară de adrese.
Așadar, fără exagerare - banca ne-a spus că le-au avut pe amândouă - și un specialist în rețea, și un inspector web, și nu au făcut nicio observație. Adică au considerat normal ca un fișier text să poată fi deschis și citit printr-un browser.
Adică, puteți doar să citiți fișierul direct din sistemul de fișiere. Șeful echipei lor de securitate mi-a spus: „Da, unul dintre scanere a găsit această vulnerabilitate, dar a considerat-o minoră”. La care am răspuns, bine, dă-mi un minut. Am tastat filename=../../../../boot.ini în bara de adrese și am putut citi fișierul de boot al sistemului de fișiere!
La asta mi-au spus: „nu, nu, nu, acestea nu sunt dosare critice”! Am răspuns - dar este Server 2008, nu-i așa? Au spus da, el este. Eu zic - dar acest server are un fișier de configurare situat în directorul rădăcină al serverului, nu? „Corect”, răspund ei. „Grozat”, spun eu, „ce se întâmplă dacă atacatorul face asta” și scriu filename=web.config în bara de adrese. Ei spun - deci ce, nu vezi nimic pe monitor?
Spun - ce se întâmplă dacă dau clic dreapta pe monitor și selectez opțiunea „Afișează codul paginii”? Și ce voi găsi aici? „Nimic critic”? Voi vedea parola administratorului serverului!
Și spui că nu este nicio problemă aici?
Dar partea mea preferată este următoarea. Nu mă lăsați să rulez comenzi în cutie, dar pot fura parola de administrator și baza de date a serverului web, pot răsfoi întreaga bază de date, pot scoate toate elementele de defecțiune a bazei de date și a sistemului și pot pleca cu toate. Acesta este cazul când tipul rău spune „hei omule, astăzi este o zi grozavă”!
Nu lăsa ca produsele de siguranță să devină boala ta! Nu lăsați produsele de securitate să vă îmbolnăvească! Găsește niște tocilari, dă-le toate acele suveniruri Star Trek, interesează-i, încurajează-i să rămână cu tine, pentru că acei tocilari care nu fac duș zilnic sunt cei care fac rețelele tale să funcționeze așa cum urmează! Aceștia sunt oamenii care vă vor ajuta produsele dvs. de securitate să funcționeze corect.
Spune-mi, câți dintre voi sunteți capabili să stea mult timp în aceeași cameră cu o persoană care spune constant: „oh, trebuie să imprim acest scenariu urgent!”, Și cine este ocupat cu asta tot timpul? Dar ai nevoie de oameni care să-ți facă produsele de securitate să funcționeze.
Ca să repet, produsele de securitate sunt stupide pentru că luminile sunt întotdeauna greșite, fac în mod constant lucruri de rahat, pur și simplu nu oferă securitate. Nu am văzut niciodată un produs de securitate bun care să nu necesite ca un tip cu o șurubelniță să-l ajusteze acolo unde trebuie să-l facă să funcționeze mai mult sau mai puțin normal. Este doar o listă uriașă de reguli care spun că este rău și asta este!
Așa că băieți, vreau să acordați atenție educației, lucrurilor precum securitatea, politehnica, pentru că există multe cursuri online gratuite pe probleme de securitate. Învață Python, învață Assembly, învață testarea aplicațiilor web.
Iată ce vă va ajuta cu adevărat să vă asigurați rețeaua. Oamenii inteligenți protejează rețelele, produsele de rețea nu protejează! Întoarce-te la muncă și spune-i șefului tău că ai nevoie de mai mult buget pentru oameni mai deștepți, știu că acum este o criză, dar spune-i oricum că avem nevoie de mai mulți bani pentru ca oamenii să-i educe. Dacă cumpărăm un produs, dar nu cumpărăm un curs despre cum să-l folosim pentru că este scump, atunci de ce îl cumpărăm deloc dacă nu vom învăța oamenii cum să-l folosească?
Am lucrat pentru mulți furnizori de produse de securitate, mi-am petrecut aproape toată viața implementând aceste produse și m-am săturat de toate aceste controale de acces la rețea și chestii pentru că am instalat și am rulat toate aceste produse proaste. Într-o zi am fost la un client, au vrut să implementeze standardul 802.1x pentru protocolul EAP, așa că aveau adrese MAC și adrese secundare pentru fiecare port. Am venit, am văzut că e rău, m-am întors și am început să apăs pe butoanele imprimantei. Știți, imprimanta poate imprima o pagină de testare a echipamentelor de rețea cu toate adresele MAC și adresele IP. Dar s-a dovedit că imprimanta nu acceptă standardul 802.1x, așa că ar trebui exclusă.
Apoi am deconectat imprimanta și mi-am schimbat adresa MAC a laptopului cu adresa MAC a imprimantei și am conectat laptopul, ocolind astfel această soluție MAC costisitoare, gândiți-vă! Deci, la ce poate folosi această soluție MAC pentru mine dacă o persoană poate pur și simplu trece orice echipament drept imprimantă sau telefon VoIP?
Așadar, pentru mine astăzi, pentestingul înseamnă să petrec timp încercând să înțeleg și să înțeleg un produs de securitate pe care clientul meu l-a cumpărat. Acum, fiecare bancă la care fac un test de penetrare are toate aceste HIPS, NIPS, LUGTHS, MACS și o grămadă de alte acronime care pur și simplu sunt nasol. Dar încerc să-mi dau seama ce încearcă să facă aceste produse și cum încearcă să o facă. Apoi, odată ce îmi dau seama ce metodologie și logică folosesc pentru a oferi protecție, ocolirea nu devine deloc dificilă.
Produsul meu preferat, cu care vă las, se numește MS 1103. Este un exploit bazat pe browser care pulverizează HIPS, Host Intrusion Prevention Signature sau Host Intrusion Prevention Signatures. De fapt, este destinat să ocolească semnăturile HIPS. Nu vreau să vă arăt cum funcționează pentru că nu vreau să îmi iau timp pentru a o demonstra, dar face o treabă grozavă de a ocoli această protecție și vreau să o adoptați.
Bine băieți, eu plec acum.
Câteva reclame 🙂
Vă mulțumim că ați rămas cu noi. Vă plac articolele noastre? Vrei să vezi mai mult conținut interesant? Susține-ne plasând o comandă sau recomandând prietenilor, , un analog unic al serverelor entry-level, care a fost inventat de noi pentru tine: (disponibil cu RAID1 și RAID10, până la 24 de nuclee și până la 40 GB DDR4).
Dell R730xd de 2 ori mai ieftin în centrul de date Equinix Tier IV din Amsterdam? Numai aici in Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - de la 99 USD! Citește despre
Sursa: www.habr.com