Tani do të provojmë një mënyrë tjetër për të injektuar SQL. Le të shohim nëse baza e të dhënave vazhdon të lëshojë mesazhe gabimi. Kjo metodë quhet "pritje për një vonesë", dhe vetë vonesa shkruhet si më poshtë: pritje për vonesë 00:00:01'. Unë e kopjoj këtë nga skedari ynë dhe e ngjis në shiritin e adresave të shfletuesit tim.
E gjithë kjo quhet "injeksion i verbër SQL mbi një bazë të përkohshme". Gjithçka që po bëjmë këtu është të themi "prit një vonesë prej 10 sekondash". Nëse e vini re, lart majtas kemi mbishkrimin "lidhje ...", domethënë çfarë bën faqja jonë? Ai pret për një lidhje dhe pas 10 sekondash, faqja e duhur shfaqet në monitorin tuaj. Me këtë truk, i kërkojmë bazës së të dhënave të na lejojë t'i bëjmë disa pyetje të tjera, për shembull, nëse përdoruesi është Joe, atëherë duhet të presim 10 sekonda. Është e qartë? Nëse përdoruesi është dbo, prisni edhe 10 sekonda. Kjo është metoda Blind SQL Injection.
Unë mendoj se zhvilluesit nuk e rregullojnë këtë dobësi kur krijojnë arna. Ky është injeksion SQL, por as programi ynë IDS nuk e sheh atë, si metodat e mëparshme të injektimit SQL.
Le të provojmë diçka më interesante. Kopjojeni këtë rresht me adresën IP dhe ngjisni atë në shfletues. Funksionoi! Shiriti TCP në programin tonë u kthye në të kuqe, programi vuri në dukje 2 kërcënime sigurie.
Mirë, le të shohim se çfarë ndodhi më pas. Ne kemi një kërcënim për guaskën XP, dhe një kërcënim tjetër është një përpjekje për injeksion SQL. Në total, ka pasur dy përpjekje për të sulmuar aplikacionin në internet.
Mirë, tani më ndihmo me logjikën. Ne kemi një paketë të dhënash ngacmimi në të cilën IDS thotë se i është përgjigjur ndërhyrjeve të ndryshme të guaskës XP.
Nëse zbresim, shohim një tabelë me kode HEX, në të djathtë të së cilës ka një flamur me mesazhin xp_cmdshell + &27ping, dhe padyshim kjo është e keqe.
Le të shohim se çfarë ndodhi këtu. Çfarë bëri SQL Server?
Serveri SQL tha "mund të kesh fjalëkalimin tim të bazës së të dhënave, mund të marrësh të gjitha të dhënat e mia të bazës së të dhënave, por mik, nuk dua që ti të ekzekutosh komandat e tua mbi mua, kjo nuk është aspak e mirë"!
Ajo që duhet të bëjmë është të sigurojmë që edhe nëse IDS raporton një kërcënim për guaskën XP, kërcënimi injorohet. Nëse jeni duke përdorur SQL Server 2005 ose SQL Server 2008, nëse zbulohet një përpjekje për injektim SQL, guaska e sistemit operativ do të bllokohet, duke ju penguar të vazhdoni punën tuaj. Është shumë e bezdisshme. Pra, çfarë duhet të bëjmë? Ju duhet të përpiqeni të pyesni serverin me shumë dashuri. A duhet të them diçka si, "të lutem, babi, a mund t'i kem këto biskota"? Kështu bëj, seriozisht, e pyes serverin me shumë mirësjellje! Po kërkoj më shumë opsione, po kërkoj një rikonfigurim dhe po kërkoj që të ndryshohen cilësimet e shell-it të XP për të vënë në dispozicion shellin sepse më duhet!
Ne shohim që IDS e ka zbuluar këtë - shihni, 3 kërcënime tashmë janë shënuar këtu.
Vetëm shikoni këtu - kemi hedhur në erë regjistrat e sigurisë! Duket si një pemë e Krishtlindjes, kaq shumë gjëra janë varur këtu! Rreth 27 kërcënime sigurie! Horay djema, ne e kapëm këtë haker, e morëm atë!
Ne nuk jemi të shqetësuar se ai do të vjedhë të dhënat tona, por nëse ai mund të ekzekutojë komandat e sistemit në "kutinë" tonë - kjo është tashmë serioze! Ju mund të vizatoni rrugën Telnet, FTP, mund të merrni përsipër të dhënat e mia, kjo është mirë, por unë nuk shqetësohem për këtë, thjesht nuk dua që ju të merrni përsipër guaskën e "kutisë" time.
Dua të flas për gjërat që më kanë tërhequr vërtet. Unë punoj për organizata, kam shumë vite që punoj për to dhe këtë po jua them sepse e dashura ime mendon se jam e papunë. Ajo mendon se gjithçka që bëj është të qëndroj në skenë dhe të bisedoj, kjo nuk mund të konsiderohet punë. Por unë them: "jo, gëzimi im, unë jam një konsulent"! Ky është ndryshimi - unë them mendjen time dhe paguhem për të.
Më lejoni ta them kështu - ne si hakerë na pëlqen të thyejmë guaskën dhe për ne nuk ka kënaqësi më të madhe në botë sesa "gëlltitja e guaskës". Kur analistët IDS shkruajnë rregullat e tyre, ju mund të shihni se ata i shkruajnë ato në një mënyrë që mbron nga hakerimi i guaskës. Por nëse flisni me CIO për problemin e nxjerrjes së të dhënave, ai do t'ju ofrojë të mendoni për dy opsione. Le të themi se kam një aplikacion që bën 100 "copa" në orë. Çfarë është më e rëndësishme për mua - të siguroj sigurinë e të gjitha të dhënave në këtë aplikacion apo sigurinë e guaskës së "kutisë"? Kjo është një pyetje serioze! Për çfarë duhet të shqetësoheni më shumë?
Vetëm për shkak se keni një guaskë të thyer "kuti" nuk do të thotë domosdoshmërisht se dikush ka fituar akses në funksionimin e brendshëm të aplikacioneve. Po, është më se e mundshme, dhe nëse nuk ka ndodhur ende, mund të ndodhë së shpejti. Por vini re se shumë produkte sigurie janë ndërtuar mbi premisën që një sulmues bredh në rrjetin tuaj. Pra, ata i kushtojnë vëmendje ekzekutimit të komandave, injektimit të komandave dhe duhet të keni parasysh se kjo është një gjë serioze. Ata vënë në dukje dobësitë e parëndësishme, skriptimin shumë të thjeshtë ndër-site, injeksione shumë të thjeshta SQL. Ata nuk kujdesen për kërcënimet komplekse, nuk u interesojnë mesazhet e koduara, nuk u interesojnë gjëra të tilla. Mund të thuhet se të gjitha produktet e sigurisë janë në kërkim të zhurmës, janë në kërkim të “kapitjes”, duan të ndalojnë diçka që ju kafshon kyçin e këmbës. Ja çfarë mësova kur merresha me produkte sigurie. Ju nuk keni nevojë të blini produkte sigurie, nuk keni nevojë të drejtoni kamionin në drejtim të kundërt. Keni nevojë për njerëz kompetentë, të aftë që kuptojnë teknologjinë. Po, Zoti im, njerëz! Ne nuk duam të hedhim miliona dollarë në këto probleme, por shumë prej jush keni punuar në këtë fushë dhe e dini se sapo shefi juaj sheh një reklamë, ai vrapon në dyqan duke bërtitur "duhet ta marrim këtë gjë!". Por ne nuk kemi shumë nevojë për të, thjesht duhet të rregullojmë rrëmujën që është pas nesh. Kjo ishte premisa për këtë performancë.
Një mjedis me siguri të lartë është diçka për të cilën kam shpenzuar shumë kohë për të kuptuar rregullat se si funksionojnë mekanizmat e mbrojtjes. Pasi të kuptoni mekanizmat e mbrojtjes, anashkalimi i mbrojtjes nuk është i vështirë. Për shembull, unë kam një aplikacion në internet që mbrohet nga muri i tij i zjarrit. Unë kopjoj adresën e panelit të cilësimeve, e ngjis në shiritin e adresave të shfletuesit dhe shkoj te cilësimet dhe përpiqem të aplikoj skriptimin ndër-faqe.
Si rezultat, marr një mesazh firewall për një kërcënim - u bllokova.
Mendoj se është keq, a jeni dakord? Jeni përballë një produkti sigurie. Por çka nëse provoj diçka të tillë: vendos parametrin Joe'+OR+1='1 në varg
Siç mund ta shihni, funksionoi. Më korrigjoni nëse e kam gabim, por ne kemi parë që injeksioni SQL të mposht murin e zjarrit të aplikacionit. Tani le të pretendojmë se duam të krijojmë një kompani sigurie, kështu që le të vendosim kapelën e prodhuesit të softuerit. Tani ne mishërojmë të keqen sepse është një kapele e zezë. Unë jam një konsulent, kështu që mund ta bëj këtë me prodhuesit e softuerit.
Ne duam të ndërtojmë dhe vendosim një sistem të ri zbulimi të ndërhyrjeve, kështu që do të fillojmë një fushatë për zbulimin e ndërhyrjeve. Snort, si një produkt me burim të hapur, përmban qindra mijëra nënshkrime të kërcënimit të ndërhyrjes. Ne duhet të veprojmë me etikë, kështu që ne nuk do t'i vjedhim këto nënshkrime nga aplikacionet e tjera dhe t'i fusim ato në sistemin tonë. Ne thjesht do të ulemi dhe do t'i rishkruajmë të gjitha - hej Bob, Tim, Joe, ejani këtu dhe bëni një hap të shpejtë nëpër të gjitha ato 100 nënshkrime!
Ne gjithashtu duhet të krijojmë një skaner dobësie. Ju e dini që Nessus, gjetësi automatik i dobësive, ka 80 nënshkrime dhe skripta të mira që kontrollojnë për dobësi. Ne përsëri do të veprojmë me etikë dhe personalisht do t'i rishkruajmë të gjitha në programin tonë.
Njerëzit më pyesin, "Joe, ju i bëni të gjitha këto teste me softuer me burim të hapur si Mod Security, Snort dhe të ngjashme, sa të ngjashme janë ato me produktet e shitësve të tjerë?" Unë u përgjigjem atyre: "Nuk ngjajnë fare!" Për shkak se shitësit nuk vjedhin gjëra nga produktet e sigurisë me burim të hapur, ata ulen dhe i shkruajnë vetë të gjitha këto rregulla.
Nëse mund të bëni që nënshkrimet tuaja dhe vargjet e sulmit të funksionojnë pa përdorur produkte me burim të hapur, kjo është një mundësi e shkëlqyer për ju. Nëse nuk jeni në gjendje të konkurroni kundër produkteve komerciale, duke ecur në drejtimin e duhur, duhet të gjeni një koncept që do t'ju ndihmojë të bëheni të njohur në fushën tuaj.
Të gjithë e dinë që unë pi. Më lejoni t'ju tregoj pse pi. Nëse keni bërë ndonjëherë një auditim të kodit burimor në jetën tuaj, patjetër që do të deheni, më besoni, pas kësaj do të filloni të pini.
Pra, gjuha jonë e preferuar është C++. Le t'i hedhim një vështrim këtij programi - Web Knight është një aplikacion i murit të zjarrit për serverët në internet. Ka përjashtime të paracaktuara. Është interesante - nëse vendos këtë mur zjarri, nuk do të më mbrojë nga Outlook Web Access.
E mrekullueshme! Kjo për shkak se shumë shitës softuerësh po nxjerrin rregulla nga disa aplikacione dhe po i vendosin ato në produktin e tyre pa bërë një grup të tërë kërkimesh të duhura. Pra, kur vendos një aplikacion të murit të zjarrit të rrjetit, mendoj se gjithçka në lidhje me postën në internet është bërë gabim! Sepse pothuajse çdo postë në internet shkel sigurinë e paracaktuar. Ju keni kodin e uebit që ekzekuton komandat dhe pyetjet e sistemit LDAP ose çdo bazë të dhënash tjetër të përdoruesit që ruhet direkt në ueb.
Më thuaj, në cilin planet mund të konsiderohet e sigurt një gjë e tillë? Thjesht mendoni për këtë: ju hapni Outlook Web Access, shtypni b ctrl+K, kërkoni përdoruesit dhe gjithçka tjetër, ju menaxhoni Active Directory direkt nga ueb, ju ekzekutoni komandat e sistemit në Linux nëse përdorni "squirrel mail" ose Horde ose çfarëdo tjetër. diçka tjetër. Ju jeni duke tërhequr të gjitha ato vlera dhe lloje të tjera funksionesh të pasigurta. Prandaj, shumë mure zjarri i përjashtojnë ato nga lista e kërcënimeve të sigurisë, provoni të pyesni prodhuesin tuaj të softuerit për këtë.
Le të kthehemi te aplikacioni Web Knight. Ai vodhi shumë rregulla sigurie nga një skaner URL që skanon të gjitha këto vargje të adresave IP. Dhe çfarë, të gjitha këto vargje adresash janë të përjashtuara nga produkti im?
A dëshiron dikush nga ju t'i instalojë këto adresa në rrjetin tuaj? Dëshironi që rrjeti juaj të funksionojë në këto adresa? Po, është e mahnitshme. Mirë, le të lëvizim poshtë këtë program dhe të shohim gjëra të tjera që ky mur zjarri nuk dëshiron të bëjë.
Ata quhen "1999" dhe duan që serveri i tyre në internet të jetë në të kaluarën! A e kujton ndonjëri prej jush këtë katrahurë: /scripts, /iihelp, msads? Ndoshta disa njerëz do të kujtojnë me nostalgji se sa kënaqësi ishte të hakje gjëra të tilla. “Mbaje mend, o njeri, sa kohë më parë kemi “vrarë” serverë, ishte mirë!”.
Tani, nëse shikoni këto përjashtime, do të shihni se mund t'i bëni të gjitha këto gjëra - msad, printera, iisadmpwd - të gjitha këto gjëra që askush nuk i duhen sot. Po në lidhje me komandat që nuk ju lejohet të ekzekutoni?
Këto janë arp, at, cacls, chkdsk, cipher, cmd, com. Kur i rendisni, ju pushtojnë kujtimet e kohëve të vjetra.
Por ja çfarë është vërtet interesante - a e sheh dikush këtu WMIC apo ndoshta PowerShell? Imagjinoni që keni një aplikacion të ri që funksionon duke ekzekutuar skriptet në sistemin lokal, dhe këto janë skripta moderne, sepse dëshironi të ekzekutoni Windows Server 2008, dhe unë do të bëj një punë të shkëlqyer për ta mbrojtur atë me rregulla të krijuara për Windows 2000. Kështu që herën tjetër që një shitës të vijë tek ju me aplikacionin e tij në internet, pyeteni atë, "hej njeri, a keni ofruar gjëra të tilla si administratori i biteve, ose ekzekutimi i komandave të powershell, a i keni kontrolluar të gjitha gjërat e tjera, sepse ne po shkojmë për të përditësuar dhe përdorur versionin e ri të DotNET"? Por të gjitha këto gjëra duhet të jenë të pranishme në produktin e sigurisë si parazgjedhje!
Gjëja tjetër për të cilën dua të flas me ju janë gabimet logjike. Le të shkojmë në 192.168.2.6. Ky është pothuajse i njëjti aplikacion si ai i mëparshmi.
Mund të vëreni diçka interesante nëse lëvizni poshtë faqes dhe klikoni në lidhjen Na kontaktoni.
Nëse shikoni kodin burimor të skedës "Na Kontaktoni", e cila është një nga metodat pentestuese që bëj gjatë gjithë kohës, do ta vini re këtë rresht.
Mendoni për këtë! Dëgjoj se shumë njerëz, duke parë këtë, thanë: "Uau"! Një herë bëra testimin e penetrimit, për shembull, për një bankë miliardere dhe vura re diçka të ngjashme atje. Pra, nuk kemi nevojë për injeksion SQL ose skriptim ndër faqe - ne kemi gjënë kryesore, këtë shirit adresash.
Pra, pa ekzagjerim - banka na tha se i kishin të dyja - dhe një specialist rrjeti, dhe një inspektor ueb dhe nuk bënë asnjë vërejtje. Kjo do të thotë, ata e konsideruan normale që një skedar teksti të hapet dhe lexohet përmes një shfletuesi.
Kjo do të thotë, thjesht mund ta lexoni skedarin direkt nga sistemi i skedarëve. Kreu i ekipit të tyre të sigurisë më tha, "po, një nga skanerët e gjeti këtë dobësi, por e konsideroi të vogël". Për të cilën unë u përgjigja, në rregull, më jep një minutë. Shkrova filename=../../../../boot.ini në shiritin e adresave dhe munda të lexoja skedarin e nisjes së sistemit të skedarëve!
Për këtë më thanë: “jo, jo, jo, këto nuk janë dosje kritike”! Unë u përgjigja - por është Server 2008, apo jo? Ata thanë po, është ai. Unë them - por ky server ka një skedar konfigurimi të vendosur në direktorinë rrënjë të serverit, apo jo? "E drejtë," përgjigjen ata. "Shkëlqyeshëm," them unë, "po sikur sulmuesi ta bëjë këtë," dhe shkruaj filename=web.config në shiritin e adresave. Ata thonë - pra çfarë, nuk shihni asgjë në monitor?
Unë them - po sikur të kliko me të djathtën në monitor dhe të zgjedh opsionin "Trego kodin e faqes"? Dhe çfarë do të gjej këtu? "Asgjë kritike"? Do të shoh fjalëkalimin e administratorit të serverit!
Dhe ju thoni se nuk ka asnjë problem këtu?
Por pjesa ime e preferuar është ajo e radhës. Ju nuk më lejoni të ekzekutoj komandat në kuti, por unë mund të vjedh fjalëkalimin dhe bazën e të dhënave të administratorit të serverit në internet, të shfletoj të gjithë bazën e të dhënave, të heq të gjithë bazën e të dhënave dhe gjërat e dështimit të sistemit dhe të largohem me të gjitha. Ky është rasti kur i keqi thotë "hej njeri, sot është një ditë e madhe"!
Mos lejoni që produktet e sigurisë të bëhen sëmundja juaj! Mos lejoni që produktet e sigurisë t'ju sëmurin! Gjeni disa budallenj, jepini të gjithë atyre relikeve të Star Trek, interesojini, inkurajojini të qëndrojnë me ju, sepse ata qelbësirë të qelbur që nuk bëjnë dush çdo ditë janë ata që bëjnë që rrjetet tuaja të funksionojnë si ndjekësit! Këta janë njerëzit që do të ndihmojnë produktet tuaja të sigurisë të funksionojnë siç duhet.
Më tregoni, sa prej jush janë në gjendje të qëndrojnë në të njëjtën dhomë për një kohë të gjatë me një person që vazhdimisht thotë: "Oh, më duhet ta printoj urgjentisht këtë skenar!" Dhe kush është i zënë me këtë gjatë gjithë kohës? Por keni nevojë për njerëz që bëjnë që produktet tuaja të sigurisë të funksionojnë.
Për të ritheksuar, produktet e sigurisë janë budallenj sepse dritat janë gjithmonë të gabuara, ato vazhdimisht bëjnë gjëra të ndyra, thjesht nuk ofrojnë siguri. Unë kurrë nuk kam parë një produkt të mirë sigurie që nuk kërkon që një djalë me një kaçavidë ta shkulë aty ku duhet ta çojë të funksionojë pak a shumë normalisht. Është thjesht një listë e madhe rregullash që thonë se është e keqe, dhe kaq!
Pra, djema, dua që t'i kushtoni vëmendje edukimit, gjërave si siguria, politeknika, sepse ka shumë kurse online falas për çështjet e sigurisë. Mësoni Python, mësoni Asamblenë, mësoni testimin e aplikacioneve në internet.
Ja çfarë do t'ju ndihmojë me të vërtetë të siguroni rrjetin tuaj. Njerëzit e zgjuar mbrojnë rrjetet, produktet e rrjetit nuk mbrojnë! Kthehuni në punë dhe i thoni shefit tuaj se keni nevojë për më shumë buxhet për më shumë njerëz të zgjuar, e di që është një krizë tani, por thuajini atij gjithsesi se ne kemi nevojë për më shumë para që njerëzit t'i edukojnë ata. Nëse blejmë një produkt, por nuk blejmë një kurs se si ta përdorim sepse është i shtrenjtë, atëherë pse po e blejmë fare nëse nuk do t'u mësojmë njerëzve se si ta përdorin atë?
Unë kam punuar për shumë shitës produktesh sigurie, kam kaluar pothuajse gjithë jetën time duke i zbatuar këto produkte dhe po mërzitem nga të gjitha këto kontrolle të aksesit në rrjet dhe gjëra të tjera, sepse i kam instaluar dhe ekzekutuar të gjitha këto produkte të gabuara. Një ditë shkova te një klient, ata donin të zbatonin standardin 802.1x për protokollin EAP, kështu që ata kishin adresa MAC dhe adresa dytësore për çdo port. Erdha, pashë që ishte keq, u ktheva dhe fillova të shtyp butonat në printer. E dini, printeri mund të printojë një faqe testimi të pajisjeve të rrjetit me të gjitha adresat MAC dhe adresat IP. Por doli që printeri nuk e mbështet standardin 802.1x, kështu që duhet të përjashtohet.
Më pas e shkëputa printerin nga priza dhe ndryshova adresën MAC të laptopit në adresën MAC të printerit dhe lidha laptopin tim, duke anashkaluar kështu këtë zgjidhje të shtrenjtë MAC, mendoni mirë! Pra, çfarë të mirë mund të bëjë kjo zgjidhje MAC për mua nëse një person thjesht mund të kalojë çdo pajisje si një printer ose një telefon VoIP?
Pra, për mua sot, pentestimi ka të bëjë me shpenzimin e kohës duke u përpjekur për të kuptuar dhe kuptuar një produkt sigurie që klienti im ka blerë. Tani çdo bankë në të cilën bëj një test penetrimi ka të gjitha këto HIPS, NIPS, LAUGTHS, MACS dhe një mori akronimesh të tjera që thjesht thithin. Por unë jam duke u përpjekur të kuptoj se çfarë po përpiqen të bëjnë këto produkte dhe si po përpiqen ta bëjnë atë. Më pas, sapo të kuptoj se çfarë metodologjie dhe logjike përdorin për të siguruar mbrojtje, dalja nga ajo nuk bëhet aspak e vështirë.
Produkti im i preferuar, me të cilin do t'ju lë, quhet MS 1103. Është një shfrytëzim i bazuar në shfletues që spërkat HIPS, Nënshkrimet e Parandalimit të Intrusionit të Host ose Nënshkrimet e Parandalimit të Ndërhyrjes së Host. Në fakt, synohet të anashkalojë nënshkrimet e HIPS. Nuk dua t'ju tregoj se si funksionon, sepse nuk dua të gjej kohë për ta demonstruar, por bën një punë të shkëlqyeshme për të anashkaluar këtë mbrojtje dhe dua që ju ta miratoni atë.
OK djema, po iki tani.
Disa reklama 🙂
Faleminderit që qëndruat me ne. A ju pëlqejnë artikujt tanë? Dëshironi të shihni përmbajtje më interesante? Na mbështesni duke bërë një porosi ose duke rekomanduar miqve, , një analog unik i serverëve të nivelit të hyrjes, i cili u shpik nga ne për ju: (e disponueshme me RAID1 dhe RAID10, deri në 24 bërthama dhe deri në 40 GB DDR4).
Dell R730xd 2 herë më lirë në qendrën e të dhënave Equinix Tier IV në Amsterdam? Vetëm këtu në Holandë! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - nga 99 dollarë! Lexoni rreth
Burimi: www.habr.com