Şimdi SQL enjekte etmenin başka bir yolunu deneyeceğiz. Bakalım veritabanı hata mesajları atmaya devam ediyor mu? Bu yönteme "gecikme beklemek" denir ve gecikmenin kendisi şu şekilde yazılır: waitfor delay 00:00:01'. Bunu dosyamızdan kopyalayıp tarayıcımın adres çubuğuna yapıştırıyorum.
Tüm bunlara "geçici olarak kör SQL enjeksiyonu" denir. Burada yaptığımız sadece "10 saniye bekleyin" demek. Fark ettiyseniz, sol üstte "bağlanıyor ..." yazısı var, yani sayfamız ne yapıyor? Bir bağlantı için bekler ve 10 saniye sonra monitörünüzde doğru sayfa görünür. Bu hile ile veritabanından birkaç soru daha sormamıza izin vermesini istiyoruz, örneğin kullanıcı Joe ise, o zaman 10 saniye beklememiz gerekiyor. Apaçık? Kullanıcı dbo ise, 10 saniye de bekleyin. Bu, Blind SQL Injection yöntemidir.
Geliştiricilerin yama oluştururken bu güvenlik açığını düzeltmediklerini düşünüyorum. Bu bir SQL enjeksiyonudur, ancak önceki SQL enjeksiyon yöntemleri gibi IDS programımız da bunu görmez.
Daha ilginç bir şey deneyelim. Bu satırı IP adresiyle kopyalayın ve tarayıcıya yapıştırın. İşe yaradı! Programımızdaki TCP çubuğu kırmızıya döndü, program 2 güvenlik tehdidi kaydetti.
Tamam, sonra ne olduğunu görelim. XP kabuğuna yönelik bir tehdidimiz var ve başka bir tehdit de SQL enjeksiyon girişimi. Toplamda, web uygulamasına saldırmak için iki girişimde bulunuldu.
Tamam, şimdi mantık konusunda bana yardım et. IDS'nin çeşitli XP kabuk kurcalamalarına yanıt verdiğini söylediği bir kurcalama veri paketimiz var.
Aşağıya inersek, sağında xp_cmdshell + &27ping mesajını içeren bir bayrak bulunan bir HEX kodları tablosu görüyoruz ve açıkçası bu kötü.
Burada ne olduğunu görelim. SQL Server ne yaptı?
SQL sunucusu "veritabanı şifremi alabilirsin, tüm veritabanı kayıtlarımı alabilirsin ama ahbap, komutlarını benim üzerimde çalıştırmanı hiç istemiyorum, bu hiç hoş değil" dedi!
Yapmamız gereken, IDS XP kabuğuna yönelik bir tehdit bildirse bile tehdidin dikkate alınmamasını sağlamaktır. SQL Server 2005 veya SQL Server 2008 kullanıyorsanız, bir SQL enjeksiyon girişimi tespit edilirse, işletim sistemi kabuğu kilitlenecek ve işinize devam etmeniz engellenecektir. Bu çok rahatsız edici. Öyleyse ne yapacağız? Sunucuya çok sevgiyle sormaya çalışmalısınız. "Lütfen baba, bu kurabiyeleri alabilir miyim" gibi bir şey söylemeli miyim? Yaptığım şey bu, cidden, sunucuya çok kibarca soruyorum! Daha fazla seçenek istiyorum, yeniden yapılandırma istiyorum ve XP kabuk ayarlarının, ihtiyacım olduğu için kabuğu kullanılabilir hale getirmek için değiştirilmesini istiyorum!
IDS'nin bunu tespit ettiğini görüyoruz - görüyorsunuz, burada zaten 3 tehdit not edildi.
Sadece buraya bakın - güvenlik kayıtlarını havaya uçurduk! Bir Noel ağacına benziyor, burada pek çok şey asılı! 27 adede kadar güvenlik tehdidi! Yaşasın çocuklar, bu hacker'ı yakaladık, yakaladık!
Verilerimizi çalacağından endişelenmiyoruz, ancak "kutumuzda" sistem komutlarını yürütebilirse - bu zaten ciddi! Telnet rotasını, FTP'yi çizebilirsin, verilerimi devralabilirsin, bu harika, ama bunun için endişelenmiyorum, sadece "kutumun" kabuğunu devralmanı istemiyorum.
Beni gerçekten etkileyen şeylerden bahsetmek istiyorum. Ben kuruluşlar için çalışıyorum, uzun yıllardır onlar için çalışıyorum ve bunu kız arkadaşım işsiz olduğumu düşündüğü için söylüyorum. Tek yaptığımın sahneye çıkıp sohbet etmek olduğunu, bu iş sayılmaz zannediyor. Ama diyorum ki: “hayır sevincim, ben danışmanım”! Fark bu - fikrimi söylüyorum ve bunun için para alıyorum.
Şöyle ifade edeyim - biz bilgisayar korsanları kabuğu kırmaya bayılırız ve bizim için dünyada "kabuğu yutmaktan" daha büyük bir zevk yoktur. IDS analistleri kurallarını yazarken, onları kabuk kırmaya karşı koruma sağlayacak şekilde yazdıklarını görebilirsiniz. Ancak CIO ile veri çıkarma sorunu hakkında konuşursanız, size iki seçenek hakkında düşünmenizi önerecektir. Diyelim ki saatte 100 "parça" yapan bir uygulamam var. Benim için hangisi daha önemli - bu uygulamadaki tüm verilerin güvenliğini sağlamak mı yoksa "kutu" kabuğunun güvenliğini sağlamak mı? Bu ciddi bir soru! Ne hakkında daha fazla endişelenmelisin?
Kırık bir "kutu" kabuğuna sahip olmanız, mutlaka birisinin uygulamaların iç işleyişine erişim kazandığı anlamına gelmez. Evet, büyük olasılıkla ve henüz olmadıysa, yakında olabilir. Ancak birçok güvenlik ürününün, bir saldırganın ağınızda dolaştığı temel alınarak oluşturulduğunu unutmayın. Bu yüzden komutların uygulanmasına, komutların enjeksiyonuna dikkat ederler ve bunun ciddi bir şey olduğunu unutmamalısınız. Önemsiz güvenlik açıklarına, çok basit siteler arası komut dosyası çalıştırmaya, çok basit SQL enjeksiyonlarına dikkat çekiyorlar. Karmaşık tehditleri umursamıyorlar, şifreli mesajları umursamıyorlar, bu tür şeyleri umursamıyorlar. Denilebilir ki tüm güvenlik ürünleri gürültü arıyor, "yapmak" istiyor, bileğinizi ısıran bir şeyi durdurmak istiyorlar. İşte güvenlik ürünleriyle uğraşırken öğrendiklerim. Güvenlik ürünleri almanıza gerek yok, kamyonu geri geri sürmenize gerek yok. Teknolojiden anlayan yetkin, yetenekli insanlara ihtiyacınız var. Evet, aman Tanrım, insanlar! Milyonlarca doları bu sorunlara yatırmak istemiyoruz ama çoğunuz bu alanda çalıştınız ve biliyorsunuz ki patronunuz bir ilan görür görmez "bu şeyi almalıyız!" diye bağırarak mağazaya koşuyor. Ama buna gerçekten ihtiyacımız yok, sadece arkamızda bıraktığımız pisliği düzeltmemiz gerekiyor. Bu performansın temeli buydu.
Yüksek güvenlik ortamı, koruma mekanizmalarının nasıl çalıştığına dair kuralları anlamak için üzerinde çok zaman harcadığım bir şey. Koruma mekanizmalarını bir kez anladığınızda, korumayı atlamak zor değildir. Örneğin, kendi güvenlik duvarı tarafından korunan bir web uygulamam var. Ayarlar panelinin adresini kopyalayıp tarayıcının adres çubuğuna yapıştırıyorum ve ayarlara gidip siteler arası komut dosyası çalıştırmayı deniyorum.
Sonuç olarak, bir tehdit hakkında bir güvenlik duvarı mesajı alıyorum - Engellendim.
Bence kötü, katılıyor musun? Bir güvenlik ürünü ile karşı karşıyasınız. Ama şöyle bir şey denersem ne olur: Joe'+OR+1='1 parametresini dizeye koyun
Gördüğünüz gibi işe yaradı. Yanılıyorsam düzeltin, ancak SQL enjeksiyonunun uygulama güvenlik duvarını yendiğini gördük. Şimdi bir güvenlik şirketi kurmak istiyormuşuz gibi yapalım, bu yüzden yazılımcı şapkasını takalım. Şimdi kötülüğü somutlaştırıyoruz çünkü o siyah bir şapka. Ben bir danışmanım, yani bunu yazılım üreticileriyle yapabilirim.
Yeni bir izinsiz giriş tespit sistemi oluşturmak ve dağıtmak istiyoruz, bu nedenle bir kurcalama tespit kampanyası başlatacağız. Açık kaynaklı bir ürün olan Snort, yüzbinlerce izinsiz giriş tehdidi imzası içerir. Bu imzaları diğer uygulamalardan çalmamak ve sistemimize eklememek için etik davranmalıyız. Oturup hepsini yeniden yazacağız - hey Bob, Tim, Joe, buraya gelin ve tüm bu 100 imzayı hızlıca gözden geçirin!
Ayrıca bir güvenlik açığı tarayıcısı oluşturmamız gerekiyor. Otomatik güvenlik açığı bulucu Nessus'un 80 imzaya ve güvenlik açıklarını kontrol eden komut dosyasına sahip olduğunu biliyorsunuz. Yine etik davranacağız ve hepsini programımızda kişisel olarak yeniden yazacağız.
İnsanlar bana "Joe, tüm bu testleri Mod Security, Snort ve benzerleri gibi açık kaynaklı yazılımlarla yapıyorsun, diğer satıcıların ürünlerine ne kadar benziyorlar?" diye soruyorlar. Onlara cevap veriyorum: "Hiç benzemiyorlar!" Satıcılar açık kaynaklı güvenlik ürünlerinden bir şey çalmadıkları için oturup tüm bu kuralları kendileri yazarlar.
Açık kaynak kodlu ürünler kullanmadan kendi imzalarınızı ve saldırı dizilerinizi çalıştırabiliyorsanız bu sizin için çok büyük bir fırsat. Ticari ürünlerle rekabet edemiyorsanız, doğru yolda ilerliyorsanız, alanınızda tanınmanıza yardımcı olacak bir konsept bulmalısınız.
İçtiğimi herkes biliyor. Sana neden içtiğimi göstereyim. Hayatınızda kaynak kod denetimi yaptıysanız mutlaka sarhoş olursunuz, inanın bana ondan sonra içmeye başlarsınız.
Yani favori dilimiz C++. Bu programa bir göz atalım - Web Knight, web sunucuları için bir güvenlik duvarı uygulamasıdır. Varsayılan istisnaları vardır. İlginçtir - bu güvenlik duvarını kurarsam, beni Outlook Web Access'ten korumaz.
Müthiş! Bunun nedeni, pek çok yazılım satıcısının, bazı uygulamalardan kuralları çekip çıkarması ve bir sürü doğru araştırma yapmadan bunları ürünlerine koymasıdır. Bu nedenle, bir ağ güvenlik duvarı uygulaması kurduğumda, web postasıyla ilgili her şeyin yanlış yapıldığını düşünüyorum! Çünkü hemen hemen her web postası varsayılan güvenliği ihlal eder. Sistem komutlarını yürüten ve LDAP'yi veya doğrudan web üzerinde herhangi bir başka kullanıcı veritabanı deposunu sorgulayan web kodunuz var.
Söyle bana, hangi gezegende böyle bir şey güvenli kabul edilebilir? Bir düşünün: Outlook Web Access'i açın, b ctrl+K'ye basın, kullanıcıları arayın ve tüm bunları yapın, Active Directory'yi doğrudan web'den yönetin, "squirrel mail" veya Horde veya her neyse kullanıyorsanız Linux'ta sistem komutlarını yürütün. başka bir şey. Tüm bu değerlendirmeleri ve diğer güvenli olmayan işlevsellik türlerini çıkarıyorsunuz. Bu nedenle, birçok güvenlik duvarı onları güvenlik tehditleri listesinden çıkarır, yazılım üreticinize bunu sormayı deneyin.
Web Knight uygulamasına geri dönelim. Tüm bu IP adres aralıklarını tarayan bir URL tarayıcısından çok sayıda güvenlik kuralı çaldı. Ve ne, tüm bu adres aralıkları ürünüme dahil değil mi?
Bu adresleri ağınıza kurmak isteyen var mı? Ağınızın bu adreslerde çalışmasını istiyor musunuz? Evet harika. Tamam, bu programı aşağı kaydıralım ve bu güvenlik duvarının yapmak istemediği diğer şeylere bakalım.
"1999" olarak adlandırılıyorlar ve web sunucularının geçmişte kalmasını istiyorlar! Şu saçmalığı hatırlayan var mı: /scripts, /iishelp, msads? Belki birkaç kişi bu tür şeyleri hacklemenin ne kadar eğlenceli olduğunu nostaljiyle hatırlayacaktır. "Unutma dostum, sunucuları ne kadar zaman önce "öldürdük", harikaydı!".
Şimdi, bu istisnalara bakarsanız, bugün kimsenin ihtiyaç duymadığı tüm bu şeyleri yapabileceğinizi göreceksiniz - msad'ler, yazıcılar, iisadmpwd. Yürütmenize izin verilmeyen komutlar ne olacak?
Bunlar arp, at, cacls, chkdsk, cipher, cmd, com'dur. Bunları listelerken eski günlerin hatıralarına kapılıyorsunuz, “Abi biz o sunucuyu nasıl ele geçirdik hatırlıyor musunuz, o günleri hatırlıyor musunuz?”
Ama asıl ilginç olan şu - burada WMIC'yi veya PowerShell'i gören var mı? Yerel sistemde komut dosyaları çalıştırarak çalışan yeni bir uygulamanız olduğunu hayal edin ve bunlar modern komut dosyalarıdır, çünkü Windows Server 2008'i çalıştırmak istiyorsunuz ve ben bunu Windows için tasarlanmış kurallarla korumak için harika bir iş çıkaracağım. 2000. Bir dahaki sefere bir satıcı size web uygulamasıyla geldiğinde, ona "hey dostum, bit admin veya powershell komutlarını yürütme gibi şeyler sağladınız mı, diğer tüm şeyleri kontrol ettiniz mi, çünkü biz gidiyoruz" diye sorun. DotNET'in yeni sürümünü güncellemek ve kullanmak için"? Ancak tüm bunlar varsayılan olarak güvenlik ürününde bulunmalıdır!
Sizinle konuşmak istediğim bir sonraki şey mantıksal yanılgılar. 192.168.2.6'ya gidelim. Bu, bir öncekiyle hemen hemen aynı uygulamadır.
Sayfayı aşağı kaydırıp Bize Ulaşın bağlantısını tıklarsanız ilginç bir şey fark edebilirsiniz.
Sürekli yaptığım pentesting yöntemlerinden biri olan "Bize Ulaşın" sekmesinin kaynak koduna bakarsanız bu satırı fark edeceksiniz.
Bunu düşün! Bunu gören birçok kişinin "Vay canına" dediğini duydum! Bir keresinde, diyelim ki bir milyarder bankası için sızma testi yaptım ve orada da benzer bir şey fark ettim. Bu nedenle, SQL enjeksiyonuna veya siteler arası komut dizisine ihtiyacımız yok - asıl şey, bu adres çubuğuna sahibiz.
Yani, abartmadan - banka bize hem bir ağ uzmanına hem de bir web müfettişine sahip olduklarını söyledi ve herhangi bir açıklama yapmadılar. Yani, bir metin dosyasının bir tarayıcı aracılığıyla açılıp okunabilmesini normal gördüler.
Yani, dosyayı doğrudan dosya sisteminden okuyabilirsiniz. Güvenlik ekibinin başı bana "evet, tarayıcılardan biri bu güvenlik açığını buldu, ancak bunu önemsiz buldu" dedi. Cevap verdim, tamam, bana bir dakika ver. Adres çubuğuna filename=../../../../boot.ini yazdım ve dosya sistemi önyükleme dosyasını okuyabildim!
Bunun için bana “hayır, hayır, hayır, bunlar kritik dosyalar değil” dediler! Cevap verdim - ama bu Server 2008, değil mi? Evet odur dediler. Diyorum ki - ama bu sunucunun, sunucunun kök dizininde bulunan bir yapılandırma dosyası var, değil mi? "Doğru" diye cevap verirler. "Harika" diyorum, "ya bunu saldırgan yaparsa" ve adres çubuğuna dosyaadı=web.config yazıyorum. Diyorlar ki - ne olmuş yani, monitörde hiçbir şey görmüyor musunuz?
Diyorum ki - ya monitöre sağ tıklayıp "Sayfa kodunu göster" seçeneğini seçersem? Ve burada ne bulacağım? "Kritik bir şey yok" mu? Sunucu yönetici şifresini göreceğim!
Ve burada sorun olmadığını mı söylüyorsunuz?
Ama en sevdiğim kısım bir sonraki kısım. Kutuda komutları çalıştırmama izin vermiyorsunuz, ancak web sunucusunun yönetici parolasını ve veritabanını çalabilir, tüm veritabanına bakabilir, tüm veritabanını ve sistem hatası öğelerini söküp alabilirim ve hepsini alıp gidebilirim. Kötü adamın "hey dostum, bugün harika bir gün" dediği durum budur!
Güvenlik ürünlerinin hastalığınız olmasına izin vermeyin! Güvenlik ürünlerinin sizi hasta etmesine izin vermeyin! Birkaç inek bulun, onlara tüm o Star Trek hatıralarını verin, ilgilerini çekin, sizinle kalmaları için onları teşvik edin, çünkü ağlarınızı aşağıdaki gibi çalıştıran, her gün duş almayan o pislikler! Bunlar, güvenlik ürünlerinizin düzgün çalışmasına yardımcı olacak kişilerdir.
Söyleyin bana, kaçınız aynı odada sürekli "ah, bu senaryoyu acilen yazdırmam gerekiyor!" Diyen biriyle uzun süre kalabiliyorsunuz ve kim sürekli bununla meşgul? Ancak güvenlik ürünlerinizi çalıştıran insanlara ihtiyacınız var.
Yinelemek gerekirse, güvenlik ürünleri aptaldır çünkü ışıklar her zaman yanlıştır, sürekli boktan şeyler yaparlar, sadece güvenliği sağlamazlar. Tornavidalı bir adamın az ya da çok normal çalışmasını sağlamak için ihtiyaç duyduğu yerde ince ayar yapmasını gerektirmeyen iyi bir güvenlik ürünü hiç görmedim. Kötü olduğunu söyleyen koca bir kurallar listesi ve hepsi bu!
Çocuklar, eğitime, güvenlik, teknik okullar gibi şeylere dikkat etmenizi istiyorum çünkü güvenlikle ilgili birçok ücretsiz çevrimiçi kurs var. Python öğrenin, Assembly öğrenin, web uygulaması testini öğrenin.
İşte ağınızın güvenliğini sağlamanıza gerçekten yardımcı olacak şeyler. Akıllı insanlar ağları korur, ağ ürünleri korumaz! İşe geri dön ve patronuna daha akıllı insanlar için daha fazla bütçeye ihtiyacın olduğunu söyle, bunun bir kriz olduğunu biliyorum ama yine de insanları eğitmek için daha fazla paraya ihtiyacımız olduğunu söyle. Bir ürün alıyorsak ama pahalı olduğu için nasıl kullanılacağına dair bir kurs almıyorsak, o zaman insanlara onu nasıl kullanacaklarını öğretmeyeceksek neden satın alıyoruz?
Pek çok güvenlik ürünü satıcısı için çalıştım, neredeyse tüm hayatımı bu ürünleri uygulamaya harcadım ve tüm bu ağ erişim kontrollerinden falan bıktım çünkü tüm bu saçma ürünleri kurup çalıştırdım. Bir gün bir müşteriye gittim, EAP protokolü için 802.1x standardını uygulamak istediler, böylece her bağlantı noktası için MAC adresleri ve ikincil adresleri vardı. Geldim, kötü olduğunu gördüm, döndüm ve yazıcıdaki düğmelere basmaya başladım. Biliyorsunuz, yazıcı tüm MAC adreslerini ve IP adreslerini içeren bir ağ ekipmanı test sayfası yazdırabilir. Ancak yazıcının 802.1x standardını desteklemediği, dolayısıyla hariç tutulması gerektiği ortaya çıktı.
Sonra yazıcının fişini çektim ve dizüstü bilgisayarımın MAC adresini yazıcının MAC adresine değiştirdim ve dizüstü bilgisayarımı bağladım, böylece bu pahalı MAC çözümünü atladım, bir düşünün! Öyleyse, bir kişi herhangi bir ekipmanı yazıcı veya VoIP telefonu olarak kolayca devredebiliyorsa, bu MAC çözümünün bana ne faydası olabilir?
Bu yüzden bugün benim için sızma testi, müvekkilimin satın aldığı bir güvenlik ürününü anlamaya ve anlamaya çalışmak için zaman harcamakla ilgili. Şimdi sızma testi yaptığım her bankada tüm bu HIPS, NIPS, LAUGTHS, MACS ve berbat olan bir sürü başka kısaltma var. Ama bu ürünlerin ne yapmaya çalıştıklarını ve bunu nasıl yapmaya çalıştıklarını anlamaya çalışıyorum. Ardından, koruma sağlamak için hangi metodolojiyi ve mantığı kullandıklarını anladığımda, etrafta dolaşmak hiç de zor olmuyor.
Size bırakacağım en sevdiğim ürünümün adı MS 1103. HIPS, Host Intrusion Prevention Signature veya Host Intrusion Prevention Signatures püskürten tarayıcı tabanlı bir istismardır. Aslında, HIPS imzalarını atlamak için tasarlanmıştır. Size nasıl çalıştığını göstermek istemiyorum çünkü göstermek için zaman ayırmak istemiyorum ama bu korumayı aşmak harika bir iş çıkarıyor ve sizin de onu benimsemenizi istiyorum.
Tamam çocuklar, şimdi çıkıyorum.
Bazı reklamlar 🙂
Bizimle kaldığın için teşekkürler. Yazılarımızı beğeniyor musunuz? Daha ilginç içerik görmek ister misiniz? Sipariş vererek veya arkadaşlarınıza tavsiye ederek bize destek olun, , sizin için bizim tarafımızdan icat edilen benzersiz bir giriş seviyesi sunucu analoğu: (RAID1 ve RAID10, 24 adede kadar çekirdek ve 40 GB'a kadar DDR4 ile mevcuttur).
Amsterdam'daki Equinix Tier IV veri merkezinde Dell R730xd 2 kat daha mı ucuz? Sadece burada Hollanda'da! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99$'dan! Hakkında oku
Kaynak: habr.com