SQL injection privilege escalation
HackForum
SQL injection privilege escalation | # |
| Ahojte, modelová situácia:
Útočník naštartuje sqlmap a zistí že moja stránka www.example.com/index.php?id=1 je náchylná na time-based SQL injection. Podarí sa mu získať názov current_db, a narazí na tabuľku Users ktorá má však 10000 riadkov. Za použitia time-based sqli by však vytiahnúť všetky údaje z tejto tabuľky trvalo mesiace. Rozhodne sa však vytiahnúť prvý riadok z tabuľky a zistí že prvý záznam v mojej tabuľke je User:admin s heslom:123456. Čím získal prihlasovacie údaje s ktorými sa mu podarilo prihlásiť do môjho primitívneho CMS, v ktorom môže pridávať a upravovať články na mojej stránke a editovať užívateľov, no len do miery enabled/disabled. Taktiež vidí zoznam všetkých užívateľov, no len s ich loginom a emailom (žiadne heslá).
Moja otázka znie: Čo môže útočník v tomto momente robiť, aby získal moju databázu užívateľov aj s heslami? Samozrejme rýchlejšie ako čakať kým ju celú vytiahne pomocou sqli. (odpovědět) | Yaxe | 93.114.45.* | 7.10.2013 2:47 |
|
|
|
re: SQL injection privilege escalation | # |
| Není v CMS možnost uploadu? (odpovědět) | Hugo | 212.24.138.* | 7.10.2013 9:43 |
|
|
|
re: SQL injection privilege escalation | # |
| Teraz keď nad tým rozmýšľam, je tam možnosť aktualizovať ceny v eshope pomocou uploadnutia .xml súboru. (odpovědět) | Yaxe | 93.114.45.* | 7.10.2013 10:22 |
|
|
|
re: SQL injection privilege escalation | # |
| Pardon, *XLS súboru. Píšem v zhone (odpovědět) | Yaxe | 93.114.45.* | 7.10.2013 10:28 |
|
|
|
re: SQL injection privilege escalation | # |
| A ten xls soubor se ukládá, nebo rovnou parsuje? Není možné nahrát vlastní script? (změna Content-Type na application/vnd.ms-excel, [link] ...popřípadě .htaccess a něco jako AddType application/x-httpd-php .xls) (odpovědět) | Hugo | 212.24.138.* | 7.10.2013 12:47 |
|
|
|
re: SQL injection privilege escalation | # |
| xls rovno parsuje, avšak podarilo sa mi tam vyhrabať ďalšie dve miesta na upload obrázkov, jedno z nich pekne filtrovalo vstup a nepomohlo nič z článku uvedeného v linku, druhé však nemalo problém pustiť súbor.php ...po chvilke googlenia "PHP shell" som našiel niečo z názvom C99shell, teda čakal som že to bude nejakým spôsobom prístup k systémovej konzole, ale nečakal som že to bude niečo až tak graficky prívetivé s viac funkciami než samotný CMS :D Pruser je že si to dokonca dokazalo vyhrabať pristup k ďalšim piatim webom čo mam na serveri. To sa našťastie dalo jednoducho odstrániť upravenim práv. A dokonca sa mi vďaka /usr/sbin/nologin podarilo ten c99 odhovoriť od toho aby mohol spúšťal príkazy.
Som celkom spokojný s tým čo sa mi doposiaľ podarilo zalátať, ale už keď sa s tým babrem tak to chcem urobiť poriadne. Za predpokladu že má útočník na mojej stránke nahodený c99 (alebo inú nebezpečnú srandu), no nemôže spúšťať príkazy a ani prezerať obsah zložiek kde sú údaje ostatných webov na tomto serveri, čo ešte môže robiť? ...môže sa nejako dobojovať k fungujúcemu systémovému shellu, prípadne obísť R/W obmedzenia na priečinky ostatných webov? (odpovědět) | Yaxe | 93.114.45.* | 13.10.2013 1:53 |
|
|
|
re: SQL injection privilege escalation | # |
| Podival bych se na nastaveni PHP a pripadne zakazal exec shell_exec
Z vlastni zkusenosti doporucuji tedy
pokud jsi vlastnik (spravce) serveru nahod fail2ban
zrus login roota pres ssh, prihlaseni povol pouze pres certifikat a jenom vybranym uzivatelum, pokud je mozne zmen port z 22 na neco jineho pripadne nahod port knocking a v neposledni rade chroot
a aktualizuj aktualizuj a aktualizuj.
(odpovědět) | |
|
|