Кибербезопасность

В прошлом задании вы узнали об основных видах WEB уязвимостей, познакомились с OWASP Top 10, научились основам работы с Burp Suite. Пришло время приходить к практике! В данном задании вы подробно узнаете о том, что такое SQL инъекции, какие они бывают, как и где их искать, а также как их эксплуатировать.

Краткий экскурс в SQL.

Для тех, кто не очень хорошо знаком с данной технологией, SQL (Structured Query Language) - язык структурированных запросов, позволяющий управлять данными в реляционных базах данных. Для управления базами данных используются системы управления базами данных(СУБД). Наиболее популярными СУБД являются:

• MySQL
• Oracle
• PostgreSQL
• SQL Server
• SQL Lite

Базы данных используются для эффективного хранения данных, и SQL как раз используется для их управления.

Данные в реляционных БД хранятся в объектах, которые представляют собой таблицы. Каждая таблица состоит из полей, а поле - это колонка таблицы, предназначенная для хранения информации о записи в таблице. Пример:

Таблица Users

Таблица Roles

Так, у нас есть 2 таблицы Users и Roles. Как видно, таблица Users содержит информацию о пользователях, в ней есть поля user_id, user_login, user_pass, user_name, user_role. Причем поле user_role ссылается на таблицу Roles. Так будет выглядеть команда на SQL для создания этих двух таблиц в MySQL.

SQL запросы

Для извлечения данных из БД используется оператор SELECT. Например, чтобы получить всю информацию из таблицы users, необходимо выполнить следующую команду

SQL запросы должны заканчиваться ; , комментарии в разных СУБД обозначают разные символы. Практически везде -- обозначает строчный комментарий. Знак * указывает, что мы хотим получить все поля из таблицы. Но мы можем задать только определенные поля для получения.

Также можно задавать условия для выборки, например

С помощью оператора UNION можно объеденить результат двух запросов. Например:

выведет

Необходимо, чтобы количество полей, которые возвращают запросы, совпадало, иначе произойдет ошибка.

SQL инъекции

SQL инъекция - очень часто встречаемая уязвимость веб приложений, возникающая по причине недостаточной фильтрации пользовательского ввода, используемого в SQL запросах. С помощью подачи специально сформированных данных, мы можем выбраться из оригинального запроса, созданного разработчиками и выполнить собственные.

SQL инъекции - достаточно серьезная уязвимость, которая может привести к утечке конфиденциальных данных, а в некоторых случаях и к полной компрометации системы.

Разберем пример, как разработчики допускают подобные ошибки.

Например, в нашей базе данных хранится информация о продуктах в магазине, и наше приложение должно осуществлять поиск товаров и вывод информации о них.

Пример таблицы Products

Для реализации данной функции, разработчик при получении GET запроса /search?name=<искомое имя> должен выполнить запрос к базе данных и вернуть его результат. Для этого разработчик пишет следующий код на псевдоязыке:

Оператор LIKE позволяет осуществлять поиск по маске, данный запрос вернет все строки, в которых поле name содержит product_name

Таким образом, если не фильтровать пользовательские данные, злоумышленник может отправить следующий запрос

Тогда, при подставлении получится следующий запрос

То есть мы изменили саму структуру запроса, который написал программист и можем получить практически любые доступные данные из БД. О том, как эксплуатировать данную уязвимость, расскажем дальше.

Обнаружение SQL инъекциий

Для того, чтобы обнаружить SQL инъекцию, необходимо понять, где происходит запрос к базе данных и как мы можем на него повлиять. Интуитивно понятно, что наверняка обращения к БД происходят при авторизации, получении списка постов, продуктов, билетов, сохранении пользовательских данных и так далее, список можно продолжать бесконечно. Теперь появляется вопрос, как обнаружить, существует ли в данном месте уязвимость или нет. Для этого необходимо использовать технику фазинга, то есть подавать на вход такие данные, которые сервер не ожидает увидеть и анализировать нестандартное поведение сервера на запрос. Например, сервер может выдать SQL ошибку, время ответа может увеличиться, сайт может начать тормозить и так далее. Для фазинга потенциальной SQL инъекции используются специальные словари, содержащие команды SQL для разных СУБД. Примеры подобных словарей вы можете найти в полезных ссылках

Типы SQL инъекций

Существует 3 типа SQLi

**In-Band SQLi **

Стандартный и легко эксплуатируемый тип SQLi. Характеризуются тем, что для извлечения данных, атакующий использует тот же канал, что и для взаимодействия.

У данного типа существует 2 подтипа

• Error-based SQLI - специально сформированные запросы вызывают ошибки на стороне сервера, которые видны атакующему. Этого уже достаточно для того, чтобы вытащить информацию из БД
• Union-based SQLI - иногда с помощью команды UNION, атакующий может добавить к возвращаемым данным дополнительные данные из других таблиц, что может привести к утечке данных

Blind SQLi

Более сложный для эксплуатации тип SQLi, отличетсся от In-Band тем, что атакующий не видит никаких ошибок и не может увидеть вывод SQL запроса. Таким образом, для эксплуатации уязвимости необходимо анализировать ответы сервера и пытаться восстановить структуру базы данных. Хоть эксплуатация Blind SQLi и более сложна, занимает значительно больше времени, ее критичность не ниже чем у In-Band SQLi.

Есть 2 подтипа Blind SQLi

• Boolean-based Blind SQLi - данная техника применима когда SQL запрос возвращает как результат только True или False, и этот результат запроса влияет на то, изменится страница или нет.
• Time-based Blidn SQLi - атакующий отправляет специальные SQL команды, вынуждающие сервер возвращать данные только спустя какое-то время в зависимости от заданных условий. Вынудить сервер отвечать дольше может как специальная SQL команда SLEEP, так и выполнение сложных вычислений, например, многократное вычисление хэша строки.

Out-of-band SQLi

Наиболее редко встречаемый тип SQLi, так как может сработать только при определенных настройках сервера. Смысл данной техники заключается в выполнении с помощью SQL команды HTTP или DNS запроса на внешний сервер и выкачивания информации с помощью этих запросов.

Эксплуатация UNION-based SQLi

Вы узнали, что такое SQL, что такое SQLi, какие типы бывают. Теперь научимся их экспуатировать.

Вернемся к нашему примеру. Допустим, у нас есть еще одна таблица Users

Рассматриваем данную ситуации с точки зрения атакующего. Мы не знаем, какой запрос к БД выполняется на сервере, не знаем структуру таблиц и их названия, но исходя из логики работы приложения мы можем предположить, что существует таблица с информацией о продуктах и сущесвует таблица, в которой хранятся пользовательские данные.

Мы обнаружили, что при подставлении ' в запрос /search?name=<параметр>, сервер возвращает ошибку Invalid SQL syntax. Нам необходимо вытащить пользовательские данные.

Из того что при отправке ', нарушается синтаксис SQL, можно предположить появление незакрытой пары ' в SQL запросе. В данном случем у нас UNION-based SQLi, так как с помощью оператора UNION, мы можем добавить результат любого другого запроса к нашему выводу. Для того, чтобы правильно применить оператор UNION, нам нужно знать следующее:

• Сколько колонок возвращает изначальный запрос к БД. Так как если количество столбцов у двух запросов не совпадает, то к ним оператор UNION применить нельзя.
• Название таблицы с пользовательскими данными
• Название колонок в интересующей таблице

Для определения числа столбцов можно пользоваться следующими методами

В обоих случаях смысл заключается в подборе такого параметров во втором запросе, чтобы оно совпало с первым и не возникла ошибка. В ручную это удобно делать с помощью Burp Suite Intruder. В нашем случае в таблице Products 4 колонки и следующие запросы не выдадут ошибку команды UNION:

Определив количество столбцов в запросе, мы можем извлечь имена таблиц. В каждой СУБД есть стандартные служебные таблицы, содержащие информацию о существующих базах данных. Например, в MySQL в БД INFORMATION_SCHEMA есть таблица Tables, которая содержит информацию о всех таблицах в БД. Таким образом, мы можем сделать второй запрос к INFORMATION_SCHEMA.TABLES и получить имена таблиц.

Зачастую сервер возвращает пользователю не все данные, полученные из БД. Например, сервер может возвращать только названия продуктов. В таком случае нужно менять номер колонки, в которой возвращаются запрашиваемые данные.

Информацию о колонках таблицы можно также получить из стандартных таблиц. Например,

Если сейчас вам кажется это очень сложным, то не переживайте, в задании вам предстоит самостоятельно проэксплуатировать UNION-based SQLi и вы поймете, что ничего в этом сложного нет.

Тему Blind SQLi и автоматического поиска и эксплуатации SQLi мы затронем в следующем задании

Наши друзья решили запустить свой сайт с курсами и попросили тестировать его по ходу разработки. В обмен мы попросили использовать уязвимые версии их сайта для обучения участников нашего практикума. Таким образом, в данном задании вам будет предоставлено 3 версии сайта с различными вариациями SQL инъекций.

В первом задании вам необходимо проэксплуатировать SQL инъекцию и получить значение колонки flag из таблицы Secret. Во втором задании вам необходимо проэксплуатировать уязвимость в авторизации и получить флаг из профиля пользователя admin. В третьем задании вам необходимо проэксплуатировать SQL инъекцию и получить значение колонки flag из таблицы Secret. Но будьте внимательны, это будет не так просто, мы добавили кое-что, чтобы вам помешать

Полученные флаги сложите в файл /tmp/flags на вашей Kali

• SQL injection cheat sheet
• SQL за 20 минут
• SQL Injection от А до Я
• What is SQL Injection (SQLi) and How to Prevent It

Не секрет, что современные системы могут быть очень сложными и сильно распределёнными. При общении компонентов инфраструктуры между собой бинарные данные уже могут быть не идеальным вариантом. Здесь на помощь приходит сериализация и десериализация.

Сериализация - процесс перевода структуры данных в последовательность байтов(как правило в строку). Обратной операцией сериализации является десериализация - создание структуры данных из битовой последовательности.

Сериализация зачастую используется в архитектурах, которые используют API, микросервисы и архитектурах типа MVC. Когда данные, которые сериализуются и десериализуются, являются доверенными(находятся под полным контролем веб-приложения), вероятность риска минимальна.

Как только данные, которые подвергаются сериализации и десериализации, могут быть модифицированы пользователем, как правило возникает уязвимость небезопасной десериализации. Уязвимость возникакет в тот момент, когда происходит операция восстановления данных из сериализованного вида(строки). Чаще всего, данная уязвимость приводит к исполнению кода на целевой системе.

Программисты при написании веб-приложений могут думать, что вводя дополнительные проверки на десериализованные данные, они могут обезопасить себя от данного типа атаки и свободно десериализовать вводные данные пользователей.

Но это суждение в корне не верно, т.к. зачастую исполнение кода во время данного типа атаки возникает ещё до того, как проверки начинают свою работу ещё до того, как код злоумышленника уже исполнен в системе.

Также из-за огромного количества зависимостей в веб-приложении бывает достаточно сложно понять какой именно вредоносный код запустил атакующий, т.к. это может быть целая череда из множества вызовов различных библиотек.

Самым важным стоит понять одно - никогда нельзя десериализовать данные, над которыми обычные пользователи имеют контроль.

В отличие от других уязвимостей, достаточно сложно обнаружить уязвимости данного типа без знания кода приложения. В режиме "чёрного ящика" достаточно сложно понять, какие именно из данных будут десериализованы в дальнейшем. Но даже если тестирование происходит "вслепую", можно попробовать догадаться, какие из входных данных выглядят как сериализованные и попровать их протестировать.

Давайте рассмотрим несколько примеров из различных языков программирования.

1. PHP

PHP достаточно прочно закрепился в лидерах языков разработки веб-приложений, хоть уже и по-тихоньку начинает устаревать. В данном языке программирования используется наиболее "читаемый" формат сериализованных данных. Предположим, у нас существует объект Book со следующими атрибутами:

Сериализованные данные будут выглядеть следующим образом:

Расшифровывается данная запись достаточно просто:

• O:4:"Book" - объект, название класса которого состоит из 4 символов, название класса Book;
• 2 - объект имеет 2 атрибута;
• s:5:"title" - название первого атрибута состоит из 4 символов и называется title;
• s:11:"War & Peace" - значение первого атрибута это строка длиной 11 символов со значением War & Peace;
• s:8:"in_stock" - название второго атрибута состоит из 8 символов и называется in_stock;
• b:1 - второй атрибут имеет тип Boolean и равен True(1).

Стандартные методы PHP работающие с данным функционалом называются serialize() и unserialize(). Если есть доступ к исходному коду, то первым делом нужно искать именно метод unserialize().

Давайте представим, что некоторое веб-приложение для отображения необходимого функционала пользователю опирается на его cookie. В качестве cookie хранится сериализованный объект User под Base64, в котором находятся основные поля, открывающие пользователю доступ к тем или иным полям:

Код, разбирающий данный тип cookie:

Всё, что необходимо сделать атакующему в данном случае для получения административного доступа к приложению это снять Base64 с cookie, изменить значение поля is_admin в True и, навесив Base64 на получившуюся строку, подставить в свой запрос к веб-приложению.

Подобные уязвимости называются манипуляцией атрибутов объекта, что даёт атакующему возможность измененять критические параметры различных объектов и управлять ходом веб-приложения в своих интересах.

Ещё один интересный трюк, связанный с десериализацией в PHP связан с подстановкой неправильных типов данных. Такие уязвимости чаще всего возникают, когда в критически важных местах, вместо типизированного сравнения === разработчик использует обычное ==.

Работает в данном языке программирования это следующим образом - выражение 5 == 5 очевидно вернёт true. Но при этом выражение 5 == "5" также вернёт true. Работает это потому, что интерпретатор пытается конвертировать строку "5" в число, начиная с начала строки. Таким образом, выражение 5 == "5 и ещё какая-то странное продолжение строки" также будет равняться true. Самое забавное то, что выражение 0 == "строка без цифр" также будет равняться true, т.к. интерпретатор считает, что раз цифр нет, то "строка без цифр"равняется числу 0.

Таким образом, допустим, приложение сверяет введённый пароль следующим образом:

То атакующий может изменить вводимые данные так, что в поле password будет содержаться число 0. Это означает, что для любого пользователя можно обойти аутентификацию и продолжить свою работу в веб-приложении от него.

Самый интересный сценарий, это определять магические методы для объекта. Магические методы (magic methods) - специальные методы, которые переопределяют действие PHP по умолчанию, когда над объектом выполняются определённые действия. Самым простым примером в PHP будет __construct() - метод, который выполняется при инициализации объекта класса (конструктор). Данный метод переопределяется разработчиками для первоначальной инициализации атрибутов объекта. Если у атакующего появляется возможность переопределять магические методы для объекта, то можно переопределить метод __wakeup(), который ищет функция unserialize(), и записать в него любой код, который может нести за собой критические последствия на системе. Данный сценарий открывает огромную дверь в мир куда более сложных эксплойтов.

2. Python

В целом, при смене языка программирования не меняются подходы к эксплуатации небезопасной десериализации - меняются лишь названия функций и некоторые нюансы. Например, в Python стандартным средством для сериализации и десериализации объектов является библиотека pickle. Соответственно первым делом, имея перед собой код приложения стоит поискать использование данной библиотеки и её метода picke.loads(). Также в Python достаточно популярны такие методы сериализации данных как JSON и YAML. Для них в коде нужно искать yaml.load() и json.loads() соответственно.

Главным отличием здесь будет то, какой именно будет выходная строка после сериализации. Например, при сериализации объекта simple мы получим следующие результаты:

Также как и в PHP, при нахождении критических данных в сериализованном виде, которые атакующий может контролировать и изменять, можно начинать тестировать веб-приложение на проверку входных данных.

Как и в PHP, для Python объектов можно переопределять магические методы, которые будут вызываться на стадии десериализации объектов. Например, для pickle магический метод класса называется __reduce__(self). Этот метод возвращает строку или кортеж и не принимает никаких аргументов, что позволяет атакующему подставить в десериализатор что-то на подобие:

Далее данная строка подаётся на вход веб-приложению, которое отправляет её в функцию pickle.loads() и в момент десериализации выполнится системная функция whoami.

Для YAML формата есть специальный метод yaml.safe_load(), который считается безопасным. При нахождении обычного метода yaml.load() можно использовать следующую нагрузку:

3. Java

Веб-приложения на Java также подвержены данной уязвимости. Стандартный интерфейс для работы с сериализацией в Java называется java.io.Serializable. Для сериализации и десериализации используются методы writeObject() и readObject() соответственно.

Как правило, сериализованные данные в Java начинаются со строки AC ED 00 05 или rO0 под Base64. При этом же, если сериализованные данные будут отправлены в качестве параметров HTTP запроса, то заголовок Content-typeбудет выставлен в application/x-java-serialized-object. При поиске сериализованных данных в веб-приложениях на Java стоит учитывать, что сериализованный объект содержит множество спецсимволов, поэтому может быть закодирован различными способами, чтобы быть доставленным по протоколу HTTP.

Для того, чтобы перевести уязвимость Insecure Deserialization в Remote Code Execution, иногда не получается просто передать необходимый код на исполнение. Для этого создаются цепочки из гаджетов (относится не только к Java). Гаджет это машинные инструкции, которые уже присутствуют в оперативной памяти сервера(Более подробно рассмотрим в одном из следующих модулей). Для автоматизации генерации нагрузки в java существует инструмент ysoserial. Она использует известные цепочки гаджетов в популярных стандартных библиотеках Java. Генерация пейлоада может выглядеть следующим образом:

Для защиты от небезопасной десериализации может помочь только один совет - никогда не десериализуйте данные, которые могут контролировать обычные пользователи. Если же это необходимо, то данные стоит проверять ещё на стадии строки, а не после того, как объект был создан. Чтобы предотвратить данную уязвимость через куки, сохраняйте состоянии сессии на сервере, вместо того, чтобы полагаться на заголовки в пакетах пользователей.

В данном задании мы рассмотрим уже известную уязвимость.

• Перейдите на веб выданной вам машины, определите версию установленного там ПО;
• Изучите уже открытые уязвимости по теме данного урока;
• Прочитайте про уязвимость CVE-2020-10977;
• Повторите манипуляции с issue для получения файла secrets.yml;
• Заберите из полученного файла значение secret_key_base;
• Установите себе локально или на выданную Вам Kali Linux docker и установите подверженный данной уязвимости image, затем подключитесь к нему:
  
  docker pull gitlab/gitlab-ce:12.8.1-ce.0
  
  docker run --detach --hostname gitlab --name gitlab gitlab/gitlab-ce:12.8.1-ce.0
  
  docker exec -it gitlab bash
• В контейнере, замените полученный secret_key_base в нужном файле;
• С помощью описанных в репорте действий, сгенерируйте пэйлоад для исполнения кода. В качестве нагрузки используйте Reverse Bash Shell;
• На Kali Linux поднимите listener с помощью утилиты nc.
• На выданный Вам GitLab дайте запрос с выставленным cookie experimentation_subject_id;
• Проверьте, что на Ваш listener поступило соединение с GitLab. В полученной оболочке заберите флаг из корневой директории;
• С помощью локальной gitlab-rails консоли смените пароль пользователю administrator и заберите его флаг с приватного репозитория;
• Полученные флаги сохраните в файле /tmp/flags на выданной Вам Kali Linux и отправляйте задание на проверку.

• OWASP Top 10 - A8:2017-Insecure Deserialization
• Сериализация и десериализация объектов в Python
• Insecure Deserialization Explained with Examples in Java