PL Pentesting – try harder
Początek
Jakiś dłuższy czas temu badałem sobie ostatnio maszyny z witryny VulnHub i przyznaje, że dało mi to dużo zabawy oraz okazję do nauki nowych rzeczy. Jeśli zaczynasz przygodę z bezpieczeństwem IT lub chcesz sobie tak po prostu postrzelać na strzelnicy to jest to jedno z takich miejsc (w zestawie z TryHackMe, HackTheBox i inne) gdzie możesz to zrobić.
Zabawa jest fajna, skill rośnie. Wkurzam się tylko w momencie kiedy używam niektórych narzędzi w nieefektywny sposób lub też testuję pewne mechanizmy bez konkretnego, przemyślanego planu (hello linux privilege escalation) ponieważ muszę za to wszystko płacić srogą walutą w postaci cennego dla każdego z nas czasu. Okej, jest to akceptowalne pod pewnymi warunkami:
wyciągam wnioski z każdej porażki
uzupełniam swoją wiedzę w danym temacie sam z pomocą dostępnych źródeł z daną wiedzą
konsultuję problem z kimś bardziej doświadczonym jeśli jest to problem wart takiej konsultacji – nie zawracasz mentorowi głowy pytaniami o problemy, które z powodzeniem da się znaleźć samemu
Przetwarzam zdobytą wiedzę praktycznie – bardzo ważny punkt
Niezależnie od poziomu wiedzy jaki posiada każdy z nas powyższy algorytm w moim przypadku działa wydajnie.
Nie mogę natomiast zaakceptować pewnego faktu jakim jest brak dążenia do profesjonalizmu w postaci robienia rzeczy nie dokładnie dość znaną metodą “na odwal się“. Problem ten jeśli tak to możemy określi tyczy się chyba każdej branży, każdej pracy, którą wykonujemy na co dzień w naszym codziennym życiu. Żeby zilustrować bardziej dobitnie to zjawisko w kontekście naszej specyficznej działki IT opiszę pewny mikro-przypadek wzięty z życia. Niestety mojego.
Przykład dotyczy pewnej maszyny z Vulnhuba (żeby nie spojlerować nie napiszę która, nie chcę psuć Tobie ewentualnej zabawy na przyszłość). Był tam uruchomiony między innymi serwer HTTP oraz postawiony na nim WordPress z pewną stroną, bez żadnych formatek tylko z kilkoma pluginami jak się później okazało. Generalnie prosta robota.
Rozpocząłem od pobrania oraz uruchomienia narzędzia o nazwie WPScan – jest to skarer, którym możesz sprawdzić czy istnieją pewne błędy bezpieczeństwa w Twojej postawionej instancji WordPressa. Cool.
Sprawdziłem pobieżnie dokumentację, uruchomiłem skan. Raport jaki otrzymałem nie wykazał żadnych podatności. Dziwne. Przecież w końcu to WordPress ;> Tak czy inaczej po analizie wyplutego raportu z braku punktów zaczepienia zająłem się innymi rzeczami kompletnie porzucając temat badanej wcześniej webapki niestety zgodnie z przeciwieństwem zasady “try harder”.
Trochę zmarnowanego czasu później
Po pewnym czasie zmagań nie było innego wyjścia jak wrócić do testowanej wcześniej aplikacji i jeszcze raz przeczytać dokumentację WPScan’a, poszukać głębiej z tym, że bardziej dokładniej. Jaki był tego efekt? Po dobraniu odpowiednich parametrów WPScana – raport w końcu pokazał pewien dziurawy plugin, przez którego była możliwość wrzucenia i uruchomienia webshella.
Game Over.
Wnioski
Mówiąc wprost – olałem temat idąc dalej.
Tu nie chodziło o to, aby zamknąć się na miesiąc w domu i przeprowadzić proces reverse engineeringu całego kodu WP. Tu chodziło po prostu o to, aby bardziej się przyłożyć do badanego tematu. BARDZIEJ niż mniej. Potraktowałem temat powierzchownie myśląc, że z powodu bardzo prostej konstrukcji strony bez skomplikowanych funkcjonalności nic tam nie znajdę.
Przed tym błędem nie uchroni mnie nawet fakt to, że po całym dniu pracy zdolność analitycznej pracy mojego mózgu o ok. 23.30 była już na znacząco niskim poziomie. Ba, nie interesowało by to też klienta. Praca w IT Sec to praca bardzo odpowiedzialna. Pomagając innym ludziom staramy się zapobiegać mniejszym czy większym tragediom i trzeba mieć to z tyłu głowy. Staram się tak właśnie do tego tematu podchodzić.
Co więcej – w dzisiejszych czasach mamy komfortowe warunki do treningów. Bez deadline i ciśnienia możesz w ciszy i spokoju rozwalać kolejne tematy ucząc się coraz to nowych rzeczy.
Błędy zawsze się zdarzają i zdarzać będą ponieważ jesteśmy tylko ludźmi natomiast nie zwalnia to z bycia (dążenia do bycia) profesjonalistą w swojej pracy.