碁峯出版

在這一章,你將會學到如何編寫精美的跨網站腳本攻擊(XSS)與SQL攻擊 fuzzer,來攻擊以GET與POST請求接收HTTP參數的URL。fuzzer是一種軟體,它會試著送出錯誤或格式不正確的資料來尋找其他軟體的錯誤。fuzzer有兩種常見的類型:mutational與generational。mutational fuzze會試著用不良的資料來汙染已知良好的輸入,而不考慮協定或資料結構。相較之下,generational fuzzer會考慮伺服器通訊協定的微細差別,並使用這些差別來生成技術上有效的資料,傳送給伺服器。使用這兩種fuzzer,都是為了讓伺服器回傳錯誤訊息給fuzzer。

我們要來寫一個mutational fuzzer, 你可以在已經知道某個URL或HTTP請求的良好輸入時使用它。當你可以使用fuzzer來找出XSS與SQL攻擊漏洞之後,就知道如何入侵SQL攻擊漏洞,從資料庫中取出帳號與密碼雜湊。

為了找到與入侵XSS與SQL攻擊漏洞,我們會在C#中使用核心的HTTP程式庫,用程式來建構HTTP請求。我們會先編寫一個簡單的fuzzer來解析URL,並使用GET與POST請求來fuzz HTTP參數。接下來,我們會針對SQL攻擊漏洞來開發完整的入侵程式 ,使用精心製作的HTTP請求來取得資料庫內的使用者資訊。

我們會用一個小型的Linux版本,稱為BadStore,來測試這一章的工具(你可以在VulnHub網站取得,https://www.vulnhub.com/)。BadStore的設計有許多可讓SQL與XSS攻擊的漏洞(以及其他的)。我們從VulnHub下載BadStore ISO之後,會使用免費的VirtualBox虛擬軟體來建立一個虛擬機器,以啟動BadStore ISO,如此一來,當我們進行攻擊時,就可以避免攻擊到自己的主機系統。

設定虛擬機器

要在Linux、Windows或OS X安裝VirtualBox,你要從https://www.virtualbox.org/下載VirtualBox軟體。(安裝過程應該很簡單;你只要跟隨下載軟體的網站上的最新說明操作即可。)虛擬機器(VM)可讓我們使用實體電腦來模擬一個電腦系統。我們可以使用虛擬機器來輕鬆建立與管理有漏洞的軟體系統(例如我們將在這本書中使用的這一個)。

添加host-only虛擬網路

你或許需要在設定VM之前先建立一個host-only(不對外連線)的虛擬網路。host-only的網路只可以在VM與主機系統之間進行通訊。以下是建立步驟:

1. 按下File4Preferences來開啟VirtualBox - Preferences對話方塊。在OS X上,選擇VirtualBox4Preferences。

2. 按下左邊的Network部分。你應該可以看到兩個標籤:NAT Networks與Host-only Networks。在OS X,按下Settings對話方塊上面的Network標籤。

3. 按下Host-only Networks標籤,接著按下右邊的Add host-only network (Ins)按鈕。這個按鈕的圖樣是一張網路卡與一個加號。它應該會建立一個名為vboxnet0的網路名稱。

4. 按下右邊的Edit host-only network (Space)按鈕。這個按鈕的圖樣是一把螺絲起子。

5. 在打開的對話方塊中,按下DHCP Server標籤。將Enable Server打勾。在Server Address欄位中, 輸入IP位址192.168.56.2。

在Server Mask欄位中,輸入255.255.255.0。在Lower Address Bound欄位中,輸入192.168.56.100。在Upper Address Bound欄位中,輸入192.168.56.199。

6. 按下OK來將改變存至host-only網路。

7. 再次按下OK來關閉Settings對話方塊。

建立虛擬機器

安裝VirtualBox並將它設為host-only網路之後,以下是設定VM的方法:

1. 按下左上角的New圖示,如圖2-1所示。

2. 當畫面出現對話方塊來讓你選擇作業系統的名稱與類型時,選擇下拉式選項Other Linux (32-bit)。

3. 按下Continue之後,你可以看到提供RAM給虛擬機器的畫面。將RAM的大小設為512 MB並按下Continue。(在fuzz與入侵漏洞時,會讓web伺服器使用許多虛擬機器的RAM。)

4. 當電腦要求你建立一個新的虛擬硬碟時,選擇Do not add a virtual hard drive並按下Create。(我們會以ISO來映像執行BadStore。)現在你可以在VirtualBox Manager視窗左邊窗格中看到VM,如圖2-1 所示。

 

圖 2-1:含有 BadStore VM 的 VirtualBox

 

以BadStore ISO啟動虛擬機器

建立VM之後,請按照以下的步驟設定它,來以BadStore ISO啟動:

1. 在VirtualBox Manager的左窗格的VM按下右鍵,並按下Settings。

你可以看到一個對話方塊,顯示網路卡、CD-ROM與其他雜項的設定情形。

2. 在Settings對話方塊中選擇Network標籤。你可以看到七種網路卡設定,包括NAT(網路位址轉譯)、host-only與bridged。選擇host-only網路來配置一個IP位址,它只能讓主機存取,而非其餘的Internet。

3. 你必須將Advanced下拉選單的網路卡類型設為較舊的晶片組,因為BadStore是基於舊的Linux核心,不支援一些較新的晶片組。請選擇PCnet-FAST III。

現在按照以下的步驟來設定CD-ROM,用硬碟的ISO來啟動:

1. 選擇Settings對話方塊的Storage標籤。按下CD圖示,以顯示一個選單,它裡面有一個選擇虛擬CD/DVD磁碟檔案的選項。

2. 按下Choose a virtual CD/DVD disk file選項,找到你之前存至檔案系統的 BadStore ISO,並將它設為可啟動的媒體。現在虛擬機器已經可以啟動了。

3. 按下Settings標籤右下角的OK來儲存設定。接著在VirtualBox Manager 左下角,按下Settings齒輪按鈕旁的Start按鈕來啟動虛擬機器。

4. 啟動機器之後,你可以看到這個訊息:"Please press Enter to activate this console"。按下enter並輸入ifconfig來查看你取得的IP配置。

5. 取得虛擬機器的IP位址之後,在你的網頁瀏覽器輸入它,你可以看到圖2-2所示的畫面。

 

圖 2-2:BadStore web 應用程式的首頁

 

SQL攻擊

在現今豐富的web應用程式中,程式員必須能夠在幕後儲存與查詢資訊,以提供高品質、穩健的使用者體驗。這通常是以結構化查詢語言(SQL;讀為sequel)資料庫來完成的,例如MySQL、PostgreSQL或Microsoft SQL Server。

SQL可讓程式員藉由SQL陳述式來以程式與資料庫互動。SQL陳述式是要求資料庫根據你提供的資訊或規則來建立、讀取、更新或刪除資料的程式碼。例如,列表2-1的SELECT陳述式可詢問資料庫:在託管的資料庫內的使用者人數。

列表 2-1:SQL SELECT 陳述式範例

SELECT COUNT(*) FROM USERS

有時程式員需要動態的SQL陳述式(也就是說,根據使用者與web應用程式的互動來改變)。例如,程式員可能需要根據某些使用者的ID或使用者名稱,來從資料庫選出資訊。

但是,當程式員拿使用者從不可信任的用戶端(例如web瀏覽器)提供的資料或值來建構SQL陳述式時,如果用來建立與執行SQL陳述式的值未被妥善地清理,可能會導入SQL攻擊漏洞。例如,列表2-2的C# SOAP方法可用來將一位使用者插入web伺服器上的資料庫。(SOAP,或簡易物件存取通訊協定 是一種XML支援的web技術,其用途是在web應用程式快速建立API。它在C#與Java等企業語言中很受歡迎。)

列表 2-2:可被SQL攻擊破解的C# SOAP方法

[WebMethod]
public string AddUser(string username, string password)
{
NpgsqlConnection conn = new NpgsqlConnection(_connstr);
conn.Open();
string sql = "insert into users values('{0}', '{1}');";
1 sql = String.Format(sql, username, password);
NpgsqlCommand command = new NpgsqlCommand(sql, conn);
2 command.ExecuteNonQuery();
conn.Close();
return "Excellent!";
}

在這個案例中,程式員並未在建立1與執行2 SQL字串之前,先對使用者名稱與密碼進行清理。因此,攻擊者可以建構一個使用者名稱或密碼字串,來讓資料庫執行精心製作的SQL程式碼,讓他們可在遠端執行命令,完全控制資料庫。

如果你將一個單引號與其中一個參數一起傳入(例如用user'name來取代username),ExecuteNonQuery()方法會試著執行不正確的SQL查詢指令(見列表2-3)。接著方法會丟出一個例外,它會被顯示在HTTP回應中讓攻擊者看到。

列表 2-3:因為這個SQL指令是使用者提供的未清理的資料,所以它是無效

insert into users values('user'name', 'password');

許多可存取資料庫的軟體庫,都讓程式員藉由參數化查詢(parameterized queries)來安全地使用web瀏覽器這種不可信任的用戶端提供的值。這些程式庫會自動清理被傳給SQL指令的不可信值,將單引號、括號及在SQL語法中使用的其他特殊字元轉換掉。參數化查詢指令與其他類型的物件關係映射(ORM)程式庫,如NHibernate,都可協助防止這類的SQL攻擊問題。

這些由使用者提供的值,較有可能出現在SQL指令的WHERE子句內,如列表 2-4所示。

列表2-4:這個SQL SELECT陳述式會選擇特定user_id的一個資料列

SELECT * FROM users WHERE user_id = '1'

如列表2-3 所示,將一個單引號丟入未被妥善清理的HTTP參數,再用它來建構動態SQL指令時,會讓web應用程式丟出錯誤(例如HTTP回傳碼500),因為在SQL中,一個單引號代表字串的開頭或結尾。因為這個單引號過早結束字串,或開始一個字串卻未結束它,所以會造成陳述式的不正確。藉由將HTTP回應解析成這種請求,我們可以fuzz這些web應用程式,並在參數被篡改時,搜尋會讓回應產生SQL錯誤的HTTP參數(由使用者提供的)。(摘錄整理自《灰帽 C#》)

學習使用C#將沉悶但重要的資安工作自動化

很多人問我為什麼這麼喜歡C#。我身為開放原始碼軟體的支持者、Linux的忠誠使用者,和Metasploit的貢獻者(它主要是用Ruby來編寫的),這麼喜歡C#是很奇怪的事情。當我在幾年前開始使用C#來寫程式時,Miguel de Icaza(GNOME 的發起者)剛啟動一個小型的專案,稱為Mono。

實質上,Mono的目的,是以開放原始碼的方式來實作Microsoft的.NET框架。C#這種語言已經被提案成為ECMA標準,而.NET框架已經被Microsoft吹捧為Java的替代品,因為它的程式碼可以在一個系統或平台上編譯,並且在另一個系統或平台上執行。唯一的問題在於,Microsoft只釋出供Windows作業系統使用的.NET 框架。Miguel與一小群的核心貢獻者一肩承擔,讓Mono專案成為.NET框架與Linux社群接觸的橋樑。幸運的是,有一位建議我學習C#、也知道我對Linux很有興趣的朋友告訴我這個羽翼未豐的專案,要我看看是否可以同時使用C#與Linux。從那之後,我就無法自拔了。

C#是一種優美的語言。這種語言的原創者與首席建構師Anders Hejlsberg原本的工作是編寫Pascal與後來出現的Delphi編譯器。這些經驗讓他對各種程式語言的強大功能具備敏銳的覺查力。在Hejlsberg加入Microsoft之後,C#在2000年左右誕生了。C#早期採用一些Java的語言功能,例如Java的語法細節,但隨著時間的推移,它演變為自成一格的語言,並搶先在Java之前加入一大堆功能,例如LINQ、委派(delegates)與匿名方法。使用C#,你可以擁有許多C與C++的強大功能,也可以使用ASP.NET堆疊來編寫完整的web應用程式或豐富的桌面應用程式。在Windows上,WinForms是UI程式庫的首選,但是在Linux上,GTK與QT都很容易使用。

最近Mono也開始在OS X平台上支援Cocoa工具組。甚至也支援iPhone與Android。

在寫這本書時,Microsoft不但收購了Xamarin(由Miguel de Icaza創建,以支援Mono框架的公司),也開放大量的.NET框架核心原始碼。而且Microsoft正積極地參與Mono社群,以促進使用Microsoft技術來開發行動軟體。

許多人從事的是與安全有關的工作,例如網路與應用安全工程師,並且依賴某種程度的自動化來掃描安全漏洞或分析惡意軟體。因為安全專家們喜歡使用各式各樣的作業系統,所以我們很難寫出可讓所有人都輕鬆運用的工具。

Mono是一種很棒的選項,因為它跨平台,而且有傑出的核心程式庫集合,讓安全專家可以輕鬆地自動執行許多層面。如果你想要學習編寫漏洞入侵程式、自動掃瞄基礎設施的漏洞、反編譯其他的.NET應用程式、讀取離線registry hives(登錄檔註冊單元),或創建自訂的跨平台payload,那麼本書探討的許多主題都可以協助你踏出第一步(你甚至不需要具備 C#的背景)。文⊙Brandon Perry(本書《灰帽 C#》作者)

開發攻擊性與防禦性的C#

身為一位攻擊或防禦軟體的開發者,你必須找出適合你的語言。在合理情況下,一種語言之所以被選中,只因為它是開發者最熟悉的一種。不過,你應該回答以下這些問題,來決定是否選擇某種語言:

• 目標的主要執行環境為何?

• 外界如何偵測與記錄這種語言寫出來的payload(指令內容)?

• 我的軟體需要保持隱匿的程度(例如,常駐記憶體)?

• 用戶端與伺服器端對這種語言的支援程度如何?

• 是否有個大型社群正在開發這種語言?

• 學習曲線為何?以及這種語言的維護難易度如何?

針對這些問題,C#提供了令人滿意的解答。關於目標的執行環境這個問題,在重度使用Microsoft的環境中,.NET是卓越的候選者,因為它已內建於Windows多年了。且因為.NET開放原始碼,現在C#已經是一種可在各種作業系統上執行的成熟語言了。真正支援跨平台的語言非常誘人。

C#一直是.NET語言的代表。因為C#的入門門檻極低,而且擁有廣大的開發社群,你可以快速上手並使用它。此外,因為.NET是一種受控(managed)、豐富型態的語言,你可以輕鬆地將編譯好的組譯碼反編譯為C#。因此,編寫攻擊性的C#的人,不盡然必須在真空環境中獨自發展,反而可以參考豐富的.NET惡意軟體範例,將它們反編譯,閱讀它們的等效原始碼,並"借用"它們的功能。你甚至可以採用.NET反射API來動態載入與執行既有的.NET惡意軟體範例,當然,前提是它們已經被充分地復原,以確保不會造成任何傷害。

PowerShell的最後一個版本(此時是v5)實作的記錄機制比現有的腳本語言還要多。從防禦者的觀點來看,這是很棒的事情。從滲透測試者、模擬攻擊方或 對手的角度來看,這會大幅增加攻擊時的雜訊。就一本說明C#的書籍而言,為什麼我要提到這一點?當我寫愈多PowerShell,我就愈認同當攻擊者使用C#來開發工具時,會比使用PowerShell還要敏捷,容我解釋一下:

• .NET提供一種豐富的反射API,可讓你輕鬆載入已編譯的C#組譯碼,並在記憶體中與它動態互動。藉由在PowerShell payload上執行所有額外的自我訓練(introspection),反射API可協助攻擊者開發PowerShell payload來扮演.NET組譯碼載入器與執行器的角色,讓攻擊者更有機會躲避雷達的偵查。

• 如Casey Smith(@subTee)所展示的,在預設的Windows安裝版本中,有許多合法、Microsoft簽署的二進位檔案可當成C# payload的優良承載程序-msbuild.exe是最隱秘的一種。使用MSBuild來承載C#惡意軟體,可完美體現"在地生活",這個概念指的是:讓攻擊者融入目標環境,只產生極少的足跡,以存 活一段很長的時間。

• 目前反惡意軟體的供應商在相當程度上仍然未意識到.NET組譯碼在執行階段的能力。外界仍有許多非受控(unmanaged)惡意程式碼尚未把焦點放在有效地掛鉤.NET來執行動態執行階段自我訓練。

• 因為具備存取大量.NET類別庫的能力,熟悉PowerShell的人可以發現轉移至C#是比較順暢的做法。反過來說,如果熟悉C#的人想要將技術轉移到PowerShell與F#等其他.NET語言,他們的入門門檻會比較低。

• C#類似PowerShell,是一種高階語言,也就是說,開發者不需要煩惱低階的編碼與記憶體管理問題。不過,有時你需要做"低階"的事情(例如,與Win32 API互動)。幸運的是,透過C#的反射API與P/Invoke及封送處理(marshaling)介面,你可以隨心所欲地操作底層。 文⊙Matt Graeber(Microsoft MVP)

 書籍簡介 

灰帽 C# 建立自動化安全工具的駭客手冊

Brandon Perry/著

賴屹民/譯

碁峰出版

售價:450元

 

 作者簡介 

Brandon Perry

從開放原始碼的.NET作品Mono開始編寫C#應用程式。在空閒時間,他喜歡編寫Metasploit框架的模組、解析二進位檔案,與fuzz一些東西。他是Wicked Cool Shell Scripts 第二版(No Starch Press)的作者之一。


Advertisement

更多 iThome相關內容