Teraz skúsime iný spôsob vloženia SQL. Pozrime sa, či databáza neustále vynecháva chybové hlásenia. Táto metóda sa nazýva "čakanie na oneskorenie" a samotné oneskorenie je napísané takto: waitfor delay 00:00:01'. Skopírujem to z nášho súboru a vložím ho do panela s adresou v prehliadači.
Toto všetko sa nazýva „slepá injekcia SQL na dočasnom základe“. Všetko, čo tu robíme, je povedať „čakajte 10 sekúnd“. Ak si všimnete, vľavo hore máme nápis „connecting ...“, teda čo robí naša stránka? Čaká na pripojenie a po 10 sekundách sa na vašom monitore zobrazí správna stránka. Týmto trikom požiadame databázu, aby nám umožnila položiť jej niekoľko ďalších otázok, napríklad ak je používateľom Joe, musíme počkať 10 sekúnd. To je jasné? Ak je používateľ dbo, počkajte tiež 10 sekúnd. Toto je metóda Blind SQL Injection.
Myslím si, že vývojári pri vytváraní záplat túto zraniteľnosť neopravujú. Toto je SQL injection, ale náš IDS program to tiež nevidí, ako predchádzajúce metódy SQL injection.
Skúsme niečo zaujímavejšie. Skopírujte tento riadok s IP adresou a vložte ho do prehliadača. Fungovalo to! Lišta TCP v našom programe sčervenala, program zaznamenal 2 bezpečnostné hrozby.
Dobre, uvidíme, čo sa stalo ďalej. Máme jednu hrozbu pre shell XP a ďalšou hrozbou je pokus o injekciu SQL. Celkovo išlo o dva pokusy o útok na webovú aplikáciu.
Dobre, teraz mi pomôžte s logikou. Máme falšovaný dátový paket, v ktorom IDS hovorí, že reagoval na rôzne falšovanie shellu XP.
Ak pôjdeme dole, uvidíme tabuľku HEX kódov, napravo od nej je príznak so správou xp_cmdshell + &27ping a to je zjavne zlé.
Pozrime sa, čo sa tu stalo. Čo urobil SQL Server?
SQL server povedal: "môžeš mať moje heslo do databázy, môžeš získať všetky moje databázové záznamy, ale kámo, vôbec nechcem, aby si na mňa spúšťal svoje príkazy, to vôbec nie je cool"!
Čo musíme urobiť, je zabezpečiť, že aj keď IDS ohlási hrozbu shellu XP, hrozba bude ignorovaná. Ak používate SQL Server 2005 alebo SQL Server 2008, ak sa zistí pokus o vloženie SQL, shell operačného systému sa uzamkne, čo vám zabráni pokračovať v práci. Je to veľmi nepríjemné. Čo teda máme robiť? Mali by ste sa pokúsiť veľmi láskavo požiadať servera. Mám povedať niečo ako: „Prosím, ocko, môžem si dať tieto sušienky“? To je to, čo robím, vážne, pýtam sa servera veľmi zdvorilo! Pýtam sa na viac možností, žiadam o rekonfiguráciu a žiadam o zmenu nastavení shellu XP, aby bol shell dostupný, pretože ho potrebujem!
Vidíme, že IDS to zistil – vidíte, už tu boli zaznamenané 3 hrozby.
Pozrite sa sem – vyhodili sme do vzduchu bezpečnostné protokoly! Vyzerá to ako vianočný stromček, toľko vecí je tu zavesených! Až 27 bezpečnostných hrozieb! Hurá chlapci, chytili sme tohto hackera, dostali sme ho!
Neobávame sa, že nám ukradne dáta, ale ak dokáže vykonávať systémové príkazy v našej „škatuli“ - to už je vážne! Môžete si nakresliť Telnetovú cestu, FTP, môžete prebrať moje dáta, to je v pohode, ale ja si s tým hlavu nelámem, len nechcem, aby ste prebrali škrupinu mojej "škatule".
Chcem hovoriť o veciach, ktoré ma skutočne dostali. Pracujem pre organizácie, pracujem pre ne už mnoho rokov a hovorím vám to preto, lebo moja priateľka si myslí, že som nezamestnaný. Myslí si, že ja len stojím na pódiu a chatujem, to sa nedá považovať za prácu. Ale ja hovorím: „nie, moja radosť, som konzultant“! To je rozdiel – hovorím svoj názor a dostávam za to zaplatené.
Poviem to takto – my ako hackeri milujeme rozlúsknutie škrupiny a na svete nie je pre nás väčšie potešenie ako „prehĺtanie škrupiny“. Keď analytici IDS píšu svoje pravidlá, môžete vidieť, že ich píšu spôsobom, ktorý chráni pred hackovaním shellu. Ak sa však s CIO porozprávate o probléme získavania údajov, ponúkne vám, aby ste sa zamysleli nad dvoma možnosťami. Povedzme, že mám aplikáciu, ktorá robí 100 „kúskov“ za hodinu. Čo je pre mňa dôležitejšie - zabezpečiť bezpečnosť všetkých údajov v tejto aplikácii alebo bezpečnosť "krabicového" shellu? Toto je vážna otázka! Čoho by ste sa mali viac obávať?
To, že máte rozbitú schránku, nemusí nutne znamenať, že niekto získal prístup k vnútornému fungovaniu aplikácií. Áno, je to viac než pravdepodobné, a ak sa tak ešte nestalo, môže sa to stať už čoskoro. Upozorňujeme však, že mnohé bezpečnostné produkty sú postavené na predpoklade, že vo vašej sieti sa pohybuje útočník. Takže venujú pozornosť vykonávaniu príkazov, vstrekovaniu príkazov a mali by ste si uvedomiť, že ide o vážnu vec. Poukazujú na triviálne zraniteľnosti, veľmi jednoduché cross-site skriptovanie, veľmi jednoduché SQL injekcie. Nestarajú sa o komplexné hrozby, nestarajú sa o šifrované správy, nezaujímajú ich takéto veci. Dá sa povedať, že všetky bezpečnostné produkty vyhľadávajú hluk, hľadajú „jaganie“, chcú zastaviť niečo, čo vás hryzie do členku. Tu je to, čo som sa naučil pri práci s bezpečnostnými produktmi. Nepotrebujete kupovať bezpečnostné produkty, nepotrebujete jazdiť s kamiónom cúvaním. Potrebujete kompetentných, zručných ľudí, ktorí rozumejú technológii. Áno, bože, ľudia! Nechceme do týchto problémov hádzať milióny dolárov, no mnohí z vás v tejto oblasti pracovali a viete, že akonáhle váš šéf uvidí reklamu, beží do obchodu a kričí „tuto vec musíme dostať!“. Ale vlastne to nepotrebujeme, musíme len opraviť neporiadok, ktorý je za nami. To bol predpoklad tohto vystúpenia.
Prostredie s vysokou bezpečnosťou je niečo, čomu som venoval veľa času, aby som pochopil pravidlá fungovania ochranných mechanizmov. Keď pochopíte mechanizmy ochrany, obísť ochranu nie je ťažké. Napríklad mám webovú aplikáciu, ktorá je chránená vlastným firewallom. Skopírujem adresu panela nastavení, vložím ju do panela s adresou prehliadača a prejdem do nastavení a pokúsim sa použiť skriptovanie medzi stránkami.
V dôsledku toho dostávam správu brány firewall o hrozbe – bol som zablokovaný.
Myslím, že je to zlé, súhlasíš? Stojíte pred bezpečnostným produktom. Ale čo keď skúsim niečo takéto: do reťazca vložte parameter Joe'+OR+1='1
Ako vidíte, podarilo sa. Opravte ma, ak sa mýlim, ale videli sme, že SQL injection porazí aplikačný firewall. Teraz predstierajme, že chceme založiť bezpečnostnú spoločnosť, tak si nasaďme klobúk výrobcu softvéru. Teraz stelesňujeme zlo, pretože je to čierny klobúk. Som konzultant, takže to môžem urobiť s výrobcami softvéru.
Chceme vybudovať a nasadiť nový systém detekcie narušenia, preto spustíme kampaň na detekciu neoprávnených zásahov. Snort ako produkt s otvoreným zdrojovým kódom obsahuje stovky tisíc podpisov hrozieb narušenia. Musíme konať eticky, preto nebudeme tieto podpisy kradnúť z iných aplikácií a vkladať ich do nášho systému. Proste si sadneme a prepíšeme ich všetky - hej Bob, Tim, Joe, poď sem a rýchlo si prebehni všetkých tých 100 000 podpisov!
Musíme tiež vytvoriť skener zraniteľnosti. Viete, že Nessus, automatický vyhľadávač zraniteľností, má dobrých 80 XNUMX podpisov a skriptov, ktoré kontrolujú zraniteľnosti. Opäť budeme konať eticky a osobne ich všetky prepíšeme do nášho programu.
Ľudia sa ma pýtajú: "Joe, robíš všetky tieto testy s open source softvérom ako Mod Security, Snort a podobne, nakoľko sú podobné produktom iných predajcov?" Odpovedám im: "Vôbec sa na seba nepodobajú!" Pretože predajcovia nekradnú veci z open source bezpečnostných produktov, sadnú si a napíšu všetky tieto pravidlá sami.
Ak dokážete sfunkčniť svoje vlastné podpisy a útočné reťazce bez použitia produktov s otvoreným zdrojovým kódom, je to pre vás skvelá príležitosť. Ak nie ste schopní konkurovať komerčným produktom a kráčať správnym smerom, musíte nájsť koncept, ktorý vám pomôže stať sa známym vo vašom odbore.
Každý vie, že pijem. Ukážem ti, prečo pijem. Ak ste niekedy v živote robili audit zdrojového kódu, určite sa opijete, verte mi, potom začnete piť.
Takže náš obľúbený jazyk je C++. Poďme sa pozrieť na tento program – Web Knight je firewallová aplikácia pre webové servery. Má predvolené výnimky. Je to zaujímavé – ak nasadím tento firewall, nebude ma chrániť pred Outlook Web Access.
úžasné! Je to preto, že veľa dodávateľov softvéru vyťahuje pravidlá z niektorých aplikácií a vkladá ich do svojich produktov bez toho, aby vykonali celý rad správnych prieskumov. Takže keď nasadím aplikáciu sieťového firewallu, myslím si, že všetko o webmaile sa robí zle! Pretože takmer každý webmail porušuje predvolené zabezpečenie. Máte webový kód, ktorý vykonáva systémové príkazy a dopyty LDAP alebo akéhokoľvek iného používateľského databázového úložiska priamo na webe.
Povedzte mi, na akej planéte možno niečo také považovať za bezpečné? Len sa nad tým zamyslite: otvoríte Outlook Web Access, stlačíte b ctrl+K, vyhľadáte používateľov a to všetko, spravujete Active Directory priamo z webu, spustíte systémové príkazy v systéme Linux, ak používate „squirrel mail“ alebo Horde alebo čokoľvek iné. niečo iné. Vyťahujete všetky tie evaly a iné typy nebezpečných funkcií. Mnohé brány firewall ich preto vylučujú zo zoznamu bezpečnostných hrozieb, skúste sa na to opýtať výrobcu softvéru.
Vráťme sa k aplikácii Web Knight. Ukradol veľa bezpečnostných pravidiel zo skenera URL, ktorý skenuje všetky tieto rozsahy IP adries. A čo, všetky tieto rozsahy adries sú vylúčené z môjho produktu?
Chce niekto z vás nainštalovať tieto adresy do vašej siete? Chcete, aby vaša sieť bežala na týchto adresách? Áno, je to úžasné. Dobre, posuňme sa v tomto programe nadol a pozrime sa na ďalšie veci, ktoré tento firewall nechce robiť.
Volajú sa „1999“ a chcú, aby ich webový server bol v minulosti! Pamätá si niekto z vás túto kravinu: /scripts, /iishelp, msads? Snáď si pár ľudí s nostalgiou spomenie, aké zábavné bolo hackovanie takýchto vecí. "Pamätajte, človeče, ako dávno sme "zabili" servery, bolo to skvelé!"
Teraz, keď sa pozriete na tieto výnimky, uvidíte, že môžete robiť všetky tieto veci – msady, tlačiarne, iisadmpwd – všetky tieto veci, ktoré dnes nikto nepotrebuje. A čo príkazy, ktoré nesmiete vykonávať?
Sú to arp, at, cacls, chkdsk, cipher, cmd, com. Pri ich vypisovaní vás zaplavia spomienky na staré časy, „kámo, pamätáš si, ako sme prebrali ten server, pamätáš si tie časy“?
Ale tu je to, čo je skutočne zaujímavé - vidí tu niekto WMIC alebo možno PowerShell? Predstavte si, že máte novú aplikáciu, ktorá funguje tak, že spúšťa skripty na lokálnom systéme, a toto sú moderné skripty, pretože chcete spustiť Windows Server 2008 a ja urobím skvelú prácu pri jej ochrane pomocou pravidiel navrhnutých pre Windows. 2000. Aby ste nabudúce, keď za vami príde predajca so svojou webovou aplikáciou, opýtajte sa ho: „Človeče, zabezpečil si veci ako bits admin alebo vykonávanie príkazov powershell, skontroloval si všetky ostatné veci, pretože ideme aktualizovať a používať novú verziu DotNET“? Všetky tieto veci by však mali byť v bezpečnostnom produkte štandardne prítomné!
Ďalšia vec, o ktorej s vami chcem hovoriť, sú logické omyly. Poďme na 192.168.2.6. Toto je približne rovnaká aplikácia ako predchádzajúca.
Môžete si všimnúť niečo zaujímavé, ak rolujete nadol po stránke a kliknete na odkaz Kontaktujte nás.
Ak sa pozriete na zdrojový kód záložky "Kontaktujte nás", čo je jedna z metód pentestingu, ktoré robím stále, všimnete si tento riadok.
Myslite na to! Počul som, že mnohí pri pohľade na to povedali: "Wow"! Raz som robil penetračný test pre povedzme miliardársku banku a všimol som si tam niečo podobné. Nepotrebujeme teda SQL injection ani cross site scripting – máme to hlavné, tento adresný riadok.
Takže bez preháňania - banka nám povedala, že mali oboch - aj sieťového špecialistu a webového inšpektora a nemali žiadne poznámky. To znamená, že považovali za normálne, že textový súbor možno otvoriť a prečítať cez prehliadač.
To znamená, že súbor môžete čítať priamo zo systému súborov. Vedúci ich bezpečnostného tímu mi povedal: „Áno, jeden zo skenerov našiel túto zraniteľnosť, ale považoval ju za zanedbateľnú. Na čo som odpovedal, dobre, daj mi minútku. Do panela s adresou som zadal filename=../../../../boot.ini a podarilo sa mi prečítať zavádzací súbor súborového systému!
Na to mi povedali: „nie, nie, nie, toto nie sú kritické súbory“! Odpovedal som - ale to je Server 2008, však? Povedali áno, je to on. Hovorím - ale tento server má konfiguračný súbor umiestnený v koreňovom adresári servera, však? "Správne," odpovedajú. "Skvelé," hovorím, "čo ak to urobí útočník," a do panela s adresou napíšem filename=web.config. Hovoria - tak čo, na monitore nič nevidíte?
Hovorím - čo keď kliknem pravým tlačidlom myši na monitor a vyberiem možnosť "Zobraziť kód stránky"? A čo tu nájdem? "Nič kritické"? Uvidím heslo správcu servera!
A ty hovoríš, že tu nie je problém?
Ale moja najobľúbenejšia časť je ďalšia. Nedovolíte mi spúšťať príkazy v krabici, ale môžem ukradnúť heslo správcu a databázu webového servera, prechádzať celú databázu, vytrhnúť všetku databázu a zlyhania systému a odísť s tým všetkým. To je prípad, keď zlý človek povie „hej chlape, dnes je skvelý deň“!
Nedovoľte, aby sa bezpečnostné produkty stali vašou chorobou! Nedovoľte, aby vás z bezpečnostných produktov ochoreli! Nájdite nejakých hlupákov, dajte im všetky tie suveníry zo Star Treku, zaujmite ich, povzbuďte ich, aby zostali s vami, pretože tí hlúpi smradi, ktorí sa nesprchujú denne, sú tí, vďaka ktorým budú vaše siete fungovať takto! Toto sú ľudia, ktorí pomôžu vašim bezpečnostným produktom správne fungovať.
Povedzte mi, koľkí z vás sú schopní zostať dlho v jednej miestnosti s človekom, ktorý neustále hovorí: „Och, potrebujem súrne vytlačiť tento scenár!“ A kto je s tým celý čas zaneprázdnený? Potrebujete však ľudí, vďaka ktorým budú vaše bezpečnostné produkty fungovať.
Aby som zopakoval, bezpečnostné produkty sú hlúpe, pretože svetlá sú vždy nesprávne, neustále robia posraté veci, jednoducho neposkytujú bezpečnosť. Nikdy som nevidel dobrý bezpečnostný produkt, ktorý nevyžadoval chlapíka so skrutkovačom, aby ho vyladil tam, kde je potrebné, aby fungoval viac-menej normálne. Je to len obrovský zoznam pravidiel, ktoré hovoria, že je to zlé, a to je všetko!
Takže chlapci, chcem, aby ste venovali pozornosť vzdelávaniu, veciam ako bezpečnosť, polytechnika, pretože existuje veľa bezplatných online kurzov o otázkach bezpečnosti. Naučte sa Python, naučte sa Assembly, naučte sa testovanie webových aplikácií.
Tu je to, čo vám skutočne pomôže zabezpečiť vašu sieť. Chytrí ľudia chránia siete, sieťové produkty nechránia! Vráťte sa do práce a povedzte svojmu šéfovi, že potrebujete viac rozpočtu pre inteligentnejších ľudí, viem, že teraz je kríza, ale aj tak mu povedzte, že potrebujeme viac peňazí, aby ich ľudia vzdelávali. Ak si kúpime produkt, ale nekúpime si kurz, ako ho používať, pretože je drahý, tak prečo ho vôbec kupujeme, ak ho nenaučíme ľudí používať?
Pracoval som pre veľa dodávateľov bezpečnostných produktov, strávil som takmer celý svoj život implementáciou týchto produktov a už som chorý zo všetkých týchto kontrol prístupu k sieti a podobne, pretože som nainštaloval a spustil všetky tieto svinské produkty. Jedného dňa som išiel za klientom, chceli implementovať štandard 802.1x pre EAP protokol, takže mali MAC adresy a sekundárne adresy pre každý port. Prišiel som, videl som, že je zle, otočil som sa a začal stláčať tlačidlá na tlačiarni. Viete, tlačiareň dokáže vytlačiť testovaciu stránku sieťového zariadenia so všetkými MAC adresami a IP adresami. Ukázalo sa však, že tlačiareň nepodporuje štandard 802.1x, takže ju treba vylúčiť.
Potom som odpojil tlačiareň a zmenil MAC adresu môjho notebooku na MAC adresu tlačiarne a pripojil notebook, čím som obišiel toto drahé MAC riešenie, myslite na to! Načo mi teda môže byť toto MAC riešenie, ak človek môže jednoducho vydať akékoľvek zariadenie za tlačiareň alebo telefón VoIP?
Takže pre mňa je dnes pentesting o trávení času snahou pochopiť a pochopiť bezpečnostný produkt, ktorý si môj klient kúpil. Teraz každá banka, v ktorej robím penetračný test, má všetky tieto HIPS, NIPS, LAUGTHS, MACS a množstvo ďalších skratiek, ktoré sú jednoducho na hovno. Ale snažím sa prísť na to, o čo sa tieto produkty snažia a ako sa o to snažia. Potom, keď zistím, akú metodiku a logiku používajú na poskytovanie ochrany, obísť to nebude vôbec ťažké.
Môj obľúbený produkt, ktorý vám prenechám, sa volá MS 1103. Je to exploit založený na prehliadači, ktorý sprejuje HIPS, Host Intrusion Prevention Signature alebo Host Intrusion Prevention Signatures. V skutočnosti je určený na obídenie podpisov HIPS. Nechcem vám ukazovať, ako to funguje, pretože si nechcem nájsť čas na to, aby som to demonštroval, ale robí skvelú prácu pri obchádzaní tejto ochrany a chcem, aby ste si ju osvojili.
Dobre chlapci, už idem.
Nejaké inzeráty 🙂
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, , jedinečný analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší v dátovom centre Equinix Tier IV v Amsterdame? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com