exploit积累真的很重要
2009年5月13日 星期三
2009年5月1日 星期五
substring and benchmark
这几天碰到一个用zen cart架设的站,版本为1.3.7. 去cn官网和com官网分别看了下,然后down了两个不同版本不同语言的源码回来。因为在网上找到一些信息,有一个sql injection < 1.3.8a存在。不过网上只透露了该漏洞存在的文件和代码,关于利用,只有一句sql查询:
products_id[-99' UNION SELECT IF(SUBSTRING(admin_pass,1, 1) = CHAR(97),BENCHMARK(1000000, MD5(CHAR(1))), null),2 FROM zencart_admin/*]
开始时没注意到,发现漏洞的人substring的是admin_pass,还以为是admin_name,想想如果admin_name的第一个字符ascii值为97,也就是为a,则benchmark一下,估计有希望,就开始测试。妈的,测试了才发现,完全是扯淡嘛!
启明星辰漏洞公告里写的还什么黑客可以利用进行恶意sql查询或控制数据库…… 我真想骂他,你来个试试看?
admin_pass是md5加密后放在数据库里的,即使通过benchmark延时的方法能够猜出来admin_name,但是admin_pass的32位hash呢?那不是几乎等于暴破了吗?更何况对方的表前缀还不一定是什么呢, zen_ ? zencart? 又或者是完全自定义的……
结论:猜admin_name的命中率完全等于攻击者的人品,而猜admin_pass的命中率为16*32次,每一位要猜16次,不过按照正态分布来看的话,平均每一位字符猜8次命中,那么也需要8*32次。
因此,该漏洞行不通,纯属鸡肋。不过通过这个我倒是想到了另外一点,就是无论如何,sql注入(注射)工具都无法替代手工。因此,渗透测试的自动化工具,甚至是框架,都是不可能的。
2009年4月24日 星期五
思维
看到很多招渗透测试人员和职业黑客的信息上都写着:
1.掌握黑客工具和攻击手法
我认为,工具的使用和攻击方法的掌握,都可以在短时间内完成。最重要的并不是某个时刻技术水平的高低,或各种工具的熟练程度,也不是认识的大牛数量多少。而是攻击时候的思维。
在准备对一个目标发起攻击之前,脑中一定要有一个极具创造力和想象力的思维,从宏观到微观。这种思维绝不是一朝一夕可以通过学习或是培训获得的。倘若将来某一天我有幸去招人,我会直接通过思维方式来判断被招聘人员实力的高低。
还有一点,就是渗透到一定程度的时候会发现,不深入操作系统内部机制是没办法提升自己的。
2009年4月23日 星期四
Sth about Network Security Fields in our country
转载自cisps.org
最近遇到客户谈渗透测试,这里也谈谈我对渗透测试的认识:渗透测试服务是安全服务领域的一块特别的土地,各家公司都会进来刨刨土,却也没见开垦出什么象样的田地来,不过,大伙也没太把这当一回事,做不好也不丢人。这其实反映出公众、用户、尤其是安全从业人员对渗透测试的认识还不够。
说说常见的情况:
1.最初级的,招一两个Script kid就去做渗透测试服务了,但只能渗透一些简单的目标
2.好一点的,有个别技术好的,手头有一些exploit积累,能渗透一些有难度的目标
3.稍好一些的形成了一个pentest team,形成有文档、流程、工具
4.再进一步,有专职的渗透技术研究人员或组织,能知识共享与转化
渗透测试不只是技术,对于安全公司来说还应认识到更多,比如:
1.人员组织:有管理高层的领导、项目经理等角色
2.投入:投入资金建立渗透实验室、人员培训
3.管理:渗透实验室管理、渗透团队管理、渗透项目管理
4.理论框架研究:探索有效的指导理论,形成和丰富其框架、方法
5.知识管理:积累、整理渗透知识技术经验,总结提升共享
如果高层对渗透测试有深入认识,并加以投入的话,一支优秀的渗透团队将是安全公司最有价值的无形资产。遗憾的是,还没有看到国内存在这样的团队。
2009年4月18日 星期六
订阅:
帖子 (Atom)
