Casos avançados de pentest

Bruno Milreu 13/08/2011

Sumário Metodologias de pentest

•Conhecimentos prévios•Pensando em camadas•Objetivo do pentest e documentação•Resumo de boas práticas e embedded devices•Conhecendo a superfície de ataque

Demostração de técnicas•Evasão de antivírus•LFI – esgotando as possibilidades•Abusando do console ou netcat sem netcat•Google Fuzzing

Conhecimentos prévios

• OWASP top 10 (injeções, XSS, autenticação e gerenciamentos de sessão fracos, referências inseguras a objetos, CSRF, erros de configuração, falhas de criptografia no armazenamento de dados, falha em restringir acesso a URLS indevidos, TLP insuficiente, redirecionamentos invalidados.)• Linha de comando unix/windows • Backtrack Linux e Metasploit• Redes e protocolos• Mais uma porrada de coisas...

Pensando em camadas As camadas estão em todos os lugares

• E são a base da metodologia de pentest

Objetivo do pentest e documentação Atenha-se ao seus objetivos• Analise os riscos• O que mais impactará o seu cliente?• Não saia do escopo• Utilize as metodologias de framework e pentest, mas não se prenda a elas

Documentação• O trabalho do pentester resume-se a documentar• Documentação ajuda na colaboração e na informação• Leo, Dradis, Keepnote, Basket etc...

Resumo de boas práticas e embedded devices Boas práticas diminuem os riscos

• Mas não os eliminam!

Impacto pela ausência de boas práticas• Reutilizacão de senhas• Senhas fracas• Atualizações e patchs• Configurações seguras• Auditoria e monitoramento constante

E os embedded devices?

Conhecendo a superfície de ataque O perímetro

• DMZ• Intranet• Máquinas cliente• Pivoting

Conheça a superfície• A plataforma que você usa, não é a plataforma que seu cliente usa• Não use o machado na corda e a navalha na corrente

Exemplo de superfície

Exemplo de superfície

Exemplo de superfície

Exemplo de superfície

Exemplo de superfície

Evasão de antivírus

• A maioria dos antivírus funciona por detecção de assinaturas• São facilmente enganados por técnicas como edição de binários, encoding, sand-boxing, injeção de código em executáveis e dlls, etc.• Detecção por heurística• Necessárias técnicas mais sofisticadas de bypass.

Evasão de antivírus

• Shellcode e payloads• Injeção de código em binário PE• Encoding em tempo real

• Demonstração

LFI – esgotando as possibilidades• Melhor aproveitado em conjunção com outra falha• XSS, SQLi, permissões fracas, compartilhamentos desprotegidos, ftp anônimo, formulários de upload, etc.• Não existe roteiro padrão• Cada pentest em que você encontrar um LFI, será diferente do outro• Objetivo• Escrever comandos em lugares arbitrários do disco e depois intepretá-los no web server

• Demonstração

Netcat sem netcat

• Canivete suíço de rede• Trasferência de arquivos• Port scaner• Backdoor• Cliente telnet• Banner grabber• e muito mais!

• Porquê netcat sem netcat?• Termo criado por Ed Skoudis

• Demonstração

Google fuzzing

• Indo além do Google hacking• Abusando de APIs de busca• Encontrando 0-days em web apps

• Conceito• Utilizar dorks genéricos e então fuzzar custom web apps

• Método favorito utilizado por script kiddies, defacers e cyber criminosos

• Demonstração

Conclusões

Dúvidas?

Créditos

Bruno Milreu bruno@v-sec.org

Arte: Pedro Luiz C. Araujo

thezakmangf@gmail.com