ݺߣ

ݺߣShare a Scribd company logo

Пост-эксплуатация веб-приложений в тестах на проникновение

Download as PPTX, PDF
B
beched

Some aspects of web applications post exploitation.

1 of 27
Downloaded 32 times
Атаки на веб-приложения в тестах на проникновение VolgaCTF 2013 Ганиев Омар Отдел анализа защищенности
Curriculum Vitae ― Изучаю ИБ лет 6 ― Факультет математики НИУ-ВШЭ ― CTF-команда RDot.Org ― Хакерский отдел «Информзащиты» ― Beched
Проникновение ― Цепочка некоторых действий ― Недостаточно одной уязвимости ― Разные пути для достижения цели ― Защищенность определяется слабым звеном ― Black vs white box, внутреннее vs внешнее
Кто самое слабое звено? Персонал Web- приложения Сетевое оборудование СУБД Файловые хранилища Прочие сетевые сервисы
Кто самое слабое звено? 36% 56% 73% 0% 10% 20% 30% 40% 50% 60% 70% 80% 2010 2011 2012 Успешность проведение атак методом социальной инженерии за последние 3 года
Зачем тогда ломать web? ― Больше свободы действий (меньше согласований), меньше риск провала ― Веб-приложения всюду есть, и они часто «самописные» ― Зачастую критичные ресурсы напрямую связаны и с web-приложением ― Более распространённая в жизни модель взлома
Какие проблемы? ― Веб-серверы обычно в DMZ ― Значит, трудно настроить канал связи, и трудно попасть в другие сегменты ― Низкие привилегии HTTP-демона ― Требуется больше технических навыков
Некоторые решения ― При наличии таблицы маршрутизации можно найти путь для проникновения на ориентированном графе маршрутов сети ― Поднятие привилегий (kernel, libraries, backups, suid-binaries, crontab, …) ― Другие пути (см. далее)
― Intranet access via HTTP proxy ― SSRF via LFR ― DNS-spoofing via router ― Intranet access via web socks ― Bind shell via socket reuse Cases
Intranet access via HTTP proxy ― Squid, mod_proxy… По умолчанию всё ok ― server: WebSEAL/6.0.0.0 (Build 051114), wtf? ― IBM Tivoli WebSEAL reverse proxy ― Авторизация не включена ― GET http://some-host.intranet/somepage HTTP/1.1... ― Intranet
auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 172.30.109.249 netmask 255.255.255.0 gateway 172.30.109.254 SSRF via LFR <? //LFR = Local File Reading readfile($_GET[‘filename’]); Из документации PHP: int readfile ( string $filename [, bool $use_include_path = false [, resource $context ]] ) Читаем исходники, конфиги, но RCE не получилось =( download.php?filename=/etc/network/interfaces
SSRF via LFR Но $filename в мануале PHP – это URL, а не просто путь. SSRF – Server-Side Request Forgery (в данном случае имеем простейшую вариацию). /etc/network/interfaces => IP-адрес и маска => сканирование подсети: download.php?filename=http://172.30.109.1-254:1-65535/
SSRF via LFR download.php?filename=http://172.30.109.2/ Squid stats
SSRF via LFR Что можно ещѐ сделать? PHP wrappers: http://php.net/manual/en/wrappers.php SSRF bible (cheatsheet by d0znpp): https://docs.google.com/document/d/1v1TkWZtrhzRLy0bYX BcdLUedXGb9njTNIJXa3u9akHM HTTP, FTP, SSH, File Descriptors… Может привести к исполнению кода.
DNS spoofing via router FTP brute force => admin:admin Admin panel
DNS spoofing via router config.img => privileged admin Telnet console <chain N="USERNAME_PASSWORD"> <V N="FLAG" V="0x0"/> <V N="USERNAME" V="admin"/> <V N="PASSWORD" V=“**PASSHERE**"/> <V N="BACKDOOR" V="0x1"/> <V N="PRIORITY" V="0x1"/> </chain>
DNS spoofing via router DNS spoofing, Bind9 logging => logs $ cat /etc/namedb/named.conf …… logging { channel my_file { file "log.msgs"; severity debug; print-category yes; print-severity yes; }; category default { default_syslog; my_file; }; category queries { my_file; }; };
DNS spoofing via router Host forgery => HTTP logs *.kaspersky.com IN A 31.3.3.7 Apache logs
DNS spoofing via router ― Мониторинг посещаемых узлов ― Подмена страниц на фишинговые ― Подмена обновлений ПО (на скриншоте выше логи обращения KIS) ― PPP-аккаунт у провайдера
Intranet access via web socks ― Web-shell (PHP, ASP.NET, …) ― Привилегии поднять не удалось ― DMZ, на NAT открыт только 80 или 443 порты ― Что делать? ― Web Socks! ― Intranet
Intranet access via web socks Some packet => SOCKS => ProxyChains => Local daemon => HTTP => Web SOCKS => Target
Локально запускаем демон. Инкапсулируем любой протокол в SOCKS, демон его инкапсулирует в HTTP и передаѐт пакет PHP-скрипту через веб-сервер. Скрипт работает по протоколу SOCKS, возвращая ответы по HTTP, используя веб-сервер, т.е. не нужно биндить порт и обходить DMZ. Далее проксифицируем ПО (в т. ч. Nmap, RDP-клиенты) при помощи proxychains. $ cat /etc/proxychains.conf | grep socks5 socks5 127.0.0.1 1080 $ proxychains nmap --top-ports 100 10.10.17.0/24 … Intranet access via web socks
Реализации web SOCKS. На PHP от ShAnKaR (Antichat); http://forum.antichat.ru/threadnav177147-1-10.html На ASP.NET (reDuh) от SensePost: http://research.sensepost.com/tools/web/reduh Intranet access via web socks
Bind shell via socket reuse ― Web-shell (PHP, ASP.NET, …) ― Удалось получить привилегии суперпользователя ― DMZ, на NAT открыт только 80 или 443 порты ― Что делать? Не ронять же веб-сервер! ― Socket reuse! ― Нормальный терминал
Bind shell via socket reuse Приоритет демонов повышается от частного к общему $ cat /etc/apache2/ports.conf | grep Listen Listen *:80 $ sudo netstat –apn | grep 80 tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12669/apache2 Socket reuse: … setsockopt( sockfd, SOL_SOCKET, SO_REUSEADDR, &on, sizeof(on) ); … serv_addr.sin_addr.s_addr = inet_addr("127.0.0.1"); //just example Может не сработать, например, на SELinux. Зато работает на FreeBSD Можно просто одним сценарием отключить Apache, запустить демон шелла и запустить Apache, перехватив первое соединение (закрываем дескриптор сокета, не закрывая соединение). Но это риск.
Outro ― Во всём виноваты люди ― Людей проще эксплуатировать, но проще и провалиться ― Веб-приложения эксплуатировать сложнее, но это происходит незаметно ― Для взлома веб-серверов надо знать скриптовые языки и структуру ОС ― Для проникновения надо знать структуру сетей и размышлять в разных плоскостях
Ганиев Омар Отдел анализа защищѐнности admin@ahack.ru VolgaCTF 2013 Вопросы?

Recommended

Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
beched
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
beched
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
beched
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийBlackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
beched
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
beched
Криптология в анализе защищённости
Криптология в анализе защищённостиКриптология в анализе защищённости
Криптология в анализе защищённости
beched
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
Кто сказал «WAF»?
Кто сказал «WAF»?Кто сказал «WAF»?
Кто сказал «WAF»?
Positive Development User Group
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализу
Positive Development User Group
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Sergey Belov
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыТехнологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Positive Development User Group
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
OWASP Russia
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Development User Group
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Development User Group
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Development User Group
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Development User Group
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
Dmitry Evteev
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
Трущобы Application Security
Трущобы Application SecurityТрущобы Application Security
Трущобы Application Security
Positive Development User Group
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
Dmitry Evteev
Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)
Sergey Skvortsov
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложений
snowytoxa

More Related Content

What's hot (20)

Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализу
Positive Development User Group
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Sergey Belov
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыТехнологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Positive Development User Group
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
OWASP Russia
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Development User Group
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Development User Group
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Development User Group
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Development User Group
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
Dmitry Evteev
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
Трущобы Application Security
Трущобы Application SecurityТрущобы Application Security
Трущобы Application Security
Positive Development User Group
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
Dmitry Evteev
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализу
Positive Development User Group
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Sergey Belov
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструментыТехнологии анализа бинарного кода приложений: требования, проблемы, инструменты
Технологии анализа бинарного кода приложений: требования, проблемы, инструменты
Positive Development User Group
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
OWASP Russia
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Development User Group
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Development User Group
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Development User Group
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Development User Group
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
Dmitry Evteev
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
Трущобы Application Security
Трущобы Application SecurityТрущобы Application Security
Трущобы Application Security
Positive Development User Group
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
Dmitry Evteev

Similar to Пост-эксплуатация веб-приложений в тестах на проникновение (20)

Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)
Sergey Skvortsov
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложений
snowytoxa
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
karina krew
Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)
Alexey Kachayev
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
Dmitry Evteev
Методы обхода Web Application Firewall
Методы обхода Web Application FirewallМетоды обхода Web Application Firewall
Методы обхода Web Application Firewall
Dmitry Evteev
176023
176023176023
176023
whitepawn2012
DDOS mitigation software solutions
DDOS mitigation software solutionsDDOS mitigation software solutions
DDOS mitigation software solutions
Транслируем.бел
HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3
Ivan Agarkov
Обзор Continuous integration инструментов
Обзор Continuous integration инструментовОбзор Continuous integration инструментов
Обзор Continuous integration инструментов
Vitalii Morvaniuk
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийсовременная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Ontico
Phalcon - самый быстрый PHP Framework
Phalcon - самый быстрый PHP FrameworkPhalcon - самый быстрый PHP Framework
Phalcon - самый быстрый PHP Framework
Oleksandr Torosh
php frameworks
php frameworksphp frameworks
php frameworks
Транслируем.бел
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...
Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...
Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...
Vadim Kruchkov
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
Петр Королев
Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)
Sergey Skvortsov
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложений
snowytoxa
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
karina krew
Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)
Alexey Kachayev
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
Dmitry Evteev
Методы обхода Web Application Firewall
Методы обхода Web Application FirewallМетоды обхода Web Application Firewall
Методы обхода Web Application Firewall
Dmitry Evteev
176023
176023176023
176023
whitepawn2012
DDOS mitigation software solutions
DDOS mitigation software solutionsDDOS mitigation software solutions
DDOS mitigation software solutions
Транслируем.бел
HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3
Ivan Agarkov
Обзор Continuous integration инструментов
Обзор Continuous integration инструментовОбзор Continuous integration инструментов
Обзор Continuous integration инструментов
Vitalii Morvaniuk
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийсовременная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Ontico
Phalcon - самый быстрый PHP Framework
Phalcon - самый быстрый PHP FrameworkPhalcon - самый быстрый PHP Framework
Phalcon - самый быстрый PHP Framework
Oleksandr Torosh
php frameworks
php frameworksphp frameworks
php frameworks
Транслируем.бел
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...
Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...
Пора ли отправлять С на свалку истории? Пишем демонов на PHP с использованием...
Vadim Kruchkov
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
Петр Королев

More from beched (7)

Attacks against machine learning algorithms
Attacks against machine learning algorithmsAttacks against machine learning algorithms
Attacks against machine learning algorithms
beched
Hacking as eSports
Hacking as eSportsHacking as eSports
Hacking as eSports
beched
BlackBox testing
BlackBox testingBlackBox testing
BlackBox testing
beched
Data mining for nmap acceleration
Data mining for nmap accelerationData mining for nmap acceleration
Data mining for nmap acceleration
beched
Find maximum bugs in limited time
Find maximum bugs in limited timeFind maximum bugs in limited time
Find maximum bugs in limited time
beched
Owasp web application security trends
Owasp web application security trendsOwasp web application security trends
Owasp web application security trends
beched
Vulnerabilities in data processing levels
Vulnerabilities in data processing levelsVulnerabilities in data processing levels
Vulnerabilities in data processing levels
beched
Attacks against machine learning algorithms
Attacks against machine learning algorithmsAttacks against machine learning algorithms
Attacks against machine learning algorithms
beched
Hacking as eSports
Hacking as eSportsHacking as eSports
Hacking as eSports
beched
BlackBox testing
BlackBox testingBlackBox testing
BlackBox testing
beched
Data mining for nmap acceleration
Data mining for nmap accelerationData mining for nmap acceleration
Data mining for nmap acceleration
beched
Find maximum bugs in limited time
Find maximum bugs in limited timeFind maximum bugs in limited time
Find maximum bugs in limited time
beched
Owasp web application security trends
Owasp web application security trendsOwasp web application security trends
Owasp web application security trends
beched
Vulnerabilities in data processing levels
Vulnerabilities in data processing levelsVulnerabilities in data processing levels
Vulnerabilities in data processing levels
beched

Пост-эксплуатация веб-приложений в тестах на проникновение

  • 1. Атаки на веб-приложения в тестах на проникновение VolgaCTF 2013 Ганиев Омар Отдел анализа защищенности
  • 2. Curriculum Vitae ― Изучаю ИБ лет 6 ― Факультет математики НИУ-ВШЭ ― CTF-команда RDot.Org ― Хакерский отдел «Информзащиты» ― Beched
  • 3. Проникновение ― Цепочка некоторых действий ― Недостаточно одной уязвимости ― Разные пути для достижения цели ― Защищенность определяется слабым звеном ― Black vs white box, внутреннее vs внешнее
  • 4. Кто самое слабое звено? Персонал Web- приложения Сетевое оборудование СУБД Файловые хранилища Прочие сетевые сервисы
  • 5. Кто самое слабое звено? 36% 56% 73% 0% 10% 20% 30% 40% 50% 60% 70% 80% 2010 2011 2012 Успешность проведение атак методом социальной инженерии за последние 3 года
  • 6. Зачем тогда ломать web? ― Больше свободы действий (меньше согласований), меньше риск провала ― Веб-приложения всюду есть, и они часто «самописные» ― Зачастую критичные ресурсы напрямую связаны и с web-приложением ― Более распространённая в жизни модель взлома
  • 7. Какие проблемы? ― Веб-серверы обычно в DMZ ― Значит, трудно настроить канал связи, и трудно попасть в другие сегменты ― Низкие привилегии HTTP-демона ― Требуется больше технических навыков
  • 8. Некоторые решения ― При наличии таблицы маршрутизации можно найти путь для проникновения на ориентированном графе маршрутов сети ― Поднятие привилегий (kernel, libraries, backups, suid-binaries, crontab, …) ― Другие пути (см. далее)
  • 9. ― Intranet access via HTTP proxy ― SSRF via LFR ― DNS-spoofing via router ― Intranet access via web socks ― Bind shell via socket reuse Cases
  • 10. Intranet access via HTTP proxy ― Squid, mod_proxy… По умолчанию всё ok ― server: WebSEAL/6.0.0.0 (Build 051114), wtf? ― IBM Tivoli WebSEAL reverse proxy ― Авторизация не включена ― GET http://some-host.intranet/somepage HTTP/1.1... ― Intranet
  • 11. auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 172.30.109.249 netmask 255.255.255.0 gateway 172.30.109.254 SSRF via LFR <? //LFR = Local File Reading readfile($_GET[‘filename’]); Из документации PHP: int readfile ( string $filename [, bool $use_include_path = false [, resource $context ]] ) Читаем исходники, конфиги, но RCE не получилось =( download.php?filename=/etc/network/interfaces
  • 12. SSRF via LFR Но $filename в мануале PHP – это URL, а не просто путь. SSRF – Server-Side Request Forgery (в данном случае имеем простейшую вариацию). /etc/network/interfaces => IP-адрес и маска => сканирование подсети: download.php?filename=http://172.30.109.1-254:1-65535/
  • 14. SSRF via LFR Что можно ещѐ сделать? PHP wrappers: http://php.net/manual/en/wrappers.php SSRF bible (cheatsheet by d0znpp): https://docs.google.com/document/d/1v1TkWZtrhzRLy0bYX BcdLUedXGb9njTNIJXa3u9akHM HTTP, FTP, SSH, File Descriptors… Может привести к исполнению кода.
  • 15. DNS spoofing via router FTP brute force => admin:admin Admin panel
  • 16. DNS spoofing via router config.img => privileged admin Telnet console <chain N="USERNAME_PASSWORD"> <V N="FLAG" V="0x0"/> <V N="USERNAME" V="admin"/> <V N="PASSWORD" V=“**PASSHERE**"/> <V N="BACKDOOR" V="0x1"/> <V N="PRIORITY" V="0x1"/> </chain>
  • 17. DNS spoofing via router DNS spoofing, Bind9 logging => logs $ cat /etc/namedb/named.conf …… logging { channel my_file { file "log.msgs"; severity debug; print-category yes; print-severity yes; }; category default { default_syslog; my_file; }; category queries { my_file; }; };
  • 18. DNS spoofing via router Host forgery => HTTP logs *.kaspersky.com IN A 31.3.3.7 Apache logs
  • 19. DNS spoofing via router ― Мониторинг посещаемых узлов ― Подмена страниц на фишинговые ― Подмена обновлений ПО (на скриншоте выше логи обращения KIS) ― PPP-аккаунт у провайдера
  • 20. Intranet access via web socks ― Web-shell (PHP, ASP.NET, …) ― Привилегии поднять не удалось ― DMZ, на NAT открыт только 80 или 443 порты ― Что делать? ― Web Socks! ― Intranet
  • 21. Intranet access via web socks Some packet => SOCKS => ProxyChains => Local daemon => HTTP => Web SOCKS => Target
  • 22. Локально запускаем демон. Инкапсулируем любой протокол в SOCKS, демон его инкапсулирует в HTTP и передаѐт пакет PHP-скрипту через веб-сервер. Скрипт работает по протоколу SOCKS, возвращая ответы по HTTP, используя веб-сервер, т.е. не нужно биндить порт и обходить DMZ. Далее проксифицируем ПО (в т. ч. Nmap, RDP-клиенты) при помощи proxychains. $ cat /etc/proxychains.conf | grep socks5 socks5 127.0.0.1 1080 $ proxychains nmap --top-ports 100 10.10.17.0/24 … Intranet access via web socks
  • 23. Реализации web SOCKS. На PHP от ShAnKaR (Antichat); http://forum.antichat.ru/threadnav177147-1-10.html На ASP.NET (reDuh) от SensePost: http://research.sensepost.com/tools/web/reduh Intranet access via web socks
  • 24. Bind shell via socket reuse ― Web-shell (PHP, ASP.NET, …) ― Удалось получить привилегии суперпользователя ― DMZ, на NAT открыт только 80 или 443 порты ― Что делать? Не ронять же веб-сервер! ― Socket reuse! ― Нормальный терминал
  • 25. Bind shell via socket reuse Приоритет демонов повышается от частного к общему $ cat /etc/apache2/ports.conf | grep Listen Listen *:80 $ sudo netstat –apn | grep 80 tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12669/apache2 Socket reuse: … setsockopt( sockfd, SOL_SOCKET, SO_REUSEADDR, &on, sizeof(on) ); … serv_addr.sin_addr.s_addr = inet_addr("127.0.0.1"); //just example Может не сработать, например, на SELinux. Зато работает на FreeBSD Можно просто одним сценарием отключить Apache, запустить демон шелла и запустить Apache, перехватив первое соединение (закрываем дескриптор сокета, не закрывая соединение). Но это риск.
  • 26. Outro ― Во всём виноваты люди ― Людей проще эксплуатировать, но проще и провалиться ― Веб-приложения эксплуатировать сложнее, но это происходит незаметно ― Для взлома веб-серверов надо знать скриптовые языки и структуру ОС ― Для проникновения надо знать структуру сетей и размышлять в разных плоскостях
  • 27. Ганиев Омар Отдел анализа защищѐнности admin@ahack.ru VolgaCTF 2013 Вопросы?