H2 Tunkeutumistestaus

 

Johdanto

Älä käytä raportissa kuvailtuja menetelmiä tai ohjelmia jos et tiedä mitä ne tekevät. Väärinkäytöllä saatat rikkoa lakia.

Tehtävissä käytetty käyttöjärjestelmä

Kali Xfce 2019.1a 64 bit

Tehtävät kurssilta.

http://terokarvinen.com/2019/penetration-testing-tunkeutumistestaus-ict4tn027-3004-intensive-summer-course-2019-w21w22-5-credits

 

a) Ratkaise jokin WebGoatin tehtävä. Hyödynsitkö jotain OWASP10 -haavoittuvuutta? Mitä niistä?

Ensin päivitin paketin hallinnan apt-get update komennolla.

Sitten latasin dockerin apt-get install docker.io komennolla

Kun docker oli ladattu hankin webgoat kontin komennolla docker pull webgoat/webgoat-7.1

Kontti sisältää vieraita binäärejä joten en voi taata käytettävän kontin turvallisuutta, käytä sitä omalla vastuulla.

Sitten laitoin kontin pystyyn. docker run -p 8080:8080 -t webgoat/webgoat-7.1

Webgoat löytyy nyt osoitteesta http://localhost:8080/WebGoat

Sisään kirjaudutaan Guest käyttäjällä.

 

Mitmproxy

Päätin ratkaista LAB: Role Based Access Control tehtävistä Stage 1 ja 3.

Ratkaisuun voi käyttää firefoxin f12 painikkeesta löytyviä työkaluja mutta päätin käyttää mitmproxyä.

mitmproxy käyttää automaattisesti Vim:iä editorina mutta haluan käyttää nanoa joten komennolla EDITOR=nano mitmproxy -p 8888 saan sen käyttämään nanoa ja samalla laitan sen päälle.

Sitten Firefoxin asetuksista laitoin mitmproxyn proxy palvelimekseni jotta liikenne kulkisi sen läpi.

ffproxy1.png

Tarvittavat asetuksetffproxy2.png

Nyt liikenne kulkee mitmproxyn läpi

ffproxy3.png

Sitten voin ruveta hommiin.

 

Stage 1

Tehtävässä pitää kirjautua tom käyttäjälle ja yrittää poistaa profiili ilman oikeuksia.

Ensin tietenkin kirjauduin tom käyttäjälle ja katsoin hänen profiilia.

stage1p1.png

stage1p2.png

Profiilissa oli ListStaff, EditProfile ja Logout nappi.

Stage1p3.png

Sitten kävin katsomassa mitä admin käyttäjällä näkyi.

stage1p4.png

Admin käyttäjällä näkyi DeleteProfile nappi

Painoin DeleteProfilea Hiiren oikealla painikkeella ja valitsin Inspect Elementin sen value oli DeleteProfile.

Katsoin mitä viewprofilen post pyynnössä näkyy mitmproxyssa siellä näkyi valuena ViewProfile

Menin takaisin tom käyttäjälle ja muutin viewprofilen valuen DeleteProfileksi

stage1p5.png

stage1p6.png

ajoin pyynnön painamalla r nappia mitmproxyssa.

stage1p7.png

Se näytti toimivan ja Stage 1 on nyt valmis.

 

Stage 3

Stage 3 vaikutti olevan saman tyyppinen kuin stage 1. Tehtävässä piti kirjautua tom käyttäjällä ja yrittää tutkailla toisen käyttäjän profiili tietoja.

Tällä kertaa kirjauduin käyttäjällä tom ja katsoin mitä tapahtuu mitmproxyssa kun painan ViewProfile nappia. Sinne tuli POST jossa näkyi että employee_id: 105 vaikuttaisi olevan tom käyttäjälle kuuluva id.

stage3p1.png

Kokeilin mitä tapahtuu jos vaihdan employee_id :tä ja lähetän pyynnön uudelleen.

stage3p2.png

Vaihdoin idn 105sesta 106seen ja stage 3 näytti menevän sillä läpi.

stage3p3.png

 

OWASP 10

Molemmissa tehtävissä hyödynnettiin OWASP 10 haavoittuvuutta A5 Broken Access Control. Tehtävissä selvästi saatiin korkeammat oikeudet kuin käyttäjällä pitäisi olla manipuloimalla pyyntöjä.

“Force browsing to authenticated pages as an unauthenticated user or to privileged pages as a standard user. Accessing API with missing access controls for POST, PUT and DELETE”

https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

 

b) Mainitse esimerkki MITRE:n Att&ck tekniikasta, joka soveltuu weppiin. Osaatko antaa esimerkin hyökkäyksestä tai haittaohjelmasta, jossa sitä on käytetty?

 

https://attack.mitre.org/techniques/T1189/

Drive-by Compromise

Drive-by vaarannuksella hakkeri pääsee käsiksi järjestelmään esim. nettisivustolla vierailevan käyttäjän kautta. Käyttäjän omaa web selainta siis käytetään hyökkäykseen.

Eri tapoja haittakoodin saamiseen käyttäjän selaimeen:

  • Normaali web sivusto jonka koodiin on injektattu haittakoodia JavaScriptin, iFramejen, tai Cross-Site Scriptien muodossa.
  • Hakkeri ostaa mainos tilaa sivulta ja mainokset sisältävät haittakoodia.
  • Sisään rakennetun web sovelluksen liittymiä käytetään muiden objektien lisäämiseksi jotka sisältävät haittakoodia joka suoritetaan vierailijan päädyssä.

 

BRONZE BUTLER  käytti Flash exploittia ns. watering hole hyökkäysten tekemiseen ainakin kolmeen japanilaiseen Web sivuun

 

https://www.computerworld.com/article/2490044/massive-flash-exploit-campaign-directed-at-japan-seeks-financial-data.html

https://www.symantec.com/connect/blogs/tick-cyberespionage-group-zeros-japan

https://attack.mitre.org/groups/G0060/

 

Lähteet

Kurssin etusivu:

http://terokarvinen.com/2019/penetration-testing-tunkeutumistestaus-ict4tn027-3004-intensive-summer-course-2019-w21w22-5-credits

OWASP top 10 2017:

https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

Mitre att&ck etusivu:

https://attack.mitre.org/

Drive-By Compromise:

https://attack.mitre.org/techniques/T1189/

Mitre Tietoa Bronze Butlerista:

https://attack.mitre.org/groups/G0060/

Symantec blogi:

https://www.symantec.com/connect/blogs/tick-cyberespionage-group-zeros-japan

Flash exploit japani:

https://www.computerworld.com/article/2490044/massive-flash-exploit-campaign-directed-at-japan-seeks-financial-data.html

Kali etusivu:

https://www.kali.org/

Advertisements