LỜI NÓI ĐẦUTài liệu này dành cho bất cứ những ai quan tâm tới bảo mật thông tin cho ứng dụng Web có sử dụng cơ sở dữ liệu, đặc biệt dành cho các quản trị Website, quản trị máy chủ Web Se
Trang 1THỰC HÀNH LAB
PHƯƠNG PHÁP TẤN CÔNG CỦA HACKER VÀO CÁC ỨNG DỤNG WEB BỊ LỖI SQL INJECTION
***************************
1
Trang 2LỜI NÓI ĐẦU 3
Giới thiệu chung : 4
Mục tiêu : 4
Điều kiện : 4
Nội dung : 5
1 Phần chuẩn bị cho bài thực hành LAB: 6
2 Phần thực hành LAB : 76
2
Trang 3LỜI NÓI ĐẦU
Tài liệu này dành cho bất cứ những ai quan tâm tới bảo mật thông tin cho ứng dụng Web có sử dụng cơ sở dữ liệu, đặc biệt dành cho các quản trị Website, quản trị máy chủ Web Server có chạy các ứng dụng Web có nguy cơ tiềm ẩn và cũng là tài liệu tham khảo rất tốt cho các bạn đang theo học về quản trị mạng Tài liệu này sẽ hướng các bạn làm thế nào để có được một hệ thống giả lập về các lỗi SQL Injection của ứng dụng Web, cách sử dụng các công cụ hỗ trợ trong việc tấn công vào các ứng dụng Web bị lỗi SQL Injection
Vì đây là tài liệu hướng dẫn về các phương pháp tấn công của hacker vào các ứng dụng Web bị lỗi SQL Injection, phương châm của chúng tôi là “Hack không phải là phá hoại – Hack để bảo mật hơn !” Nên chúng tôi xin nhắc nhở các bạn đây chỉ là tài liệu có tính chất tham khảo thực hành LAB, chúng tôi không chịu trách nhiệm việc các bạn dùng kiến thức này vào việc vi phạm pháp luật nhà nước Công Hòa Xã Hội Chủ Nghĩa Việt Nam
Cuối cùng thì chân thành cám ơn tài liệu của các tác giả O’Reilly, Kevin Spett, AirScanner và các diễn đàn về bảo mật đã cung cấp tài liệu để chúng tôi hoàn thành cuốn tài liệu hướng dẫn thực hành LAB này
Mọi thắc mắc xin gửi về : anhducb@gmail.com
3
Trang 4Giới thiệu chung :
Nội dung của phần LAB của module 14 – SQL Injection thể hiện rất rõ phương châm “Hack để bảo mật hơn !”, module này bao gồm chuyên về những phương thức
và kỹ năng thực hành thâm nhập hệ thống như : quét lỗi bảo mật, truyền các lệnh thực thi trái phép, xâm nhập hệ thống máy chủ Web …của hacker để người quản trị có cái nhìn tổng quan từ phía những hacker để thực hiện chế độ bảo mật cho Web site của mình một cách tốt hơn
Vì lý do các lỗi bảo mật về SQL Injection thì rất nhiều các ứng dụng Web bị mắc phải Do đó trong giới hạn của tài liệu này tôi lấy một ví dụ điển hình về lỗi SQL Injection đó là lỗi ứng dụng Web ASP (Active Server Pages) làm ví dụ để hướng dẫn trong phần LAB của module này
Mục tiêu :
Tham gia quản trị bảo mật hệ thống máy chủ chạy các ứng dụng Web có sử dụng cơ sở dữ liệu ở các tổ chức, công ty, xí nghiệp, cơ quan
- Nắm vững các phương pháp khảo sát, đánh giá mức độ an ninh mạng
- Nắm vững các kỹ năng về kiến thức, thực hành và kinh nghiệm Ethical Hacking
- Xác định được nguyên nhân, nhận diện chính xác đối tượng, động cơ, cách thức của kẻ tấn công xâm nhập dữ liệu hệ thống Xác định mục tiêu, mối nguy hiểm thường trực về an ninh ứng dụng Web của tổ chức
- Phương thức thiết kế hệ thống và ứng dụng Web theo hướng bảo
mật Phương thức đối phó với sự cố khi xảy ra
- Hiểu rõ khái niệm, phương thức hoạt động của các hacker
- Biết sử dụng phương pháp và các công cụ cơ bản để kiểm tra an ninh bảo mật trên ứng dụng Web của tổ chức
Điều kiện :
- Có kiến thức về Hệ điều hành mạng Windows (tương đương MCSA)
- Có kiến thức về Hệ quản trị cớ sở dữ liệu Microsoft SQL Server (tương đương MCDBA)
- Có kiến thức về lập trình Web : HTML, ASP, PHP
- Có kiến thức về Anh ngữ
- Quan tâm đến bảo mật thông tin trên ứng dụng Web
4
Trang 5Nội dung :
Phần chuẩn bị cho bài thực hành LAB
Phần thực hành LAB
5
Trang 61 Phần chuẩn bị cho bài thực hành LAB:
- Phần này yêu cầu các bạn sử dụng 2 hệ thống PC để có thể thực hành bài LAB và thấy được hiệu quả của những bài thực hành
- Tốt nhất các bạn nên sử dụng công cụ tạo máy ảo(VMware
Workstation, Micsoft Virtual PC) để có thể thực hiện tốt phần thực hành LAB
- Ở đây tôi sẽ đưa ra mô hình thực hành như sau :
- Trong đó máy Attack sẽ sử dụng Windows XP sp2 và máy chủ Web
là victim sử dụng Windows 2000 Server
1.1. Máy chủ Web Server victim :
1.1.1. Một hệ điều hành (OS) Microsoft Windows 2000 Server :
- Tôi sử dụng phiên bản Windows 2000 Server để hướng dẫn các bạn thực hành bài LAB này cho thuận tiện
- Việc làm sao để có hệ điều hành trên tất nhiên các bạn đã biết tôi sẽ không nhắc tới, bên cạnh đó ta cần có 1 Web Server chạy trên nền Web Server IIS 5.0 (Internet Information Service) Phần này các bạn đã học qua môn MCSA (Microsoft Certified System Administrator ) tất nhiên phải biết cách cài đặt gói phần mềm Web Server này ở đâu ra
6
Trang 7- Ở đây tôi xin nhắc lại để những bạn nào chưa biết có thể biết cách cài đặt gói phần mềm này để phục vụ cho bài thực hành LAB dưới đây
- Vào Start Setting Control Panel Add / Remove Programs
- Chọn Add / Remove Windows Components
- Chọn dấu chọn gói Internet Information Services (IIS), gói phần mềm này sẽ chạy được các ứng dụng Web Application ASP
7
Trang 8- Chọn Next
8
Trang 9- Chờ hệ thống cài đặt gói phần mềm IIS vào
9
Trang 10- Chọn Finish
- Đến đây ta đã chuẩn bị xong phần Web Server cho hệ thống victim
để phục vụ bài thực hành LAB dưới đây
1.1.2. Một hệ quản trị cơ sở dữ liệu (database) Microsoft SQL Server 2000 :
- Tôi sử dụng hệ quản trị cơ sở dữ liệu Microsoft SQL Server 2000 Standard để hướng dẫn cho các bạn bài thực hành LAB này cho thuận tiện
- Việc làm sao để có và cách thức cài đặt gói phần mềm hệ quản trị cơ
sở dữ liệu Microsoft SQL Server thì bạn nào đã học qua MCDBA
(Micosoft Certified Database Administrator ) tất nhiên phải biết cách cài đặt và sử dụng như thế nào
- Ở đây tôi xin nhắc lại một cách cơ bản để các bạn chưa biết có thể
tự mình cài đặt gói phần mềm này để phục vụ cho bài thực hành LAB dưới đây
- Chọn file setup.bat (trong thư mục gốc cài đặt)
10
Trang 11- Chọn Next
11
Trang 12- Chọn Local Computer chọn Next
12
Trang 13- Chọn Create a new instance of SQL Server, or install Client Tools
chọn Next
13
Trang 14- Chọn Next
14
Trang 15- Chọn Server and Client Tools chọn Next
15
Trang 16- Chọn Yes
16
Trang 17- Điền CD key vào và chọn Next
17
Trang 18- Để mặc định Default chọn Next
18
Trang 19- Chọn Custom chọn Next
19
Trang 20- Chọn Next
20
Trang 21- Chọn Use the same account … chọn Use the Local System account chọn Next
21
Trang 22- Chọn Mixed Mode (Windows Authentication and SQL Server
Authentication) chọn Blank Password (Chú ý : do ở đây làm thực hành LAB tôi sẽ để password rổng, trên thực tế không ai làm điều này !)
Chọn Next
22
Trang 23- Chọn Next
23
Trang 24- Chọn Muti – Protocol chọn Enable Multi – Protocol Encryption
chọn Next (Chú ý : Các bạn hãy chú ý và nhớ port number của Microsoft SQL Server “1433” để phục vụ cho bài thực hành LAB dưới đây)
24
Trang 25- Chọn Next
25
Trang 26- Chọn Per Seat for : nhập vào 10 (Ở đây tôi chọn là 10) chọn Continue .
26
Trang 27- Chờ trong giây lát để hệ thống cài đặt gói phần mềm vào
27
Trang 29- Chọn Finish
29
Trang 30- Đến đây ta chuẩn bị xong phần Microsoft SQL Server cho hệ thống victim để phục vụ bài thực hành LAB dưới đây
1.1.3. Một source Web Application bị lỗi SQL Injection :
- Tôi sử dụng một bộ source Web Application ASP bị lỗi SQL
Injection của “Juggy Bank” để hướng dẫn các bạn chuẩn bị cho bài thực hành LAB này một cách thuận tiện
- Vào Start Programs Microsoft SQL Server Enterprise Manager
30
Trang 31- Start SQL
31
Trang 32- Vào Start Programs Microsoft SQL Server Query Analyzer
32
Trang 33- Chọn SQL Server Machine (Ở đây tôi chọn máy victim vừa cài đặt xong) OK
33
Trang 34- Import dữ liệu database vào SQL Server 2000 File Open (Ctrl + Shift + O) đường dẫn đến thư mục source Web Application (Ví dụ : Desktop\Sql\data) chọn “juggybank.sql” Open
34
Trang 35- Execute query (F5) Close
35
Trang 37- Click chuột phải chọn All tasks chọn Import data chọn Next
37
Trang 38- Data Source : chọn Text File
- File name : đường dẫn đến thư mục source Web Application (Ví
dụ : Desktop\Sql\data) chọn “juggybank-userinfo-data.txt” Open
38
Trang 39- Chọn Next
39
Trang 40- Chọn Next
40
Trang 41- Chọn Next
41
Trang 42- Database : chọn “juggybank” chọn Next
42
Trang 43- Destination : chọn “userinfo” chọn Next
43
Trang 44- Chọn Next
44
Trang 45- Chọn Finish
45
Trang 46- Chọn OK
46
Trang 47- Chọn Done
47
Trang 48- Click chuột phải chọn All tasks chọn Import data chọn Next
48
Trang 50- Data Source : chọn Text File
- File name : đường dẫn đến thư mục source Web Application (Ví
dụ : Desktop\Sql\data) chọn “juggybank-usercreditcard-data.txt”
Open
50
Trang 51- Chọn Next
51
Trang 52- Chọn Next
52
Trang 53- Chọn Next
53
Trang 54- Database : chọn “juggybank” chọn Next
54
Trang 55- Destination : chọn “Creditcard” chọn Next
55
Trang 56- Chọn Next
56
Trang 57- Chọn Finish
57
Trang 58- Chọn OK
58
Trang 59- Chọn Done
59
Trang 60- Chọn thư mục source Web Application (Ví dụ : Desktop\Sql) click chuột phải chọn Properties chọn Tab Web Sharing
60
Trang 61- Chọn Share this folder chọn Directory browsing chọn OK
61
Trang 62- Chọn OK
62
Trang 63- Vào Start Programs Administrative Tools Data Sources (ODBC)
63
Trang 64- Chọn Table System DSN chọn Add
- Chọn SQL Server chọn Finish
64
Trang 65- Name : nhập “juggybank” (Ở đây tôi chọn “juggybank” làm ví dụ) Server : chọn máy victim (Ở đây tôi chọn “CEH-LAB”)
chọn Next
65
Trang 66- Chọn With SQL Server authentication … Login ID : nhập vào
SA (Đây là username admin của SQL Server) Password : để trống (Vì khi ta cài đặt Microsoft SQL Server để password của SA là rổng)
chọn Next
- Change the default database to : chọn “juggybank” (tên của database ta vừa tạo lúc ban đầu) chọn Next
66
Trang 67- Chọn Finish
- Chọn Test Data Source …
67
Trang 68- Chọn OK
- Chọn OK
68
Trang 69- Chọn OK
69
Trang 70- Đến đây ta chuẩn bị xong phần source Web Application ASP (bị lỗi SQL Injection) cho hệ thống victim để phục vụ bài thực hành LAB dưới đây
1.2.1. Scan System Web Server – Quét cổng dịch vụ máy chủ Web :
- Trong phần scan này tôi giới thiệu 3 công cụ dễ sử dụng nhất là Angry IP Scanner ver 2.21, Super Scan ver 3.0 và SQL Scan ver 1.00
Angry IP Scanner 2.21 : Đây là công cụ dùng để quét 1 dãi (rang ip)
IP trên toàn hệ thống mạng
Super Scan 3.0 : Đây là công cụ quét toàn bộ dãi IP và các port đang được open của các IP đó trên toàn bộ hệ thống mạng
70
Trang 71 SQL Scan 1.00 : Đây cũng là công cụ quét toàn bộ dãi IP và port thì
do ta chỉ định (ví dụ: 1433 – 1434 port SQL server) trên toàn hệ thống mạng
71
Trang 72- Và lưu ý có một số công cụ sử dụng câu lệnh để khai thác lổ hổng
và không support cho GUI
SQLExec ver1.0 : Đây là công cụ khai thác lỗ hổng của SQL
Injection, khai thác trực tiếp vào xp_cmdshell
72
Trang 73 Shadow Database Scan ver 1.0.0.63 : Đây là công cụ quét thăm dò các lổi bảo mật của ứng dụng Web và hệ quản trị cơ sở dữ liệu như MSSQL Server, MySQL, Oracle, DB2…
THCsql ver 0.1 : Đây cũng là công cụ khai thác lỗ hổng của SQL Injection nhưng không tấn công trực tiếp vào xp_cmdshell
73
Trang 74 Netcat : Đây là một công cụ dùng để kết nối với cổng sau (backdoor) trên máy chủ Web bị lỗi
forceSQL : Đây là công cụ dùng để crack password username SA (System Administrator) của Microsoft SQL Server Và chỉ hỗ trợ bằng câu lệnh
74
Trang 75 SQLdict ver 2.1 : Đây là công cụ dùng để crack password username
SA của hệ quản trị cơ sở dữ liệu Microsoft SQL Server Và được hỗ trợ sử dụng bằng giao diện
75
Trang 762 Phần thực hành LAB :
Nội dung :
- SQL Injection là gì ?
- Attack SQL Servers – Tấn công trực tiếp vào SQL Server
- Sử dụng các kỹ thuật SQL Injection để xâm nhập trái phép vào hệ thống
- Sử dụng công cụ khai thác và tìm kiếm lổ hổng của SQL Server
- Tài liệu tham khảo
- Tóm tắt kết quả
2.1. SQL Injection là gì ?
- Khi triển khai hoặc xây dựng các ứng dụng Web trong môi trường internet, rất nhiều nhà quản trị (Administrator) hoặc các chính sách của các công ty vẫn chủ quan cho rằng việc đảm bảo an toàn, bảo mật cho toàn bộ
hệ thống máy chủ nhằm giảm thiểu xuống mức thấp nhất khả năng bị tấn công từ các hacker chỉ đơn giản là tập trung vào các vấn đề to lớn như hệ điều hành, hệ quản trị cơ sở dữ liệu, webserver sẻ được cho chạy ứng
dụng…mà họ (người quản trị và chính sách của các công ty) quên mất rằng ngay những ứng dụng chạy trên đó cũng tiềm ẩn rất nhiều lổ hổng bảo mật Một trong số các lổ hổng bảo mật đó là lỗi SQL Injection, tại Việt Nam hiện nay đã qua rồi cái thời mà người quản trị Website, Web Server chỉ làm những công việc như diệt virus, malware, w0rm…, cập nhập các bản vá lỗi
từ các hãng phần mềm hệ thống mà bỏ qua việc quan tâm đến lỗi của các ứng dụng Web Đây chính là nguyên nhân tại sao trong thời gian vừa qua không ít các Website của Việt Nam bị tấn công và đa số là đều dựa vào lỗi SQL Injection Vậy SQL Injection là gì ?
- SQL Injection là một kỹ thuật cho phép các hacker tấn công và lợi dụng lổ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để truyền vào (Injection) và thực thi các câu lệnh SQL bất hợp pháp (vấn đề này do người phát triển ứng dụng vô tình hoặc sơ suất trong quá trình phát triền ứng dụng không lường trước được) Hậu quả của việc này rất tai hại vì nó cho phép các hacker có thể thao tác xóa, hiệu chỉnh , thêm mới …do có toàn quyền trên cơ sở dữ liệu của ứng dụng, nguy hiểm hơn là server mà ứng dụng đó đang
chạy Loại lỗi này thường xuyên xảy ra trên các ứng dụng web có sử dụng
dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như Microsoft SQL Server, MySQL, Oracle, DB2 …
2.2. Attack SQL Servers – Tấn công trực tiếp vào SQL Server :
76
Trang 77- Attack SQL Server có thể hiểu sau khi các hacker đã quét thăm dò
hệ thống máy chủ Web và có được thông tin về máy chủ Web như hệ điều hành, Web Server, hệ quản trị cơ sở dữ liệu …và các thông tin về các port đang được open trên Web Server Và lúc này có thể do vài lý do hoặc cũng
có thể do sở thích mà các hacker không tấn công vào các ứng dụng Web, mà
họ lại sử dụng các Bug được Publish trên các diễn đàn về bảo mật, tấn công trực tiếp vào máy chủ Web đang bị lỗi SQL Injection để có được nhiều thông tin hơn hoặc có được quyền quản trị máy chủ Web đang bị lỗi SQL Injection trên
- Vì vậy ta cần hiểu ở đây, khi máy chủ Web chạy thêm bất cứ một dịch vụ nào tất nhiên sẽ open một port nào đó thì đây chính là nguy cơ tiềm
ẩn bị tấn công từ các hacker
- Từ ví dụ dưới đây ta có thể thấy sự nguy hiểm luôn luôn tiềm ẩn từ các dịch vụ đang được chạy trên máy chủ Web Ví dụ dưới đây là sự tấn công giữa một máy Attackid (Windows XP SP2) và máy chủ Web (Windows
2000 Server) đang chạy dịch vụ hệ quản trị cơ sở dữ liệu Microsoft SQL Server 2000 Standard
- Hacker sẽ thăm dò sơ qua về Website (ví dụ :
http://athena.com.vn/Sql/client.htm )
77
Trang 78- Hacker sẽ thử kiểm tra xem Website này có sử dụng hệ quản trị cở
sở dữ liệu không ?
78
Trang 79- OK như vậy Website này hiện đang có 1 lỗi SQL Injection trong file login.asp tại line 5
79
Trang 80- Hacker lúc này tiếp tục kiểm tra IP của Website này
- OK hacker đã có IP của Website và tiếp tục quét port SQL Server của Website (port 1433 - 1434), để đảm bảo rằng port này đang ở trạng thái open trên Web Server
80
Trang 81- OK như vậy đến lúc này hacker đã có quá đầy đủ thông tin về Web Server đang bị lỗi SQL Injection
- Đến đây có thể do nhu cầu tấn công vào ứng dụng Web không còn thu hút hacker, họ bắt đầu chuyển qua hành động tấn công trực tiếp vào port của SQL Server đang ở trạng thái open Và sử dụng công cụ SQLExec ver 1.0 để tấn công vào máy chủ Web Server bị lỗi SQL Injection
81