g30rg3 Blog

… por una simple Prueba de Concepto

El día de hoy -de hecho hace un par de horas- yashira.org sufrió un ataque letal de DoS que causo una perdida por corrupción de datos en una base de datos, afortunadamente esta base de datos no esta conectada por ningún motivo a la base de datos principal asi que el ataque no tuvo mayor repercursion en otras zonas importantes.
Por que estoy diciendo esto…, es simple por que yo fui el causante de tal semejante destrozo y para todos aviso que no fue premeditado, no hubo alevosía ni premeditación, de hecho no tengo ningun problema con el sitio y/o sus administradores, quieres saber la verdad, sera mejor que continues…

Todo empezo mientras me encontraba haciendo un reto (SQL Inyecion VI), durante este reto mientras pensaba por donde atacarlo se me ocurrio una idea sobre un ataque DoS muy basico pero a la vez muy letal, como parte del reto tenemos un acceso limitado de inyeccion sql -a ciegas-, que no podemos hacer nada que sacar los datos que hay, los cuales son parte del reto (retos por que hay 5 anteriores).

La idea era simple como no se filtraba la funcion benchmark() de MySQL (otras funciones si se filtraban pero esta no), ahora para los que no sepan esta funcion repite una expresion valida para MySQL N veces, asi que se me ocurrio que puedo hacer que el procesador se llene de trabajo basura usandola, asi que primero busque la forma de usarla la cual me fue facil usando un” inyeccion UNION SELECT benchmark(N, expresion)” y rellenando con el tipico “1″ las columnas faltantes para que sea ejecutado correctamente, primero hice pruebas para ver si funcionaba y efectivamente la pagina se tomaba un tiempo moderado (unos 10 segundos) para cargar, lo cual me decia que si estaba realizando N veces lo que le pide, asi que primero antes de seguir avise a PescaoDeth (admin de yashira) de que hiba a probar un PoC y que me responsabilizaba por cualquier daño.
Al siguiente dia en la tarde (hace unas horas) hice un Script en PERL que repetia infinitamente el ataque dando un tiempo de 5 segundos entre cada iteracion/envio, con solo unos cuantes paquetes (menos de 10) ya tenia a yashira con un error de exceso de conexiones a la BD sin contar el lagueo por el exceso de procesamiento de trabajo basura que le mande, pero entonces en ese momento mi sombrero se lleno de polvo y si me ocurrio una idea, ya que la interfaz donde haces el ataque SQL Inyeccion (de mentiras) tiene una proteccion de unos 3 segundos entre cada instruccion (es un poco flexible el sistema no son 3 segundos exactos) se me ocurrio que si bombeo lo suficiente con la funcion benchmark() podia bypassear la proteccion ya que como tenia ocupado el manejador con esos datos basura para cuando llegue el llenado y comparacion de tiempos de la proteccion ya habia pasado una buena suma de tiempo, para acabarlo de males utilize el numero entero mas largo (que se conoce) que se puede usar en PHP y aparte para acabarlo de males use otra funcion en la expresion que agrega mas tiempo de ejecucion, lo que pasaba ahora es que tardaba exactamente 66 segundos el script en correr pero este no devolvia nada por que era cortada toda su inspiracion por la directiva de tiempo maximo de ejecucion de un script en php.

Asi que ahora que “mejore” la prueba de concepto inicie el primer testing para evitar un ataque y daño mayor solo deje que se hagan 10 iteraciones/envios por que sabia la devastacion que podria causar un ataque constante, al terminar mis 10 envios entre a yashira y encontre un error de “IPS Driver” que corresponde un error de conexion a la base de datos (la llene de procesos basura recuerden) que te marca el script de Invision Power Board, pero solo pasaron un par de minutos para que todo se reestablezca a la normalidad, entre otra vez al reto para ver si no estaba baneado y efectivamente logre hacer un bypass al sistema de deteccion de fuerza bruta solo llenando de peticiones y procesamiento basura la BD.
Ya hecho mi test me senti satisfecho con el resultado, asi que volvi a donde estaba en el reto, pero pasaba algo extraño al hacer una inyeccion normal el reto no respondia ni a la mas comun u otras que habia ya previamente probado, asi que me dije algo paso…, rapidamente contacte con PescaoDeth y le avise y le dije sobre lo que habia hecho, no se molesto y se fijo que pasaba, lo que paso es que llene de tanto procesamiento basura que se corrompio la base de datos (), dejandola totalmente inaccesible por ningun lado, se podia establecer conexion de autenticacion pero no se podia hacer nada con ella la base de datos se corrompio a tal punto que se negaba todo el acceso de cualquier modo a la informacion, o shet ya se imaginaran que cara puse y como me senti por que mi idea no era por ningun motivo hacer un ataque que deje inservible a yashira, solo era probar el sistema de deteccion de fuerza bruta para el reto SQL Inyeccion, no era tirar yashira, pero bueno como dice el buen amigo elvis, lo hecho, hecho esta.

No voy a negarme si fue un testing bastante ruda no pensaba que algo asi hiba a pasar con tan poca cosa, por que la verdad era poca cosa ese ataque yo creo que se podia hacer mas letal, pero bueno paso lo que paso y el ataque si fue MUY LETAL.

Saludos y me siento apenado con PescaoDeth y los admins de yashira, ya que por andar jugando se rompieron muchos platos.