Ngayon ay susubukan namin ang isa pang paraan upang mag-inject ng SQL. Tingnan natin kung ang database ay patuloy na nag-drop ng mga mensahe ng error. Ang pamamaraang ito ay tinatawag na "waiting for a delay", at ang pagkaantala mismo ay nakasulat tulad ng sumusunod: waitfor delay 00:00:01'. Kokopya ko ito mula sa aming file at i-paste ito sa address bar ng aking browser.
Ang lahat ng ito ay tinatawag na "bulag na SQL injection sa isang pansamantalang batayan". Ang ginagawa lang namin dito ay nagsasabing "wait a delay of 10 seconds". Kung mapapansin mo, sa kaliwang tuktok ay mayroon kaming inskripsyon na "pagkonekta ...", iyon ay, ano ang ginagawa ng aming pahina? Naghihintay ito ng koneksyon, at pagkatapos ng 10 segundo, lalabas ang tamang page sa iyong monitor. Gamit ang trick na ito, hinihiling namin sa database na hayaan kaming magtanong dito ng ilan pang mga katanungan, halimbawa, kung ang user ay si Joe, kailangan naming maghintay ng 10 segundo. Ito ay malinaw? Kung dbo ang user, maghintay din ng 10 segundo. Ito ang paraan ng Blind SQL Injection.
Sa tingin ko, hindi inaayos ng mga developer ang kahinaang ito kapag gumagawa ng mga patch. Ito ay SQL injection, ngunit hindi rin ito nakikita ng aming IDS program, tulad ng mga nakaraang pamamaraan ng SQL injection.
Subukan natin ang isang bagay na mas kawili-wili. Kopyahin ang linyang ito kasama ang IP address at i-paste ito sa browser. Gumana ito! Ang TCP bar sa aming programa ay naging pula, ang programa ay nabanggit ang 2 banta sa seguridad.
Okay, tingnan natin kung ano ang susunod na nangyari. Mayroon kaming isang banta sa shell ng XP, at isa pang banta ay isang pagtatangka ng SQL injection. Sa kabuuan, mayroong dalawang pagtatangka na atakehin ang web application.
Okay, ngayon tulungan mo ako sa lohika. Mayroon kaming isang packet ng data na nakikialam kung saan sinabi ng IDS na tumugon ito sa iba't ibang XP shell tampering.
Kung bababa tayo, makakakita tayo ng talahanayan ng mga HEX code, sa kanan kung saan mayroong flag na may mensaheng xp_cmdshell + &27ping, at malinaw na masama ito.
Tingnan natin kung ano ang nangyari dito. Ano ang ginawa ng SQL Server?
Sinabi ng SQL server na "maaari mong makuha ang aking password sa database, maaari mong makuha ang lahat ng aking mga rekord sa database, ngunit dude, hindi ko nais na patakbuhin mo ang iyong mga utos sa akin, hindi iyon cool sa lahat"!
Ang kailangan nating gawin ay tiyakin na kahit na ang IDS ay nag-ulat ng isang banta sa XP shell, ang banta ay hindi pinansin. Kung gumagamit ka ng SQL Server 2005 o SQL Server 2008, kung may nakitang pagtatangka sa SQL injection, mai-lock ang shell ng operating system, na hahadlang sa iyong ipagpatuloy ang iyong trabaho. Sobrang nakakainis. Kaya ano ang gagawin natin? Dapat mong subukang magtanong sa server nang buong pagmamahal. Dapat ko bang sabihin ang isang bagay tulad ng, "pakiusap, tatay, maaari ko bang makuha ang mga cookies na ito"? Iyon ang ginagawa ko, seryoso, tanong ko sa server nang napakagalang! Humihingi ako ng higit pang mga pagpipilian, humihingi ako ng muling pagsasaayos, at humihingi ako ng mga setting ng shell ng XP na baguhin upang maging available ang shell dahil kailangan ko ito!
Nakita namin na nakita ito ng IDS - kita mo, 3 banta na ang nabanggit dito.
Tumingin lang dito - pinasabog namin ang mga security log! Parang Christmas tree, ang daming nakasabit dito! Aabot sa 27 banta sa seguridad! Hooray guys, nahuli namin ang hacker na ito, nakuha namin siya!
Hindi kami nag-aalala na nakawin niya ang aming data, ngunit kung maipatupad niya ang mga utos ng system sa aming "kahon" - ito ay seryoso na! Maaari kang gumuhit ng ruta ng Telnet, FTP, maaari mong kunin ang aking data, astig yan, pero hindi ako nag-aalala tungkol doon, ayoko lang na kunin mo ang shell ng aking "kahon".
Gusto kong pag-usapan ang mga bagay na talagang nagpasaya sa akin. Nagtatrabaho ako para sa mga organisasyon, nagtatrabaho ako para sa kanila sa loob ng maraming taon, at sinasabi ko ito sa iyo dahil iniisip ng aking kasintahan na ako ay walang trabaho. Iniisip niya na ang ginagawa ko ay tumayo sa entablado at makipag-chat, hindi ito maituturing na trabaho. Ngunit sinasabi ko: "hindi, ang aking kagalakan, ako ay isang consultant"! Iyan ang pagkakaiba - nagsasalita ako ng aking isip at binabayaran ako para dito.
Hayaan akong ilagay ito sa paraang ito - kami bilang mga hacker ay gustong-gustong i-crack ang shell, at para sa amin ay walang higit na kasiyahan sa mundo kaysa sa "paglunok ng shell." Kapag isinulat ng mga analyst ng IDS ang kanilang mga panuntunan, makikita mong isinusulat nila ang mga ito sa paraang nagpoprotekta laban sa pag-hack ng shell. Ngunit kung makikipag-usap ka sa CIO tungkol sa problema ng pagkuha ng data, mag-aalok siya sa iyo na mag-isip tungkol sa dalawang pagpipilian. Sabihin nating mayroon akong application na gumagawa ng 100 "piraso" bawat oras. Ano ang mas mahalaga sa akin - upang matiyak ang seguridad ng lahat ng data sa application na ito o ang seguridad ng shell ng "kahon"? Seryosong tanong nito! Ano ang dapat mong mas alalahanin?
Dahil lamang sa mayroon kang sirang "kahon" na shell ay hindi nangangahulugang may nakakuha ng access sa mga panloob na gawain ng mga application. Oo, ito ay higit sa malamang, at kung hindi pa ito nangyari, maaaring sa lalong madaling panahon. Ngunit tandaan na maraming mga produkto ng seguridad ang binuo sa saligan na ang isang umaatake ay gumagala sa iyong network. Kaya binibigyang pansin nila ang pagpapatupad ng mga utos, ang pag-iniksyon ng mga utos, at dapat mong tandaan na ito ay isang seryosong bagay. Itinuturo nila ang mga walang kabuluhang kahinaan, napakasimpleng cross-site na scripting, napakasimpleng SQL injection. Wala silang pakialam sa mga kumplikadong pagbabanta, wala silang pakialam sa mga naka-encrypt na mensahe, wala silang pakialam sa mga ganoong bagay. Masasabing lahat ng security products ay naghahanap ng ingay, naghahanap sila ng "yapping", gusto nilang pigilan ang isang bagay na nakakagat sa iyong bukung-bukong. Narito ang natutunan ko kapag nakikitungo sa mga produkto ng seguridad. Hindi mo kailangang bumili ng mga produktong panseguridad, hindi mo kailangang itaboy ang trak nang pabaliktad. Kailangan mo ng mga karampatang, bihasang tao na nakakaunawa sa teknolohiya. Oo, Diyos ko, mga tao! Hindi namin nais na magtapon ng milyun-milyong dolyar sa mga problemang ito, ngunit marami sa inyo ang nagtrabaho sa larangang ito at alam na sa sandaling makakita ng ad ang iyong amo, tumakbo siya sa tindahan na sumisigaw ng "kailangan nating makuha ang bagay na ito!". Pero hindi naman talaga natin kailangan, ayusin lang natin ang gulo na nasa likod natin. Iyon ang saligan para sa pagtatanghal na ito.
Ang isang mataas na kapaligiran ng seguridad ay isang bagay na ginugol ko ng maraming oras upang maunawaan ang mga patakaran kung paano gumagana ang mga mekanismo ng proteksyon. Kapag naunawaan mo na ang mga mekanismo ng proteksyon, hindi mahirap iwasan ang proteksyon. Halimbawa, mayroon akong web application na protektado ng sarili nitong firewall. Kokopyahin ko ang address ng panel ng mga setting, i-paste ito sa address bar ng browser at pumunta sa mga setting at subukang mag-apply ng cross-site scripting.
Bilang resulta, nakatanggap ako ng mensahe ng firewall tungkol sa isang banta - na-block ako.
Sa tingin ko masama, pumayag ka ba? Nakaharap ka sa isang produkto ng seguridad. Ngunit paano kung subukan ko ang isang bagay tulad nito: ilagay ang parameter Joe'+OR+1='1 sa string
Tulad ng nakikita mo, nagtrabaho ito. Iwasto mo ako kung mali ako, ngunit nakita namin na natalo ng SQL injection ang firewall ng application. Ngayon, magpanggap tayo na gusto nating magsimula ng isang kumpanya ng seguridad, kaya ilagay natin ang sumbrero ng gumagawa ng software. Ngayon ay kinakatawan natin ang kasamaan dahil ito ay isang itim na sombrero. Isa akong consultant, kaya magagawa ko ito sa mga producer ng software.
Gusto naming bumuo at mag-deploy ng bagong intrusion detection system, kaya magsisimula kami ng tamper detection campaign. Ang Snort, bilang isang open source na produkto, ay naglalaman ng daan-daang libong mga lagda ng pagbabanta sa panghihimasok. Dapat tayong kumilos nang may etika, kaya hindi natin nakawin ang mga lagdang ito mula sa iba pang mga application at ipasok ang mga ito sa ating system. Uupo na lang tayo at muling isusulat silang lahat - hey Bob, Tim, Joe, halika rito at mabilis na tumakbo sa lahat ng 100 pirmang iyon!
Kailangan din nating gumawa ng vulnerability scanner. Alam mo na si Nessus, ang awtomatikong tagahanap ng kahinaan, ay may mahusay na 80 pirma at script na nagsusuri ng mga kahinaan. Muli kaming kikilos nang may etika at personal na muling isusulat ang lahat ng ito sa aming programa.
Tinanong ako ng mga tao, "Joe, ginagawa mo ang lahat ng mga pagsubok na ito gamit ang open source na software tulad ng Mod Security, Snort at mga katulad nito, gaano sila kapareho sa mga produkto ng ibang vendor?" Sagot ko sa kanila: "Hindi sila magkamukha!" Dahil ang mga vendor ay hindi nagnanakaw ng mga bagay-bagay mula sa mga open source na produkto ng seguridad, sila mismo ang uupo at isusulat ang lahat ng mga panuntunang ito.
Kung maaari mong gawin ang iyong sariling mga lagda at mga string ng pag-atake na gumagana nang hindi gumagamit ng mga open source na produkto, ito ay isang magandang pagkakataon para sa iyo. Kung hindi mo kayang makipagkumpitensya laban sa mga komersyal na produkto, na gumagalaw sa tamang direksyon, dapat kang makahanap ng isang konsepto na makakatulong sa iyo na makilala sa iyong larangan.
Alam ng lahat na umiinom ako. Hayaan mong ipakita ko sa iyo kung bakit ako umiinom. Kung nakagawa ka na ng source code audit sa buhay mo, siguradong malalasing ka, trust me, after that you will start drinking.
Kaya ang aming paboritong wika ay C++. Tingnan natin ang program na ito - Ang Web Knight ay isang firewall application para sa mga web server. Mayroon itong mga default na exception. Ito ay kawili-wili - kung i-deploy ko ang firewall na ito, hindi ako nito mapoprotektahan mula sa Outlook Web Access.
Kahanga-hanga! Iyon ay dahil maraming nagtitinda ng software ang kumukuha ng mga panuntunan sa ilang mga application at inilalagay ang mga ito sa kanilang produkto nang hindi gumagawa ng isang buong grupo ng tamang pananaliksik. Kaya kapag nag-deploy ako ng network firewall application, sa tingin ko lahat ng bagay tungkol sa webmail ay ginawang mali! Dahil halos anumang webmail ay lumalabag sa default na seguridad. Mayroon kang web code na nagpapatupad ng mga command ng system at mga query sa LDAP o anumang iba pang tindahan ng database ng user sa web mismo.
Sabihin mo sa akin, saang planeta maituturing na ligtas ang ganoong bagay? Isipin mo lang ito: binuksan mo ang Outlook Web Access, pindutin ang b ctrl+K, hanapin ang mga user at lahat ng iyon, pinamamahalaan mo ang Active Directory nang direkta mula sa web, ipapatupad mo ang mga command ng system sa Linux kung gumagamit ka ng "squirrel mail" o Horde o kung ano pa man. iba pa. Inalis mo ang lahat ng eval na iyon at iba pang uri ng hindi ligtas na paggana. Samakatuwid, maraming mga firewall ang nagbubukod sa kanila mula sa listahan ng mga banta sa seguridad, subukang tanungin ang iyong tagagawa ng software tungkol dito.
Bumalik tayo sa application ng Web Knight. Nagnakaw ito ng maraming panuntunan sa seguridad mula sa isang URL scanner na nag-scan sa lahat ng mga saklaw ng IP address na ito. At ano, lahat ng hanay ng address na ito ay hindi kasama sa aking produkto?
Gusto ba ng sinuman sa inyo na i-install ang mga address na ito sa iyong network? Gusto mo bang tumakbo ang iyong network sa mga address na ito? Oo, ito ay kamangha-manghang. Okay, mag-scroll pababa sa program na ito at tingnan ang iba pang mga bagay na hindi gustong gawin ng firewall na ito.
Tinatawag silang "1999" at nais na ang kanilang web server ay nasa nakaraan! May naaalala ba sa inyo ang kalokohang ito: /scripts, /iishelp, msads? Marahil ay maaalala ng isang pares ng mga tao na may nostalgia kung gaano kasaya ang pag-hack ng mga ganoong bagay. "Tandaan, tao, gaano katagal namin "pinatay" ang mga server, ito ay cool!
Ngayon, kung titingnan mo ang mga pagbubukod na ito, makikita mo na magagawa mo ang lahat ng mga bagay na ito - msads, printer, iisadmpwd - lahat ng mga bagay na ito na hindi kailangan ng sinuman ngayon. Paano ang tungkol sa mga utos na hindi ka pinapayagang isagawa?
Ito ay arp, at, cacls, chkdsk, cipher, cmd, com. Kapag inilista ang mga ito, nalulula ka sa mga alaala ng mga lumang araw, "dude, remember how we took over that server, remember those days"?
Ngunit narito ang talagang kawili-wili - mayroon bang nakakakita ng WMIC dito o marahil PowerShell? Isipin na mayroon kang isang bagong application na gumagana sa pamamagitan ng pagpapatakbo ng mga script sa lokal na sistema, at ito ay mga modernong script, dahil gusto mong patakbuhin ang Windows Server 2008, at gagawin ko ang isang mahusay na trabaho sa pagprotekta nito sa mga panuntunang idinisenyo para sa Windows 2000. Para sa susunod na may vendor na lumapit sa iyo dala ang kanilang web application, tanungin siya, “hey man, nakapagbigay ka na ba ng mga bagay tulad ng bits admin, o executing powershell commands, nasuri mo na ba ang lahat ng iba pang bagay, dahil pupunta tayo upang i-update at gamitin ang bagong bersyon ng DotNET"? Ngunit ang lahat ng mga bagay na ito ay dapat na naroroon sa produkto ng seguridad bilang default!
Ang susunod na bagay na gusto kong pag-usapan sa iyo ay ang mga lohikal na kamalian. Pumunta tayo sa 192.168.2.6. Ito ay tungkol sa parehong aplikasyon tulad ng nauna.
Maaari kang makapansin ng isang bagay na kawili-wili kung mag-scroll ka pababa sa pahina at mag-click sa link na Makipag-ugnay sa Amin.
Kung titingnan mo ang source code ng tab na "Makipag-ugnay sa Amin", na isa sa mga pamamaraan ng pentesting na ginagawa ko sa lahat ng oras, mapapansin mo ang linyang ito.
Pag-isipan mo! Naririnig ko na marami sa paningin nito ang nagsabi: "Wow"! Minsan ay nagsagawa ako ng penetration testing para sa, halimbawa, isang bilyonaryo na bangko, at may napansin akong katulad doon. Kaya, hindi namin kailangan ang SQL injection o cross site scripting - mayroon kaming pangunahing bagay, ang address bar na ito.
Kaya, nang walang pagmamalabis - sinabi sa amin ng bangko na mayroon silang pareho - at isang espesyalista sa network, at isang web inspector, at hindi sila gumawa ng anumang mga puna. Iyon ay, itinuturing nilang normal na ang isang text file ay maaaring mabuksan at mabasa sa pamamagitan ng isang browser.
Iyon ay, maaari mo lamang basahin ang file nang direkta mula sa file system. Sinabi sa akin ng pinuno ng kanilang pangkat ng seguridad, "oo, nakita ng isa sa mga scanner ang kahinaan na ito, ngunit itinuturing itong maliit." Na sinagot ko, okay, bigyan mo ako ng isang minuto. Nag-type ako ng filename=../../../../boot.ini sa address bar at nabasa ko ang file system boot file!
Dito ay sinabi nila sa akin: "hindi, hindi, hindi, hindi ito kritikal na mga file"! Sagot ko - pero ito ay Server 2008, hindi ba? Sabi nila oo, siya daw. Sabi ko - ngunit ang server na ito ay may configuration file na matatagpuan sa root directory ng server, tama ba? "Tama," sagot nila. "Mahusay," sabi ko, "paano kung gawin ito ng umaatake," at tina-type ko ang filename=web.config sa address bar. Sabi nila - ano, wala kang nakikita sa monitor?
Sabi ko - paano kung mag-right click ako sa monitor at piliin ang opsyong "Ipakita ang code ng pahina"? At ano ang makikita ko dito? "Walang kritikal"? Makikita ko ang password ng administrator ng server!
At sabi mo walang problema dito?
Ngunit ang aking paboritong bahagi ay ang susunod. Hindi mo ako hinahayaang magpatakbo ng mga command sa kahon, ngunit maaari kong nakawin ang admin password at database ng web server, tingnan ang buong database, rip out ang lahat ng database at mga bagay sa pagkabigo ng system, at lumayo sa lahat ng ito. Ito ang kaso kapag sinabi ng masamang tao na "hey man, today is a great day"!
Huwag hayaang maging sakit mo ang mga produktong pangkaligtasan! Huwag hayaang magkasakit ang mga produkto ng seguridad! Humanap ng ilang mga nerd, ibigay sa kanila ang lahat ng Star Trek memorabilia, gawin silang interesado, himukin silang manatili sa iyo, dahil ang mga nerdy na baho na hindi nag-shower araw-araw ay ang gumagawa ng iyong mga network tulad ng mga sumusunod! Ito ang mga taong tutulong sa iyong mga produktong panseguridad na gumana nang maayos.
Sabihin mo sa akin, ilan sa inyo ang maaaring manatili sa parehong silid sa loob ng mahabang panahon kasama ang isang taong patuloy na nagsasabi: "oh, kailangan kong i-print ang script na ito nang mapilit!", At sino ang abala dito sa lahat ng oras? Ngunit kailangan mo ng mga taong nagpapagana sa iyong mga produkto ng seguridad.
To reiterate, ang mga produkto ng seguridad ay pipi dahil ang mga ilaw ay palaging mali, sila ay patuloy na gumagawa ng mga kalokohan, hindi lamang sila nagbibigay ng seguridad. Hindi pa ako nakakita ng isang mahusay na produkto ng seguridad na hindi nangangailangan ng isang tao na may isang distornilyador upang i-tweak ito kung saan kailangan nito upang gumana ito nang higit pa o hindi gaanong normal. Isa lang itong napakalaking listahan ng mga panuntunan na nagsasabi na ito ay masama, at iyon na!
Kaya guys, gusto kong bigyang pansin ninyo ang edukasyon, ang mga bagay tulad ng seguridad, polytechnics, dahil maraming libreng online na kurso sa mga isyu sa seguridad. Matuto ng Python, matuto ng Assembly, matuto ng pagsubok sa web application.
Narito kung ano ang talagang makakatulong sa iyong i-secure ang iyong network. Pinoprotektahan ng mga matalinong tao ang mga network, hindi pinoprotektahan ng mga produkto ng network! Bumalik sa trabaho at sabihin sa iyong boss na kailangan mo ng karagdagang badyet para sa mas matalinong mga tao, alam kong krisis ito ngayon ngunit sabihin mo pa rin sa kanya na kailangan natin ng mas maraming pera para sa mga tao upang turuan sila. Kung tayo ay bibili ng produkto ngunit hindi tayo bibili ng kurso kung paano ito gamitin dahil ito ay mahal, bakit tayo bibili nito kung hindi naman natin tuturuan ang mga tao kung paano ito gamitin?
Nagtrabaho ako para sa maraming nagbebenta ng produkto ng seguridad, ginugol ko ang halos buong buhay ko sa pagpapatupad ng mga produktong ito, at nagkakasakit ako sa lahat ng mga kontrol at bagay na ito sa pag-access sa network dahil na-install at pinatakbo ko ang lahat ng mga produktong ito. Isang araw nagpunta ako sa isang kliyente, gusto nilang ipatupad ang 802.1x na pamantayan para sa EAP protocol, kaya mayroon silang mga MAC address at pangalawang address para sa bawat port. Dumating ako, nakita kong masama ito, tumalikod at nagsimulang pindutin ang mga pindutan sa printer. Alam mo, ang printer ay maaaring mag-print ng isang network equipment test page kasama ang lahat ng MAC address at IP address. Ngunit ito ay lumabas na ang printer ay hindi sumusuporta sa 802.1x na pamantayan, kaya dapat itong hindi kasama.
Pagkatapos ay inalis ko sa pagkakasaksak ang printer at pinalitan ang MAC address ng aking laptop sa MAC address ng printer at ikinonekta ang aking laptop, kaya nalampasan ang mamahaling MAC solution na ito, pag-isipan ito! Kaya't ano ang mabuting maidudulot ng solusyon sa MAC na ito para sa akin kung ang isang tao ay maaaring magpasa lamang ng anumang kagamitan bilang isang printer o isang VoIP phone?
Kaya para sa akin ngayon, ang pentesting ay tungkol sa paggugol ng oras sa pagsisikap na maunawaan at maunawaan ang isang produktong panseguridad na binili ng aking kliyente. Ngayon, ang bawat bangko kung saan ako gumagawa ng penetration test ay mayroong lahat ng mga HIPS, NIPS, LAUGTHS, MACS at isang buong grupo ng iba pang mga acronym na nakakainis. Ngunit sinusubukan kong malaman kung ano ang sinusubukang gawin ng mga produktong ito at kung paano nila ito sinusubukang gawin. Pagkatapos, sa sandaling malaman ko kung anong pamamaraan at lohika ang kanilang ginagamit upang magbigay ng proteksyon, ang pag-ikot dito ay hindi magiging mahirap.
Ang paborito kong produkto, na iiwan ko sa iyo, ay tinatawag na MS 1103. Ito ay isang browser-based na pagsasamantala na nag-spray ng HIPS, Host Intrusion Prevention Signature, o Host Intrusion Prevention Signatures. Sa katunayan, nilayon nitong i-bypass ang mga lagda ng HIPS. Hindi ko gustong ipakita sa iyo kung paano ito gumagana dahil ayaw kong maglaan ng oras upang ipakita ito, ngunit mahusay itong gumagana ng pag-bypass sa proteksyong ito, at gusto kong gamitin mo ito.
Okay guys, alis na ako.
Ilang ad 🙂
Salamat sa pananatili sa amin. Gusto mo ba ang aming mga artikulo? Gustong makakita ng mas kawili-wiling nilalaman? Suportahan kami sa pamamagitan ng pag-order o pagrekomenda sa mga kaibigan, , isang natatanging analogue ng mga entry-level na server, na inimbento namin para sa iyo: (magagamit sa RAID1 at RAID10, hanggang 24 na core at hanggang 40GB DDR4).
Dell R730xd 2x na mas mura sa Equinix Tier IV data center sa Amsterdam? Dito lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mula $99! Basahin ang tungkol sa
Pinagmulan: www.habr.com