Zdaj bomo poskusili drug način za vbrizgavanje SQL. Poglejmo, ali zbirka podatkov še naprej izpušča sporočila o napakah. Ta metoda se imenuje "čakanje na zakasnitev", sama zakasnitev pa je zapisana takole: čakaj na zakasnitev 00:00:01'. To kopiram iz naše datoteke in prilepim v naslovno vrstico brskalnika.
Vse to se imenuje "začasno slepo vbrizgavanje SQL". Vse, kar tukaj počnemo, je, da rečemo "počakaj z zamikom 10 sekund". Če opazite, imamo zgoraj levo napis "povezovanje ...", se pravi, kaj počne naša stran? Čaka na povezavo in po 10 sekundah se na vašem monitorju prikaže prava stran. S tem trikom prosimo bazo podatkov, da nam omogoči, da ji postavimo še nekaj vprašanj, na primer, če je uporabnik Joe, potem moramo počakati 10 sekund. To je jasno? Če je uporabnik dbo, počakajte tudi 10 sekund. To je metoda slepega vbrizgavanja SQL.
Mislim, da razvijalci te ranljivosti ne odpravijo pri ustvarjanju popravkov. To je vbrizgavanje SQL, vendar ga naš program IDS prav tako ne vidi, tako kot prejšnje metode vbrizgavanja SQL.
Poskusimo nekaj bolj zanimivega. Kopirajte to vrstico z naslovom IP in jo prilepite v brskalnik. Delovalo je! TCP vrstica v našem programu je postala rdeča, program je opazil 2 varnostni grožnji.
V redu, poglejmo, kaj se je zgodilo naprej. Imamo eno grožnjo lupini XP, druga grožnja pa je poskus vbrizgavanja SQL. Skupaj sta bila dva poskusa napada na spletno aplikacijo.
V redu, zdaj pa mi pomagaj z logiko. Imamo podatkovni paket o posegih, za katerega IDS pravi, da se je odzval na različne posege lupine XP.
Če gremo dol, vidimo tabelo HEX kod, desno od katere je zastavica s sporočilom xp_cmdshell + &27ping in očitno je to slabo.
Poglejmo, kaj se je zgodilo tukaj. Kaj je storil SQL Server?
Strežnik SQL je rekel "lahko imaš geslo za mojo bazo podatkov, lahko dobiš vse moje zapise baze podatkov, ampak stari, sploh ne želim, da name izvajaš svoje ukaze, to sploh ni kul"!
Kar moramo storiti, je zagotoviti, da se grožnja prezre, tudi če IDS prijavi grožnjo lupini XP. Če uporabljate SQL Server 2005 ali SQL Server 2008, se bo lupina operacijskega sistema zaklenila, kar vam bo preprečilo nadaljevanje dela, če bo zaznan poskus vbrizgavanja SQL. To je zelo nadležno. Torej, kaj naj storimo? Strežnika poskusite vprašati zelo ljubeče. Naj rečem nekaj takega, "prosim, očka, lahko dobim te piškote"? To počnem, resno, zelo vljudno vprašam strežnika! Prosim za več možnosti, prosim za ponovno konfiguracijo in prosim za spremembo nastavitev lupine XP, da bo lupina na voljo, ker jo potrebujem!
Vidimo, da je IDS to zaznal - vidite, tukaj so že zabeležene 3 grožnje.
Samo poglejte - razstrelili smo varnostne dnevnike! Videti je kot božično drevo, toliko stvari je obešenih tukaj! Kar 27 varnostnih groženj! Hura fantje, tega hekerja smo ujeli, imamo ga!
Ne skrbi nas, da nam bo ukradel podatke, a če zna izvajati sistemske ukaze v naši "škatli" - to je že resno! Lahko narišete pot Telneta, FTP, lahko prevzamete moje podatke, to je kul, vendar me to ne skrbi, samo nočem, da prevzamete lupino moje "škatle".
Želim govoriti o stvareh, ki so me res pritegnile. Delam za organizacije, zanje delam že vrsto let, in to vam govorim, ker moja punca misli, da sem brezposeln. Misli, da vse, kar počnem, stojim na odru in klepetam, to se ne more šteti za delo. Ampak jaz pravim: "ne, moje veselje, jaz sem svetovalec"! To je razlika – povem svoje mnenje in za to sem plačan.
Naj povem takole - mi kot hekerji radi razbijamo lupino in za nas ni večjega užitka na svetu kot "požirati lupino". Ko analitiki IDS pišejo svoja pravila, lahko vidite, da jih pišejo na način, ki ščiti pred vdiranjem lupine. Če pa se pogovorite z CIO o problemu pridobivanja podatkov, vam bo ponudil, da razmislite o dveh možnostih. Recimo, da imam aplikacijo, ki naredi 100 "komadov" na uro. Kaj mi je bolj pomembno - zagotoviti varnost vseh podatkov v tej aplikaciji ali varnost lupine "box"? To je resno vprašanje! Kaj bi vas moralo bolj skrbeti?
Samo zato, ker imate pokvarjeno lupino "škatle", še ne pomeni nujno, da je nekdo pridobil dostop do notranjega delovanja aplikacij. Da, več kot verjetno je, in če se še ni zgodilo, se bo morda kmalu. Vendar upoštevajte, da je veliko varnostnih izdelkov zgrajenih na predpostavki, da napadalec tava po vašem omrežju. Zato so pozorni na izvajanje ukazov, na vbrizgavanje ukazov in upoštevajte, da je to resna stvar. Opozarjajo na nepomembne ranljivosti, zelo preprosto skriptiranje med spletnimi mesti, zelo preproste injekcije SQL. Ne zanimajo jih zapletene grožnje, ne zanimajo jih šifrirana sporočila, ne zanimajo jih te stvari. Lahko rečemo, da vsi varnostni produkti iščejo hrup, iščejo "jokanje", želijo ustaviti nekaj, kar vas grize v gleženj. Tukaj sem se naučil pri delu z varnostnimi izdelki. Ni vam treba kupiti varnostnih izdelkov, ni vam treba voziti tovornjaka vzvratno. Potrebujete kompetentne, usposobljene ljudi, ki razumejo tehnologijo. Ja, moj bog, ljudje! Ne želimo vreči milijonov dolarjev v te težave, a mnogi od vas ste delali na tem področju in veste, da takoj, ko vaš šef vidi oglas, steče v trgovino z vpitjem "to stvar moramo dobiti!". Ampak tega pravzaprav ne rabimo, le zmešnjavo, ki je za nami, moramo popraviti. To je bilo izhodišče za ta nastop.
Visoko varnostno okolje je nekaj, čemur sem posvetil veliko časa, da sem razumel pravila delovanja zaščitnih mehanizmov. Ko enkrat razumete mehanizme zaščite, zaobiti zaščito ni težko. Na primer, imam spletno aplikacijo, ki je zaščitena z lastnim požarnim zidom. Kopiram naslov plošče z nastavitvami, ga prilepim v naslovno vrstico brskalnika in grem v nastavitve ter poskusim uporabiti skriptiranje med spletnimi mesti.
Posledično prejmem sporočilo požarnega zidu o grožnji - bil sem blokiran.
Mislim, da je slabo, se strinjate? Soočate se z varnostnim izdelkom. Kaj pa, če poskusim nekaj takega: v niz vstavim parameter Joe'+OR+1='1
Kot vidite, je uspelo. Popravite me, če se motim, vendar smo videli, da je vstavljanje SQL premagalo požarni zid aplikacije. Zdaj pa se pretvarjajmo, da želimo ustanoviti varnostno podjetje, zato si nadenimo kapo izdelovalca programske opreme. Zdaj utelešamo zlo, ker je črn klobuk. Sem svetovalec, zato lahko to počnem s proizvajalci programske opreme.
Želimo zgraditi in uvesti nov sistem za zaznavanje vdorov, zato bomo začeli kampanjo za odkrivanje posegov. Snort kot odprtokodni izdelek vsebuje več sto tisoč podpisov groženj vdora. Ravnati moramo etično, zato teh podpisov ne bomo ukradli iz drugih aplikacij in jih vstavili v naš sistem. Samo usedli se bomo in jih vse prepisali – hej Bob, Tim, Joe, pridite sem in na hitro preglejte vseh teh 100 podpisov!
Ustvariti moramo tudi pregledovalnik ranljivosti. Veste, da ima Nessus, samodejni iskalec ranljivosti, dobrih 80 podpisov in skript, ki preverjajo ranljivosti. Ponovno bomo ravnali etično in jih vse osebno prepisali v naš program.
Ljudje me sprašujejo: "Joe, vse te teste izvajaš z odprtokodno programsko opremo, kot je Mod Security, Snort in podobno, kako podobni so izdelkom drugih prodajalcev?" Odgovorim jim: "Sploh si nista podobna!" Ker prodajalci ne kradejo stvari iz odprtokodnih varnostnih izdelkov, se usedejo in sami napišejo vsa ta pravila.
Če lahko poskrbite, da bodo vaši podpisi in napadalni nizi delovali brez uporabe odprtokodnih izdelkov, je to odlična priložnost za vas. Če ne morete tekmovati s komercialnimi izdelki in se premikati v pravo smer, morate najti koncept, ki vam bo pomagal postati prepoznaven na vašem področju.
Vsi vedo, da pijem. Naj vam pokažem, zakaj pijem. Če ste kdaj v življenju opravili revizijo izvorne kode, se boste zagotovo napili, verjemite mi, po tem boste začeli piti.
Naš najljubši jezik je torej C++. Oglejmo si ta program - Web Knight je požarni zid za spletne strežnike. Ima privzete izjeme. Zanimivo – če postavim ta požarni zid, me ne bo zaščitil pred spletnim dostopom Outlook.
čudovito! To je zato, ker veliko prodajalcev programske opreme črpa pravila iz nekaterih aplikacij in jih vnaša v svoj izdelek, ne da bi opravili cel kup ustreznih raziskav. Torej, ko postavim aplikacijo omrežnega požarnega zidu, mislim, da je vse v zvezi s spletno pošto narejeno narobe! Ker skoraj vsaka spletna pošta krši privzeto varnost. Imate spletno kodo, ki izvaja sistemske ukaze in poizvedbe LDAP ali katero koli drugo uporabniško bazo podatkov neposredno v spletu.
Povejte mi, na katerem planetu je lahko taka stvar varna? Samo pomislite: odprete Outlook Web Access, pritisnete b ctrl+K, poiščete uporabnike in vse to, upravljate Active Directory neposredno iz spleta, izvajate sistemske ukaze v Linuxu, če uporabljate "squirrel mail" ali Horde ali kar koli drugega nekaj drugega. Izvlečete vse tiste vrednosti in druge vrste nevarnih funkcij. Zato jih veliko požarnih zidov izključuje s seznama varnostnih groženj, poskusite o tem vprašati proizvajalca programske opreme.
Vrnimo se k aplikaciji Web Knight. Ukradel je veliko varnostnih pravil iz čitalnika URL-jev, ki pregleduje vse te obsege naslovov IP. In kaj, vsi ti obsegi naslovov so izključeni iz mojega izdelka?
Ali želi kdo od vas namestiti te naslove v svoje omrežje? Ali želite, da vaše omrežje deluje na teh naslovih? Da, neverjetno je. V redu, pomaknimo se navzdol po tem programu in poglejmo druge stvari, ki jih ta požarni zid ne želi početi.
Imenujejo se "1999" in želijo, da je njihov spletni strežnik v preteklosti! Se kdo od vas spomni te bedarije: /scripts, /iishelp, msads? Morda se bo par ljudi z nostalgijo spomnilo, kako zabavno je bilo hekati take stvari. "Zapomni si, človek, kako dolgo nazaj smo "ubili" strežnike, bilo je kul!".
Zdaj, če pogledate te izjeme, boste videli, da lahko delate vse te stvari - msads, tiskalnike, iisadmpwd - vse te stvari, ki jih danes nihče ne potrebuje. Kaj pa ukazi, ki jih ne smete izvajati?
To so arp, at, cacls, chkdsk, cipher, cmd, com. Ob njihovem naštevanju vas prevzamejo spomini na stare čase, “stari, spomniš se, kako smo prevzeli tisti strežnik, spomniš se tistih dni”?
Ampak tukaj je res zanimivo - ali kdo tukaj vidi WMIC ali morda PowerShell? Predstavljajte si, da imate novo aplikacijo, ki deluje tako, da izvaja skripte v lokalnem sistemu, in to so sodobni skripti, ker želite zagnati Windows Server 2008, in naredil bom odlično delo, da jo zaščitim s pravili, oblikovanimi za Windows 2000. Tako da ga naslednjič, ko pride prodajalec k vam s svojo spletno aplikacijo, vprašajte: »Hej, stari, ali si zagotovil stvari, kot je skrbništvo bitov ali izvajanje ukazov powershell, ali si preveril vse druge stvari, ker gremo za posodobitev in uporabo nove različice DotNET"? Toda vse te stvari bi morale biti privzeto prisotne v varnostnem izdelku!
Naslednja stvar, o kateri želim govoriti s tabo, so logične zmote. Pojdimo na 192.168.2.6. To je približno enaka aplikacija kot prejšnja.
Morda boste opazili kaj zanimivega, če se pomaknete navzdol po strani in kliknete povezavo Kontaktirajte nas.
Če pogledate izvorno kodo zavihka »Stik z nami«, ki je ena od metod pentestiranja, ki jo uporabljam ves čas, boste opazili to vrstico.
Premisli! Slišal sem, da so mnogi ob pogledu na to rekli: "Vau"! Nekoč sem opravil testiranje penetracije za, recimo, milijardersko banko, in tam opazil nekaj podobnega. Torej ne potrebujemo vbrizgavanja SQL ali skriptiranja med spletnimi mesti - imamo glavno stvar, to naslovno vrstico.
Torej, brez pretiravanja - v banki so nam povedali, da imajo oboje - in specialista za omrežja, pa spletnega inšpektorja, pripomb pa niso dali. To pomeni, da se jim je zdelo normalno, da je besedilno datoteko mogoče odpreti in brati prek brskalnika.
To pomeni, da lahko samo preberete datoteko neposredno iz datotečnega sistema. Vodja njihove varnostne ekipe mi je rekel: "Da, eden od skenerjev je našel to ranljivost, vendar jo je ocenil kot manjšo." Na kar sem odgovoril, v redu, daj mi minuto. V naslovno vrstico sem vnesel filename=../../../../boot.ini in lahko sem prebral zagonsko datoteko datotečnega sistema!
Na to so mi rekli: "ne, ne, ne, to niso kritične datoteke"! Odgovoril sem - ampak to je Server 2008, kajne? Rekli so, da, on je. Pravim - ampak ta strežnik ima konfiguracijsko datoteko v korenskem imeniku strežnika, kajne? "Prav," odgovorijo. »Super,« rečem, »kaj pa, če napadalec to stori,« in v naslovno vrstico vnesem filename=web.config. Pravijo - kaj pa, na monitorju ne vidite ničesar?
Jaz pravim – kaj pa če z desno miškino tipko kliknem na monitor in izberem možnost »Prikaži kodo strani«? In kaj bom našel tukaj? "Nič kritičnega"? Videla bom skrbniško geslo strežnika!
In pravite, da tukaj ni problema?
Toda moj najljubši del je naslednji. Ne dovolite mi, da izvajam ukaze v polju, lahko pa ukradem skrbniško geslo spletnega strežnika in zbirko podatkov, prebrskam celotno zbirko podatkov, iztrgam vso zbirko podatkov in sistemske napake ter odidem z vsem tem. To je v primeru, ko negativec reče "hej človek, danes je super dan"!
Ne dovolite, da varnostni izdelki postanejo vaša bolezen! Naj vas varnostni izdelki ne zbolijo! Poiščite piflarje, dajte jim vse tiste spominke iz Zvezdnih stez, jih zainteresirajte, spodbudite jih, da ostanejo z vami, kajti ti piflarski smrdljivci, ki se ne tuširajo vsak dan, poskrbijo, da vaša omrežja delujejo, kot sledi! To so ljudje, ki bodo pomagali vašim varnostnim izdelkom pravilno delovati.
Povejte mi, koliko vas je sposobnih dolgo ostati v isti sobi z osebo, ki nenehno govori: "oh, nujno moram natisniti ta scenarij!", In kdo je s tem ves čas zaposlen? Toda potrebujete ljudi, ki poskrbijo, da vaši varnostni izdelki delujejo.
Ponavljam, varnostni produkti so neumni, ker so luči vedno napačne, nenehno delajo usrane stvari, preprosto ne zagotavljajo varnosti. Še nikoli nisem videl dobrega varnostnega izdelka, ki ne bi zahteval tipa z izvijačem, da bi ga nastavil tam, kjer je treba, da bi deloval bolj ali manj normalno. Samo ogromen seznam pravil pravi, da je slabo, in to je to!
Torej, fantje, želim, da ste pozorni na izobraževanje, na stvari, kot so varnost, politehnika, saj obstaja veliko brezplačnih spletnih tečajev o varnostnih vprašanjih. Naučite se Pythona, naučite se montaže, naučite se testiranja spletnih aplikacij.
Tukaj je tisto, kar vam bo resnično pomagalo zaščititi vaše omrežje. Pametni ljudje ščitijo omrežja, omrežni izdelki ne ščitijo! Pojdi nazaj na delo in povej svojemu šefu, da potrebuješ več proračuna za več pametnih ljudi, vem, da je zdaj kriza, ampak vseeno mu povej, da potrebujemo več denarja za ljudi, da jih izobrazimo. Če kupimo izdelek, vendar ne kupimo tečaja o njegovi uporabi, ker je drag, zakaj ga potem sploh kupujemo, če ljudi ne bomo naučili, kako ga uporabljati?
Delal sem za veliko prodajalcev varnostnih izdelkov, skoraj vse življenje sem porabil za implementacijo teh izdelkov in postajam siten vseh teh kontrol dostopa do omrežja in podobnega, ker sem namestil in zagnal vse te bedne izdelke. Nekega dne sem šel k stranki, želeli so implementirati standard 802.1x za protokol EAP, zato so imeli naslove MAC in sekundarne naslove za vsaka vrata. Prišel sem, videl, da je slabo, se obrnil in začel pritiskati gumbe na tiskalniku. Veste, tiskalnik lahko natisne testno stran omrežne opreme z vsemi naslovi MAC in naslovi IP. Toda izkazalo se je, da tiskalnik ne podpira standarda 802.1x, zato ga je treba izključiti.
Potem sem odklopil tiskalnik in spremenil naslov MAC svojega prenosnika v naslov MAC tiskalnika ter povezal svoj prenosnik in tako zaobšel to drago rešitev MAC, pomislite! Torej, kaj mi lahko pomaga ta rešitev MAC, če lahko oseba preprosto izda katero koli opremo za tiskalnik ali telefon VoIP?
Zato je zame danes pentesting poraba časa za razumevanje in razumevanje varnostnega izdelka, ki ga je kupila moja stranka. Zdaj ima vsaka banka, pri kateri opravim test penetracije, vse te HIPS, NIPS, LAUGTHS, MACS in cel kup drugih akronimov, ki so preprosto zanič. Vendar poskušam ugotoviti, kaj ti izdelki poskušajo narediti in kako to poskušajo narediti. Potem, ko ugotovim, kakšno metodologijo in logiko uporabljajo za zagotavljanje zaščite, obhod tega sploh ni težak.
Moj najljubši izdelek, ki vam ga bom pustil, se imenuje MS 1103. To je brskalnik, ki temelji na izkoriščanju, ki razprši HIPS, Host Intrusion Prevention Signature ali Host Intrusion Prevention Signatures. Pravzaprav je namenjen zaobiti podpise HIPS. Nočem vam pokazati, kako deluje, ker si ne želim vzeti časa, da bi to pokazal, vendar odlično obide to zaščito in želim, da ga sprejmete.
V redu fantje, zdaj grem.
Nekaj oglasov 🙂
Hvala, ker ste ostali z nami. So vam všeč naši članki? Želite videti več zanimivih vsebin? Podprite nas tako, da oddate naročilo ali priporočite prijateljem, , edinstven analog začetnih strežnikov, ki smo ga izumili za vas: (na voljo z RAID1 in RAID10, do 24 jeder in do 40 GB DDR4).
Dell R730xd dvakrat cenejši v podatkovnem centru Equinix Tier IV v Amsterdamu? Samo tukaj na Nizozemskem! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 $! Preberite o
Vir: www.habr.com