Сада ћемо покушати на други начин да убацимо СКЛ. Хајде да видимо да ли база података наставља да испушта поруке о грешци. Овај метод се зове "ваитинг фор а делаи", а само кашњење је записано на следећи начин: чекај кашњење 00:00:01'. Копирам ово из наше датотеке и налепим у адресну траку свог претраживача.
Све ово се зове "слепо СКЛ ињекција на привременој основи". Све што овде радимо је да кажемо "сачекајте одлагање од 10 секунди". Ако приметите, у горњем левом углу имамо натпис "повезивање ...", односно шта ради наша страница? Чека везу, а након 10 секунди, исправна страница се појављује на вашем монитору. Овим триком тражимо од базе података да нам дозволи да јој поставимо још неколико питања, на пример, ако је корисник Џо, онда треба да сачекамо 10 секунди. То је јасно? Ако је корисник дбо, сачекајте и 10 секунди. Ово је метода слијепе СКЛ ињекције.
Мислим да програмери не поправљају ову рањивост приликом креирања закрпа. Ово је СКЛ ињекција, али је ни наш ИДС програм не види, као претходне методе СКЛ ињекције.
Хајде да пробамо нешто занимљивије. Копирајте ову линију са ИП адресом и налепите је у претраживач. Успело је! ТЦП трака у нашем програму је постала црвена, програм је забележио 2 безбедносне претње.
Ок, да видимо шта се даље десило. Имамо једну претњу за КСП љуску, а друга претња је покушај СКЛ ињекције. Укупно су била два покушаја напада на веб апликацију.
Добро, сад ми помози са логиком. Имамо пакет података о неовлаштеном приступу у којем ИДС каже да је реаговао на различите манипулације КСП схелл-ом.
Ако се спустимо, видимо табелу ХЕКС кодова, десно од које се налази заставица са поруком кп_цмдсхелл + &27пинг, а ово је очигледно лоше.
Да видимо шта се овде десило. Шта је урадио СКЛ Сервер?
СКЛ сервер је рекао "можете имати лозинку за моју базу података, можете добити све моје записе базе података, али човјече, не желим да ми изводите своје команде уопште, то уопште није кул"!
Оно што треба да урадимо је да обезбедимо да чак и ако ИДС пријави претњу КСП љусци, претња буде игнорисана. Ако користите СКЛ Сервер 2005 или СКЛ Сервер 2008, ако се открије покушај СКЛ ињекције, љуска оперативног система ће бити закључана, спречавајући вас да наставите са радом. Веома је досадно. Па шта да радимо? Требало би да покушате да питате сервера веома љубазно. Да ли да кажем нешто попут „молим те, тата, могу ли добити ове колачиће“? То ја радим, озбиљно, веома љубазно питам сервера! Тражим више опција, тражим реконфигурацију, и тражим да се промене поставке љуске КСП да би шкољка била доступна јер ми је потребна!
Видимо да је ИДС ово открио - видите, овде су већ забележене 3 претње.
Погледајте само овде - разнели смо безбедносне дневнике! Изгледа као јелка, толико је овде окачено! Чак 27 безбедносних претњи! Ура момци, ухватили смо овог хакера, ухватили смо га!
Не брине нас да ће нам украсти податке, али ако може да изврши системске команде у нашој „кутији“ – ово је већ озбиљно! Можете нацртати Телнет руту, ФТП, можете преузети моје податке, то је кул, али ја се не бринем о томе, само не желим да преузмете љуску моје "кутије".
Желим да причам о стварима које су ме заиста ухватиле. Радим за организације, радим за њих дуги низ година, а ово вам говорим јер моја девојка мисли да сам незапослен. Она мисли да ја само стојим на сцени и ћаскам, то се не може сматрати радом. Али ја кажем: „Не, моја радост, ја сам консултант“! То је разлика - ја говорим шта мислим и за то сам плаћен.
Дозволите ми да то кажем овако – ми као хакери волимо да разбијемо шкољку, а за нас нема већег задовољства на свету од „прогутања љуске“. Када ИДС аналитичари напишу своја правила, можете видети да их пишу на начин који штити од хаковања љуске. Али ако разговарате са ЦИО-ом о проблему вађења података, он ће вам понудити да размислите о две опције. Рецимо да имам апликацију која прави 100 "комада" на сат. Шта ми је важније – да обезбедим сигурност свих података у овој апликацији или сигурност љуске „кутије“? Ово је озбиљно питање! Шта би требало да вас више брине?
Само зато што имате покварену „кутију“ шкољку не значи нужно да је неко добио приступ унутрашњем раду апликација. Да, то је више него вероватно, а ако се то још није догодило, можда ће ускоро. Али имајте на уму да су многи безбедносни производи изграђени на претпоставци да нападач лута вашом мрежом. Дакле, они обраћају пажњу на извршавање команди, на убризгавање команди, а треба напоменути да је то озбиљна ствар. Они истичу тривијалне рањивости, врло једноставно скриптовање на више локација, врло једноставне СКЛ ињекције. Не маре за сложене претње, не маре за шифроване поруке, не маре за такве ствари. Може се рећи да сви безбедносни производи траже буку, траже „јапкање“, желе да зауставе нешто што те гризе за чланак. Ево шта сам научио када сам се бавио сигурносним производима. Не морате да купујете сигурносне производе, не морате да возите камион уназад. Потребни су вам компетентни, обучени људи који разумеју технологију. Да, Боже, људи! Не желимо да бацамо милионе долара у ове проблеме, али многи од вас су радили у овој области и знају да чим ваш шеф види оглас, трчи у продавницу вичући „Морамо да набавимо ову ствар!“. Али то нам баш и не треба, само морамо да поправимо неред који је иза нас. То је била претпоставка за овај наступ.
Високо безбедносно окружење је нешто на шта сам потрошио доста времена да бих разумео правила како функционишу заштитни механизми. Када схватите механизме заштите, заобићи заштиту није тешко. На пример, имам веб апликацију која је заштићена сопственим заштитним зидом. Копирам адресу панела са подешавањима, налепим је у адресну траку претраживача и идем у подешавања и покушавам да применим скриптовање на више локација.
Као резултат тога, добијам поруку заштитног зида о претњи – блокиран сам.
Мислим да је лоше, слажете ли се? Суочени сте са безбедносним производом. Али шта ако покушам нешто овако: ставите параметар Јое'+ОР+1='1 у стринг
Као што видите, успело је. Исправите ме ако грешим, али видели смо да СКЛ ињекција побеђује заштитни зид апликације. Сада се претварајмо да желимо да покренемо безбедносну компанију, па ставимо капу произвођача софтвера. Сада утјеловљујемо зло јер је то црни шешир. Ја сам консултант, тако да могу да урадим ово са произвођачима софтвера.
Желимо да изградимо и применимо нови систем за откривање упада, тако да ћемо покренути кампању за откривање неовлашћеног приступа. Снорт, као производ отвореног кода, садржи стотине хиљада потписа претњи упада. Морамо се понашати етички, тако да нећемо красти ове потписе из других апликација и убацивати их у наш систем. Само ћемо сести и преписати их све - хеј Бобе, Тим, Џо, дођи овамо и брзо прегледај свих тих 100 потписа!
Такође морамо да направимо скенер рањивости. Знате да Нессус, аутоматски проналазач рањивости, има добрих 80 потписа и скрипти које проверавају рањивости. Поново ћемо се понашати етички и лично их све преписати у нашем програму.
Људи ме питају: „Јое, радиш све ове тестове са софтвером отвореног кода као што је Мод Сецурити, Снорт и слично, колико су они слични производима других произвођача?“ Ја им одговарам: „Уопште не личе!“ Пошто продавци не краду ствари из безбедносних производа отвореног кода, они сами седе и пишу сва ова правила.
Ако можете да учините да ваши потписи и низови напада функционишу без коришћења производа отвореног кода, ово је одлична прилика за вас. Ако нисте у могућности да се такмичите са комерцијалним производима, крећући се у правом смеру, морате пронаћи концепт који ће вам помоћи да постанете познати у својој области.
Сви знају да пијем. Дозволите ми да вам покажем зашто пијем. Ако сте икада у животу радили ревизију изворног кода, сигурно ћете се напити, верујте ми, након тога ћете почети да пијете.
Дакле, наш омиљени језик је Ц++. Хајде да погледамо овај програм - Веб Книгхт је апликација за заштитни зид за веб сервере. Има подразумеване изузетке. Занимљиво је – ако поставим овај заштитни зид, он ме неће заштитити од Оутлоок Веб Аццесс-а.
Предивна! То је зато што многи произвођачи софтвера извлаче правила из неких апликација и стављају их у свој производ без спровођења читаве гомиле одговарајућих истраживања. Дакле, када поставим апликацију мрежног заштитног зида, мислим да је све у вези са веб поштом урађено погрешно! Зато што скоро свака веб пошта крши подразумевану безбедност. Имате веб код који извршава системске команде и упите на ЛДАП-у или било којој другој корисничкој бази података директно на вебу.
Реците ми, на којој планети се тако нешто може сматрати безбедним? Размислите само о томе: отворите Оутлоок Веб Аццесс, притиснете б цтрл+К, потражите кориснике и све то, управљате активним директоријумом директно са веба, извршавате системске команде на Линук-у ако користите „скуиррел маил“ или Хорде или било шта друго нешто друго. Извлачите све те евалуације и друге врсте несигурних функционалности. Због тога их многи заштитни зидови искључују са листе безбедносних претњи, покушајте да о томе питате свог произвођача софтвера.
Вратимо се на апликацију Веб Книгхт. Украо је многа безбедносна правила из УРЛ скенера који скенира све ове опсеге ИП адреса. И шта, сви ови опсези адреса су искључени из мог производа?
Да ли неко од вас жели да инсталира ове адресе на своју мрежу? Да ли желите да ваша мрежа ради на овим адресама? Да, невероватно је. У реду, хајде да померимо овај програм надоле и погледамо друге ствари које овај заштитни зид не жели да ради.
Зову се "1999" и желе да њихов веб сервер буде у прошлости! Да ли се неко од вас сећа овог срања: /сцриптс, /иисхелп, мсадс? Можда ће се пар људи са носталгијом сетити колико је забавно било хаковати такве ствари. „Запамти, човече, пре колико времена смо „убијали” сервере, било је кул!”.
Сада, ако погледате ове изузетке, видећете да можете да урадите све ове ствари - мсадс, штампаче, иисадмпвд - све ове ствари које данас никоме нису потребне. Шта је са командама које не смете да извршавате?
То су арп, ат, цацлс, цхкдск, ципхер, цмд, цом. Када их набрајате, обузимају вас сећања на старе дане, „човече, сети се како смо преузели тај сервер, сећаш се тих дана“?
Али ево шта је заиста интересантно – да ли неко овде види ВМИЦ или можда ПоверСхелл? Замислите да имате нову апликацију која функционише тако што покреће скрипте на локалном систему, а ово су модерне скрипте, јер желите да покренете Виндовс Сервер 2008, а ја ћу одлично да је заштитим правилима дизајнираним за Виндовс 2000. Тако да следећи пут када вам продавац дође са својом веб апликацијом, питајте га: „Хеј човече, да ли си обезбедио ствари као што су битови админ или извршавање поверсхелл команди, да ли си проверио све остале ствари, јер идемо да ажурирате и користите нову верзију ДотНЕТ-а"? Али све ове ствари би требало да буду присутне у безбедносном производу подразумевано!
Следећа ствар о којој желим да разговарам са вама су логичке заблуде. Идемо на 192.168.2.6. Ово је отприлике иста апликација као и претходна.
Можда ћете приметити нешто занимљиво ако померите страницу надоле и кликнете на везу Контактирајте нас.
Ако погледате изворни код картице „Контактирајте нас“, што је један од метода пентестирања које радим све време, приметићете овај ред.
Размисли о томе! Чујем да су многи при погледу на ово рекли: "Вау"! Једном сам урадио тестирање на пенетрацију за, рецимо, банку милијардера, и тамо приметио нешто слично. Дакле, не треба нам СКЛ ињекција или скриптовање на више локација - имамо главну ствар, ову адресну траку.
Дакле, без претеривања – у банци су нам рекли да су имали и једног и другог – и мрежног стручњака, и веб инспектора, и нису давали никакве примедбе. Односно, сматрали су нормалним да се текстуална датотека може отворити и прочитати преко претраживача.
То јест, можете једноставно прочитати датотеку директно из система датотека. Шеф њиховог безбедносног тима ми је рекао: „Да, један од скенера је пронашао ову рањивост, али је сматрао мањом. На шта сам одговорио, у реду, дај ми минут. Откуцао сам филенаме=../../../../боот.ини у адресну траку и могао сам да прочитам датотеку за покретање система датотека!
На то су ми рекли: „не, не, не, ово нису критични фајлови”! Одговорио сам - али то је Сервер 2008, зар не? Рекли су да, то је он. Кажем - али овај сервер има конфигурациону датотеку која се налази у основном директоријуму сервера, зар не? „Тачно“, одговарају. „Супер“, кажем, „шта ако нападач уради ово“, и откуцам филенаме=веб.цонфиг у адресну траку. Кажу - па шта, не видите ништа на монитору?
Кажем – шта ако кликнем десним тастером миша на монитор и изаберем опцију „Прикажи код странице“? И шта ћу наћи овде? "Ништа критично"? Видећу лозинку администратора сервера!
И кажете да овде нема проблема?
Али мој омиљени део је следећи. Не дозвољавате ми да покрећем команде у кутији, али могу да украдем администраторску лозинку и базу података веб сервера, прегледам целу базу података, извучем све ствари из базе података и системских грешака и одем са свим тим. Ово је случај када лош момак каже "хеј човече, данас је сјајан дан"!
Не дозволите да сигурносни производи постану ваша болест! Не дозволите да се разболите од безбедносних производа! Нађите неке штребере, дајте им све те сувенирнице из Звезданих стаза, заинтересујте их, охрабрите их да остану са вама, јер они штреберски смрдљиви који се не туширају свакодневно су они који чине да ваше мреже раде као што следи! Ово су људи који ће помоћи да ваши безбедносни производи раде исправно.
Реците ми, колико вас је у стању да остане дуго у истој просторији са особом која стално говори: „Ох, морам хитно да одштампам овај сценарио!“, а ко је заузет тиме све време? Али потребни су вам људи који раде на вашим сигурносним производима.
Да поновим, безбедносни производи су глупи јер су светла увек погрешна, стално раде срање, само не пружају сигурност. Никада нисам видео добар безбедносни производ за који није потребан човек са шрафцигером да га подеси тамо где треба да би радио мање-више нормално. То је само огромна листа правила која говоре да је лоше, и то је то!
Дакле, момци, желим да обратите пажњу на образовање, на ствари попут безбедности, политехнике, јер постоји много бесплатних онлајн курсева о безбедносним питањима. Научите Питхон, научите Ассембли, научите тестирање веб апликација.
Ево шта ће вам заиста помоћи да заштитите своју мрежу. Паметни људи штите мреже, мрежни производи не штите! Вратите се на посао и реците свом шефу да вам треба више буџета за паметније људе, знам да је сада криза, али ипак му реците да нам треба више новца за људе да их образују. Ако купујемо производ, али не купујемо курс о томе како да га користимо јер је скуп, зашто га онда уопште купујемо ако нећемо да учимо људе како да га користе?
Радио сам за много добављача безбедносних производа, провео сам скоро цео свој живот имплементирајући ове производе, и мука ми је од свих ових контрола приступа мрежи и слично јер сам инсталирао и покренуо све те усране производе. Једног дана сам отишао код клијента, они су желели да имплементирају стандард 802.1к за ЕАП протокол, тако да су имали МАЦ адресе и секундарне адресе за сваки порт. Дошао сам, видео да је лоше, окренуо се и почео да притискам дугмад на штампачу. Знате, штампач може да одштампа пробну страницу мрежне опреме са свим МАЦ адресама и ИП адресама. Али испоставило се да штампач не подржава стандард 802.1к, па га треба искључити.
Затим сам искључио штампач и променио МАЦ адресу свог лаптопа у МАЦ адресу штампача и повезао лаптоп и тако заобишао ово скупо МАЦ решење, размислите о томе! Дакле, шта ми ово МАЦ решење може учинити ако особа може једноставно да проследи било коју опрему као штампач или ВоИП телефон?
Дакле, за мене данас пентестирање представља трошење времена покушавајући да разумем и разумем безбедносни производ који је купио мој клијент. Сада свака банка у којој радим тест пенетрације има све ове КУКЕ, НИПС, ЛАУГТХС, МАЦС и читаву гомилу других акронима који су срање. Али покушавам да схватим шта ови производи покушавају да ураде и како то покушавају. Онда, када схватим коју методологију и логику користе да обезбеде заштиту, заобићи то није нимало тешко.
Мој омиљени производ, који ћу вам оставити, зове се МС 1103. То је експлоатација заснована на претраживачу која прска ХИПС, Хост Интрусион Превентион Сигнатуре или Хост Интрусион Превентион Сигнатуре. У ствари, има за циљ да заобиђе ХИПС потписе. Не желим да вам покажем како функционише јер не желим да одвајам време да то демонстрирам, али одлично заобилази ову заштиту и желим да је усвојите.
ОК момци, идем сада.
Неки огласи 🙂
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, , јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији у Екуиник Тиер ИВ дата центру у Амстердаму? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом