Inhoudsopgave:
Video: Anita Elbers wil case study doen over Late Night - RTL LATE NIGHT 2024
In deze casestudy deelde Chip Andrews, een expert in SQL Server-beveiliging, deze ervaring van (ethisch) hacken in een client database om beveiligingsfouten te ontdekken. Dit voorbeeld biedt een waarschuwend verhaal om uw belangrijke informatie te beschermen door te streven naar degelijke databasebeveiliging.
De situatie
Tijdens een routine penetratietest voerde Andrews de verplichte Google-zoekopdrachten, domeinnaamonderzoek, vingerafdrukken van het besturingssysteem en poortscans uit, maar deze specifieke website was goed vergrendeld. Hij ging door naar de webgebaseerde applicatie die op het systeem draaide en werd onmiddellijk geconfronteerd met een inlogpagina met behulp van SSL-gecodeerde formulierverificatie.
Door de bron van de webpagina te controleren, zag hij dat een verborgen veld App_Name werd doorgegeven aan de toepassing wanneer een gebruiker probeerde in te loggen op de site. Zou het kunnen dat de ontwikkelaars mogelijk niet de juiste invoervalidatie hebben uitgevoerd op deze onschuldig ogende parameter? De jacht was begonnen.
De uitkomst
Ten eerste was het tijd om de toolkit samen te stellen. Op het moment van deze penetratietest gaf Andrews de voorkeur aan het gebruik van: Paros Proxy, Absinthe, Cain & Abel, Data Thief en Microsoft SQL Server Management Studio / SQL Server (Express Edition), die allemaal gratis beschikbaar zijn.
Om te beginnen gebruikte hij Paros Proxy voor meer controle en zichtbaarheid van de webverzoeken die werden ingediend bij de webserver.
Na het bekijken van de site voor beschikbare pagina's en het uitvoeren van een snelle kwetsbaarheidscheck voor SQL-injectie, werd bevestigd dat de parameter App_Name ertoe leek te leiden dat de toepassing een Error 500-uitzondering gooide, wat wijst op een toepassingsfout. Penetratietests zijn een van de zeldzame gevallen waarin een falen van een toepassing een wenselijk resultaat is.
Omdat de applicatiefout aangaf dat meneer Andrews onbedoelde tekens kon injecteren in de SQL-code die vanuit de toepassing naar de database werd verzonden, kon hij zien of het een exploiteerbare voorwaarde was.
Een veel voorkomende test die werkt met Microsoft SQL Server-databases is het injecteren van een opdracht, zoals WAITFOR DELAY '00: 00: 10 ', waardoor de databaseserver gedurende 10 seconden blijft steken. In een toepassing die normaal gesproken een pagina binnen één seconde of minder retourneert, is een consistente vertraging van 10 seconden een goede indicatie dat u opdrachten in de SQL-stroom kunt injecteren.
Vervolgens probeerde Andrews de tool Data Thief te gebruiken om de inlogpagina aan te vallen.Deze tool probeert de database te dwingen om een OPENROWSET-opdracht te gebruiken om gegevens uit de doeldatabase te kopiëren naar de database van meneer Andrews op het internet.
Dit is meestal een zeer efficiënte manier om grote hoeveelheden gegevens over te hevelen van kwetsbare databases, maar in dit geval is zijn aanval verijdeld! De databasebeheerder bij het doel had de OPENROWSET-functionaliteit uitgeschakeld door de optie Adhoc gedistribueerde query's uitschakelen in te stellen.
Met ijver als zijn wachtwoord, dhr. Andrews hield vol met de volgende tool - Absinthe. Deze tool gebruikt een techniek genaamd blinde SQL-injectie om vaststellingen over gegevens te maken met behulp van eenvoudige ja of nee-vragen van de database. Het hulpprogramma kan de database bijvoorbeeld vragen of de eerste letter van een tabel kleiner is dan "L. "
Zo ja, dan kan de toepassing niets doen, maar als dat niet het geval is, kan de toepassing een uitzondering opleveren. Met behulp van deze eenvoudige binaire logica is het mogelijk om deze techniek te gebruiken om de hele databasestructuur en zelfs de binnen opgeslagen gegevens te onthullen - zij het zeer langzaam. Met behulp van de tool identificeerde hij een tabel met gevoelige klantinformatie en downloadde hij honderden records om de klant te tonen.
Uiteindelijk was het tijd om een laatste daad van databasevernietiging te proberen. Eerst heeft meneer Andrews de tool Cain & Abel geladen en deze ingesteld om naar de snuffelmodus te gaan. Vervolgens gebruikte hij met behulp van Paros Proxy en de reeds geïdentificeerde kwetsbare parameter de uitgebreide opgeslagen procedure van xp_dirtree, die beschikbaar is voor SQL Server-databasegebruikers, om een map op zijn op internet aangesloten machine te laten zien met behulp van een pad van Universal Naming Convention.
Dit dwong de doeldatabase om zich daadwerkelijk te authenticeren tegen de machine van Mr Andrews. Omdat Cain & Abel op de draad aan het luisteren was, kreeg het de hash van de uitdaging die werd gebruikt om de blootgestelde bestandsshare te authenticeren.
Door deze hash door te geven aan de wachtwoordcracker die is ingebouwd in Cain & Abel, zou Mr. Andrews de gebruikersnaam en het wachtwoord hebben van het account waaronder de kwetsbare SQL Server in slechts een kwestie van tijd draaide.
Zou dit gehackte account hetzelfde wachtwoord gebruiken als het beheerdersaccount van de webtoepassing? Zou dit wachtwoord hetzelfde zijn als het lokale beheerdersaccount op de host? Dat waren vragen voor een andere dag. Het was tijd om alle verzamelde gegevens samen te stellen, een rapport voor de klant op te stellen en de hulpmiddelen voor een andere dag weg te zetten.
Chip Andrews is mede-oprichter van beveiligingsadviesbureau Special Ops Security, Inc. en eigenaar van SQLSecurity. com, dat meerdere bronnen heeft over Microsoft SQL Server-beveiliging, inclusief de SQLPing3-tool. Mede-auteur van verschillende boeken over SQL Server-beveiliging en een Black Hat-presentator, Mr Andrews promoot sinds 1999 de beveiliging van SQL Server en toepassingen.
