Nu ska vi prova ett annat sÀtt att injicera SQL. LÄt oss se om databasen fortsÀtter att tappa felmeddelanden. Denna metod kallas "vÀntar pÄ en fördröjning", och sjÀlva fördröjningen skrivs enligt följande: vÀnta pÄ fördröjning 00:00:01'. Jag kopierar detta frÄn vÄr fil och klistrar in det i adressfÀltet i min webblÀsare.
Allt detta kallas "blind SQL-injektion pÄ tillfÀllig basis". Allt vi gör hÀr Àr att sÀga "vÀnta en fördröjning pÄ 10 sekunder". Om du mÀrker, uppe till vÀnster har vi inskriptionen "ansluter ...", det vill sÀga vad gör vÄr sida? Den vÀntar pÄ en anslutning och efter 10 sekunder visas rÀtt sida pÄ din bildskÀrm. Med det hÀr tricket ber vi databasen att tillÄta oss att stÀlla nÄgra fler frÄgor, till exempel om anvÀndaren Àr Joe mÄste vi vÀnta 10 sekunder. Kusten Àr klar? Om anvÀndaren Àr dbo, vÀnta 10 sekunder ocksÄ. Detta Àr metoden Blind SQL Injection.
Jag tror att utvecklarna inte fixar denna sÄrbarhet nÀr de skapar patchar. Detta Àr SQL-injektion, men vÄrt IDS-program ser det inte heller, som tidigare metoder för SQL-injektion.
LÄt oss prova nÄgot mer intressant. Kopiera denna rad med IP-adressen och klistra in den i webblÀsaren. Det fungerade! TCP-fÀltet i vÄrt program blev rött, programmet noterade 2 sÀkerhetshot.
Okej, lÄt oss se vad som hÀnde sedan. Vi har ett hot mot XP-skalet, och ett annat hot Àr ett SQL-injektionsförsök. Totalt blev det tvÄ försök att attackera webbapplikationen.
Okej, hjÀlp mig nu med logiken. Vi har ett manipuleringsdatapaket dÀr IDS sÀger att det har svarat pÄ olika XP-skalmanipulationer.
Om vi ââgĂ„r ner ser vi en tabell med HEX-koder, till höger om vilken det finns en flagga med meddelandet xp_cmdshell + &27ping, och uppenbarligen Ă€r detta dĂ„ligt.
LÄt oss se vad som hÀnde hÀr. Vad gjorde SQL Server?
SQL-servern sa "du kan ha mitt databaslösenord, du kan fÄ alla mina databasposter, men dude, jag vill inte att du ska köra dina kommandon pÄ mig alls, det Àr inte coolt alls"!
Vad vi behöver göra Àr att se till att Àven om IDS rapporterar ett hot mot XP-skalet, sÄ ignoreras hotet. Om du anvÀnder SQL Server 2005 eller SQL Server 2008, om ett SQL-injektionsförsök upptÀcks, kommer operativsystemets skal att lÄsas, vilket hindrar dig frÄn att fortsÀtta ditt arbete. Det Àr vÀldigt irriterande. SÄ vad ska vi göra? Du bör försöka frÄga servern mycket kÀrleksfullt. Ska jag sÀga nÄgot i stil med "snÀlla pappa, kan jag fÄ dessa kakor"? Det Àr vad jag gör, seriöst, jag frÄgar servern vÀldigt artigt! Jag ber om fler alternativ, jag ber om en omkonfigurering och jag ber om att XP-skalinstÀllningarna Àndras för att göra skalet tillgÀngligt eftersom jag behöver det!
Vi ser att IDS har upptÀckt detta - du förstÄr, 3 hot har redan noterats hÀr.
Se bara hÀr - vi sprÀngde sÀkerhetsloggarna! Det ser ut som en julgran, sÄ mycket saker hÀngs hÀr! Hela 27 sÀkerhetshot! Hurra killar, vi fÄngade den hÀr hackaren, vi fick honom!
Vi Àr inte oroliga att han kommer att stjÀla vÄr data, men om han kan utföra systemkommandon i vÄr "box" - det hÀr Àr redan allvarligt! Du kan rita Telnet-rutten, FTP, du kan ta över min data, det Àr coolt, men jag oroar mig inte för det, jag vill bara inte att du ska ta över skalet pÄ min "lÄda".
Jag vill prata om saker som verkligen fick mig. Jag arbetar för organisationer, jag har arbetat för dem i mĂ„nga Ă„r, och jag sĂ€ger det hĂ€r för att min flickvĂ€n tror att jag Ă€r arbetslös. Hon tycker att allt jag gör Ă€r att stĂ„ pĂ„ scenen och smĂ„prata, det hĂ€r kan inte betraktas som jobb. Men jag sĂ€ger: ânej, min glĂ€dje, jag Ă€r konsultâ! Det Ă€r skillnaden - jag sĂ€ger vad jag tycker och jag fĂ„r betalt för det.
LÄt mig uttrycka det sÄ hÀr - vi som hackare Àlskar att knÀcka skalet, och för oss finns det inget större nöje i vÀrlden Àn att "svÀlja skalet". NÀr IDS-analytiker skriver sina regler kan du se att de skriver dem pÄ ett sÀtt som skyddar mot skalhackning. Men om du pratar med CIO om problemet med att extrahera data, kommer han att erbjuda dig att fundera pÄ tvÄ alternativ. LÄt oss sÀga att jag har en applikation som gör 100 "bitar" per timme. Vad Àr viktigare för mig - att sÀkerstÀlla sÀkerheten för all data i denna applikation eller sÀkerheten för "box"-skalet? Detta Àr en allvarlig frÄga! Vad bör du bry dig mer om?
Bara för att du har ett trasigt "box"-skal betyder det inte nödvÀndigtvis att nÄgon har fÄtt tillgÄng till applikationernas inre funktioner. Ja, det Àr mer Àn troligt, och om det inte har hÀnt Ànnu, kan det snart. Men observera att mÄnga sÀkerhetsprodukter bygger pÄ premissen att en angripare roamar ditt nÀtverk. SÄ de Àr uppmÀrksamma pÄ utförandet av kommandon, pÄ injiceringen av kommandon, och du bör notera att detta Àr en allvarlig sak. De pÄpekar triviala sÄrbarheter, mycket enkel cross-site scripting, mycket enkla SQL-injektioner. De bryr sig inte om komplexa hot, de bryr sig inte om krypterade meddelanden, de bryr sig inte om sÄnt. Man kan sÀga att alla sÀkerhetsprodukter letar efter buller, de letar efter "japp", de vill stoppa nÄgot som biter dig i fotleden. Det hÀr Àr vad jag lÀrde mig nÀr jag handskas med sÀkerhetsprodukter. Du behöver inte köpa sÀkerhetsprodukter, du behöver inte köra lastbilen bakÄt. Du behöver kompetenta, duktiga personer som förstÄr tekniken. Ja, herregud, mÀnniskor! Vi vill inte kasta miljontals dollar i dessa problem, men mÄnga av er har arbetat inom det hÀr fÀltet och vet att sÄ fort din chef ser en annons, springer han till butiken och skriker "vi mÄste fÄ den hÀr saken!". Men vi behöver det egentligen inte, vi mÄste bara fixa röran som ligger bakom oss. Det var utgÄngspunkten för den hÀr förestÀllningen.
En miljö med hög sÀkerhet Àr nÄgot som jag Àgnat mycket tid Ät för att förstÄ reglerna för hur skyddsmekanismer fungerar. NÀr du vÀl förstÄr skyddsmekanismerna Àr det inte svÄrt att kringgÄ skyddet. Jag har till exempel en webbapplikation som Àr skyddad av en egen brandvÀgg. Jag kopierar adressen till instÀllningspanelen, klistrar in den i webblÀsarens adressfÀlt och gÄr till instÀllningarna och försöker tillÀmpa cross-site scripting.
Som ett resultat fÄr jag ett brandvÀggsmeddelande om ett hot - jag blev blockerad.
Jag tycker det Àr dÄligt, hÄller du med? Du stÄr inför en sÀkerhetsprodukt. Men tÀnk om jag försöker nÄgot i stil med detta: sÀtt parametern Joe'+OR+1='1 i strÀngen
Som ni ser sÄ fungerade det. RÀtta mig om jag har fel, men vi har sett SQL-injektion besegra applikationens brandvÀgg. LÄt oss nu lÄtsas att vi vill starta ett sÀkerhetsföretag, sÄ lÄt oss ta pÄ oss mjukvarutillverkarens hatt. Nu förkroppsligar vi ondskan eftersom det Àr en svart hatt. Jag Àr konsult, sÄ jag kan göra det hÀr med mjukvaruproducenter.
Vi vill bygga och distribuera ett nytt system för intrÄngsdetektering, sÄ vi startar en kampanj för att upptÀcka sabotage. Snort, som en produkt med öppen kÀllkod, innehÄller hundratusentals signaturer för intrÄngshot. Vi mÄste agera etiskt, sÄ vi kommer inte att stjÀla dessa signaturer frÄn andra applikationer och infoga dem i vÄrt system. Vi ska bara sÀtta oss ner och skriva om dem alla - hej Bob, Tim, Joe, kom hit och gör en snabb genomgÄng av alla dessa 100 000 signaturer!
Vi mÄste ocksÄ skapa en sÄrbarhetsskanner. Du vet att Nessus, den automatiska sÄrbarhetssökaren, har drygt 80 XNUMX signaturer och skript som letar efter sÄrbarheter. Vi kommer Äterigen att agera etiskt och personligen skriva om dem alla i vÄrt program.
Folk frÄgar mig, "Joe, du gör alla dessa tester med programvara med öppen kÀllkod som Mod Security, Snort och liknande, hur lika Àr de andra leverantörers produkter?" Jag svarar dem: "De ser inte alls lika ut!" Eftersom leverantörer inte stjÀl saker frÄn sÀkerhetsprodukter med öppen kÀllkod, sÀtter de sig ner och skriver alla dessa regler sjÀlva.
Om du kan fÄ dina egna signaturer och attackstrÀngar att fungera utan att anvÀnda produkter med öppen kÀllkod, Àr detta en fantastisk möjlighet för dig. Om du inte kan konkurrera med kommersiella produkter, gÄr i rÀtt riktning, mÄste du hitta ett koncept som hjÀlper dig att bli kÀnd inom ditt omrÄde.
Alla vet att jag dricker. LÄt mig visa dig varför jag dricker. Om du nÄgonsin har gjort en kÀllkodsrevision i ditt liv kommer du definitivt att bli full, tro mig, efter det kommer du att börja dricka.
SÄ vÄrt favoritsprÄk Àr C++. LÄt oss ta en titt pÄ det hÀr programmet - Web Knight Àr ett brandvÀggsprogram för webbservrar. Den har standardundantag. Det Àr intressant - om jag distribuerar den hÀr brandvÀggen kommer den inte att skydda mig frÄn Outlook Web Access.
Underbar! Det beror pÄ att mÄnga mjukvaruleverantörer drar ut regler ur vissa applikationer och lÀgger in dem i sin produkt utan att göra en hel massa rÀtt forskning. SÄ nÀr jag distribuerar ett nÀtverksbrandvÀggsprogram tror jag att allt om webbmail Àr gjort fel! Eftersom nÀstan alla webbmail bryter mot standardsÀkerheten. Du har webbkod som kör systemkommandon och frÄgor LDAP eller nÄgon annan anvÀndardatabasbutik direkt pÄ webben.
SÀg mig, pÄ vilken planet kan en sÄdan sak anses vara sÀker? TÀnk bara pÄ det: du öppnar Outlook Web Access, trycker pÄ b ctrl+K, letar upp anvÀndare och allt det dÀr, du hanterar Active Directory direkt frÄn webben, du kör systemkommandon pÄ Linux om du anvÀnder "squirrel mail" eller Horde eller vad som helst nÄgot annat. Du drar ut alla dessa evals och andra typer av osÀkra funktioner. DÀrför utesluter mÄnga brandvÀggar dem frÄn listan över sÀkerhetshot, försök frÄga din programvarutillverkare om detta.
LÄt oss gÄ tillbaka till Web Knight-applikationen. Det stal mÄnga sÀkerhetsregler frÄn en URL-skanner som skannar alla dessa IP-adressintervall. Och vad, alla dessa adressintervall Àr exkluderade frÄn min produkt?
Vill nÄgon av er installera dessa adresser pÄ ert nÀtverk? Vill du att ditt nÀtverk ska köras pÄ dessa adresser? Ja, det Àr fantastiskt. Okej, lÄt oss scrolla ner det hÀr programmet och titta pÄ andra saker som den hÀr brandvÀggen inte vill göra.
De kallas "1999" och vill att deras webbserver ska vara i det förflutna! Kommer nÄgon av er ihÄg den hÀr skiten: /scripts, /iishelp, msads? Kanske kommer ett par personer att minnas med nostalgi hur roligt det var att hacka sÄdana saker. "Kom ihÄg, man, hur lÀnge sedan vi "dödade" servrar, det var coolt!".
Nu, om du tittar pÄ dessa undantag, kommer du att se att du kan göra alla dessa saker - msads, skrivare, iisadmpwd - alla dessa saker som ingen behöver idag. Hur Àr det med kommandon som du inte fÄr utföra?
Dessa Àr arp, at, cacls, chkdsk, cipher, cmd, com. NÀr du listar dem blir du övervÀldigad av minnen frÄn gamla dagar, "grabb, minns du hur vi tog över den servern, minns de dÀr dagarna"?
Men hĂ€r Ă€r det som verkligen Ă€r intressant - ser nĂ„gon WMIC hĂ€r eller kanske PowerShell? FörestĂ€ll dig att du har ett nytt program som fungerar genom att köra skript pĂ„ det lokala systemet, och det hĂ€r Ă€r moderna skript, eftersom du vill köra Windows Server 2008, och jag kommer att göra ett bra jobb med att skydda det med regler utformade för Windows 2000. SĂ„ att nĂ€sta gĂ„ng en leverantör kommer till dig med sin webbapplikation, frĂ„ga honom: "Hej man, har du försett saker som bits admin, eller exekvera powershell-kommandon, har du kollat ââalla andra saker, för vi ska uppdatera och anvĂ€nda den nya versionen av DotNET"? Men alla dessa saker bör finnas i sĂ€kerhetsprodukten som standard!
NÀsta sak jag vill prata med dig om Àr logiska felaktigheter. LÄt oss gÄ till 192.168.2.6. Det hÀr Àr ungefÀr samma applikation som den tidigare.
Du kanske mÀrker nÄgot intressant om du scrollar ner pÄ sidan och klickar pÄ lÀnken Kontakta oss.
Om du tittar pÄ kÀllkoden pÄ fliken "Kontakta oss", som Àr en av de testmetoder jag gör hela tiden, kommer du att mÀrka den hÀr raden.
TÀnk pÄ det! Jag hör att mÄnga vid Äsynen av detta sa: "Wow"! Jag gjorde en gÄng penetrationstestning för, sÀg, en miljardÀrsbank, och mÀrkte nÄgot liknande dÀr. SÄ vi behöver inte SQL-injektion eller cross site scripting - vi har huvudsaken, det hÀr adressfÀltet.
SÄ, utan att överdriva - banken berÀttade att de hade bÄde - och en nÀtverksspecialist och en webbinspektör, och de gjorde inga anmÀrkningar. Det vill sÀga, de ansÄg det normalt att en textfil kan öppnas och lÀsas via en webblÀsare.
Det vill sÀga att du bara kan lÀsa filen direkt frÄn filsystemet. Chefen för deras sÀkerhetsteam sa till mig, "ja, en av skannrarna hittade den hÀr sÄrbarheten, men ansÄg att den var liten." Som jag svarade, okej, ge mig en minut. Jag skrev filnamn=../../../../boot.ini i adressfÀltet och jag kunde lÀsa filsystemets startfil!
Till detta sa de till mig: "nej, nej, nej, det hÀr Àr inte kritiska filer"! Jag svarade - men det Àr Server 2008, eller hur? De sa ja, det Àr han. Jag sÀger - men den hÀr servern har en konfigurationsfil i serverns rotkatalog, eller hur? "RÀtt", svarar de. "Bra", sÀger jag, "tÀnk om angriparen gör det hÀr", och jag skriver filnamn=web.config i adressfÀltet. De sÀger - sÄ vad, du ser inget pÄ skÀrmen?
Jag sÀger - vad hÀnder om jag högerklickar pÄ monitorn och vÀljer alternativet "Visa sidkod"? Och vad hittar jag hÀr? "Inget kritiskt"? Jag kommer att se serveradministratörslösenordet!
Och du sÀger att det inte Àr nÄgra problem hÀr?
Men min favoritdel Àr nÀsta. Du lÄter mig inte köra kommandon i rutan, men jag kan stjÀla webbserverns administratörslösenord och databas, blÀddra i hela databasen, riva ut all databas- och systemfel och gÄ dÀrifrÄn med allt. Detta Àr fallet nÀr skurken sÀger "hej man, idag Àr en bra dag"!
LÄt inte sÀkerhetsprodukter bli din sjukdom! LÄt inte sÀkerhetsprodukter göra dig sjuk! Hitta nÄgra nördar, ge dem alla Star Trek-memorabilia, fÄ dem intresserade, uppmuntra dem att stanna hos dig, för de dÀr nördiga stinkarna som inte duschar dagligen Àr de som fÄr dina nÀtverk att fungera som följer! Det hÀr Àr personerna som hjÀlper dina sÀkerhetsprodukter att fungera korrekt.
BerÀtta för mig, hur mÄnga av er kan stanna i samma rum lÀnge med en person som stÀndigt sÀger: "Äh, jag mÄste skriva ut det hÀr manuset snarast!", Och vem Àr upptagen med detta hela tiden? Men du behöver mÀnniskor som fÄr dina sÀkerhetsprodukter att fungera.
För att upprepa, sÀkerhetsprodukter Àr dumma eftersom lamporna alltid Àr fel, de gör stÀndigt taskiga saker, de ger bara ingen sÀkerhet. Jag har aldrig sett en bra sÀkerhetsprodukt som inte krÀver att en kille med en skruvmejsel justerar den dÀr den behöver för att fÄ den att fungera mer eller mindre normalt. Det Àr bara en enorm lista med regler som sÀger att det Àr dÄligt, och det Àr det!
SÄ killar, jag vill att ni ska vara uppmÀrksamma pÄ utbildning, till saker som sÀkerhet, yrkeshögskolor, eftersom det finns mÄnga gratis onlinekurser om sÀkerhetsfrÄgor. LÀr dig Python, lÀr dig montering, lÀr dig testa webbapplikationer.
HĂ€r Ă€r vad som verkligen hjĂ€lper dig att sĂ€kra ditt nĂ€tverk. Smarta mĂ€nniskor skyddar nĂ€tverk, nĂ€tverksprodukter skyddar inte! GĂ„ tillbaka till jobbet och berĂ€tta för din chef att du behöver mer budget för fler smarta mĂ€nniskor, jag vet att det Ă€r en kris nu men sĂ€g till honom Ă€ndĂ„ att vi behöver mer pengar för att folk ska kunna utbilda dem. Om vi ââköper en produkt men inte köper en kurs om hur man anvĂ€nder den för att den Ă€r dyr, varför köper vi den dĂ„ överhuvudtaget om vi inte ska lĂ€ra folk hur man anvĂ€nder den?
Jag har arbetat för mÄnga leverantörer av sÀkerhetsprodukter, jag har Àgnat nÀstan hela mitt liv Ät att implementera dessa produkter, och jag börjar bli trött pÄ alla dessa nÀtverkskontroller och sÄnt eftersom jag har installerat och kört alla dessa skitprodukter. En dag jag gick till en klient ville de implementera 802.1x-standarden för EAP-protokollet, sÄ de hade MAC-adresser och sekundÀra adresser för varje port. Jag kom, sÄg att det var dÄligt, vÀnde mig om och började trycka pÄ knapparna pÄ skrivaren. Du vet, skrivaren kan skriva ut en testsida för nÀtverksutrustning med alla MAC-adresser och IP-adresser. Men det visade sig att skrivaren inte stöder 802.1x-standarden, sÄ den borde uteslutas.
Sedan kopplade jag ur skrivaren och Àndrade min bÀrbara dators MAC-adress till skrivarens MAC-adress och kopplade in min bÀrbara dator och gick dÀrmed förbi denna dyra MAC-lösning, tÀnk pÄ det! SÄ vad kan den hÀr MAC-lösningen göra för mig om en person helt enkelt kan lÀmna ut vilken utrustning som helst som en skrivare eller en VoIP-telefon?
SÄ för mig idag handlar pentesting om att lÀgga tid pÄ att försöka förstÄ och förstÄ en sÀkerhetsprodukt som min klient har köpt. Nu har varje bank jag gör ett penetrationstest pÄ alla dessa HIPS, NIPS, LAUGHTS, MACS och en hel massa andra akronymer som bara suger. Men jag försöker ta reda pÄ vad dessa produkter försöker göra och hur de försöker göra det. Sedan, nÀr jag vÀl tar reda pÄ vilken metod och logik de anvÀnder för att ge skydd, blir det inte alls svÄrt att komma runt det.
Min favoritprodukt, som jag lÀmnar dig med, heter MS 1103. Det Àr en webblÀsarbaserad exploatering som sprejar HIPS, Host Intrusion Prevention Signature eller Host Intrusion Prevention Signatures. I sjÀlva verket Àr det tÀnkt att kringgÄ HIPS-signaturer. Jag vill inte visa dig hur det fungerar eftersom jag inte vill ta mig tid att visa det, men det gör ett fantastiskt jobb med att kringgÄ detta skydd, och jag vill att du anammar det.
Okej killar, jag gÄr nu.
NĂ„gra annonser đ
Tack för att du stannar hos oss. Gillar du vĂ„ra artiklar? Vill du se mer intressant innehĂ„ll? Stöd oss ââgenom att lĂ€gga en bestĂ€llning eller rekommendera till vĂ€nner, , en unik analog av ingĂ„ngsservrar, som uppfanns av oss för dig: (tillgĂ€nglig med RAID1 och RAID10, upp till 24 kĂ€rnor och upp till 40 GB DDR4).
Dell R730xd 2 gÄnger billigare i Equinix Tier IV datacenter i Amsterdam? Bara hÀr i NederlÀnderna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - frÄn $99! LÀs om
KĂ€lla: will.com
