SQL injection privilege escalation

HackForum

SQL injection privilege escalation#
Ahojte, modelová situácia:
Útočník naštartuje sqlmap a zistí že moja stránka www.example.com/index.php?id=1 je náchylná na time-based SQL injection. Podarí sa mu získať názov current_db, a narazí na tabuľku Users ktorá má však 10000 riadkov. Za použitia time-based sqli by však vytiahnúť všetky údaje z tejto tabuľky trvalo mesiace. Rozhodne sa však vytiahnúť prvý riadok z tabuľky a zistí že prvý záznam v mojej tabuľke je User:admin s heslom:123456. Čím získal prihlasovacie údaje s ktorými sa mu podarilo prihlásiť do môjho primitívneho CMS, v ktorom môže pridávať a upravovať články na mojej stránke a editovať užívateľov, no len do miery enabled/disabled. Taktiež vidí zoznam všetkých užívateľov, no len s ich loginom a emailom (žiadne heslá).

Moja otázka znie: Čo môže útočník v tomto momente robiť, aby získal moju databázu užívateľov aj s heslami? Samozrejme rýchlejšie ako čakať kým ju celú vytiahne pomocou sqli.
(odpovědět)
Yaxe | 93.114.45.*7.10.2013 2:47
re: SQL injection privilege escalation#
Není v CMS možnost uploadu?
(odpovědět)
Hugo | 212.24.138.*7.10.2013 9:43
re: SQL injection privilege escalation#
Teraz keď nad tým rozmýšľam, je tam možnosť aktualizovať ceny v eshope pomocou uploadnutia .xml súboru.
(odpovědět)
Yaxe | 93.114.45.*7.10.2013 10:22
re: SQL injection privilege escalation#
Pardon, *XLS súboru. Píšem v zhone
(odpovědět)
Yaxe | 93.114.45.*7.10.2013 10:28
re: SQL injection privilege escalation#
A ten xls soubor se ukládá, nebo rovnou parsuje? Není možné nahrát vlastní script? (změna Content-Type na application/vnd.ms-excel, [link] ...popřípadě .htaccess a něco jako AddType application/x-httpd-php .xls)
(odpovědět)
Hugo | 212.24.138.*7.10.2013 12:47
re: SQL injection privilege escalation#
xls rovno parsuje, avšak podarilo sa mi tam vyhrabať ďalšie dve miesta na upload obrázkov, jedno z nich pekne filtrovalo vstup a nepomohlo nič z článku uvedeného v linku, druhé však nemalo problém pustiť súbor.php ...po chvilke googlenia "PHP shell" som našiel niečo z názvom C99shell, teda čakal som že to bude nejakým spôsobom prístup k systémovej konzole, ale nečakal som že to bude niečo až tak graficky prívetivé s viac funkciami než samotný CMS :D Pruser je že si to dokonca dokazalo vyhrabať pristup k ďalšim piatim webom čo mam na serveri. To sa našťastie dalo jednoducho odstrániť upravenim práv. A dokonca sa mi vďaka /usr/sbin/nologin podarilo ten c99 odhovoriť od toho aby mohol spúšťal príkazy.

Som celkom spokojný s tým čo sa mi doposiaľ podarilo zalátať, ale už keď sa s tým babrem tak to chcem urobiť poriadne. Za predpokladu že má útočník na mojej stránke nahodený c99 (alebo inú nebezpečnú srandu), no nemôže spúšťať príkazy a ani prezerať obsah zložiek kde sú údaje ostatných webov na tomto serveri, čo ešte môže robiť? ...môže sa nejako dobojovať k fungujúcemu systémovému shellu, prípadne obísť R/W obmedzenia na priečinky ostatných webov?
(odpovědět)
Yaxe | 93.114.45.*13.10.2013 1:53
re: SQL injection privilege escalation#
Podival bych se na nastaveni PHP a pripadne zakazal exec shell_exec

Z vlastni zkusenosti doporucuji tedy
pokud jsi vlastnik (spravce) serveru nahod fail2ban
zrus login roota pres ssh, prihlaseni povol pouze pres certifikat a jenom vybranym uzivatelum, pokud je mozne zmen port z 22 na neco jineho pripadne nahod port knocking a v neposledni rade chroot

a aktualizuj aktualizuj a aktualizuj.



(odpovědět)
pepsik | E-mail17.10.2013 10:10

Zpět
 
 
 

 
BBCode