အားလုံးပဲမင်္ဂလာပါ Hack with K မှကြိုဆိုပါတယ်။ ဒီ post မှာ OSWE certification နဲ့ exam review ကိုပြောပြပေးသွားမှာဖြစ်ပါတယ်။ Video အနေနဲ့လုပ်ဖို့အဆင်မပြေလို့ medium မှာပဲတင်လိုက်ရပါတယ်။
Course Review
OSWE ဆိုတာ Offensive Security ကထုတ်ထားတဲ့ Offensive Security Web Expert certificate ဖြစ်ပါတယ်။ ပထမဆုံးအနေနဲ့ အသားပေးပြောချင်တာက course outlines ပါ။
OSWE မှာဆိုရင် source code review နဲ့ bug chain တာကို အသားပေးထားပါတယ်။ bug တွေက ပုံမှန် SQLi, XSS တွေပါပဲ ဒါပေမယ့် source code ကြည့်မှသိနိုင်မယ့် bug တွေရယ်၊ real world enterprise application တွေဆိုတော့ ထင်သလောက်မလွယ်ပါဘူး၊ code base လည်းများသလို တစ်ချို့ exploit တွေကျ tricks တွေ ပါပါတယ်။ အောက်မှာဆိုရင် ဒီ course မှာ learn လုပ်လို့ရမယ့် vulnerability types တွေအကြောင်းရှင်းပြပေးပါမယ်။
1.SQL Injection
SQL Injection ဆိုတဲ့ topic က ဒီ course မှာမဖြစ်မနေလုပ်ရမယ့် bug မျိုးပါ။ ကျွန်တော်တို့ တခြား lab တွေစမ်းမယ်ဆို sqlmap နဲ့ scan မယ် bypass လုပ်မယ်၊ RCE ရရင် RCE ယူမယ်ပေ့ါ။ ဒီ course မှာဆိုရင် SQL Injection ကို source code ကနေကြည့်ပြီး ဘယ်လိုရှာမယ်ဆိုတာပါပါတယ်။ SQL Langauge မှာဆိုရင် MySQL, MSSQL, PostgreSQL ဆိုပြီးအများစုရှိပါတယ်။ အဲ့လို different lanagues တွေမှာ SQL Injection ကနေ extension တွေ create လုပ်ပြီး RCE ယူလို့ရတဲ့ tricks တွေကို python နဲ့ ရေးရတာတွေလုပ်ရပါလိမ့်မယ်။
2.XSS
ဒီနောက်ပိုင်းမှာ browser တွေရဲ့ security features တွေအားသာလာတာနဲ့အမျှ XSS ပေါက်ခဲ့ရင် session hijacking လုပ်ဖို့မလွယ်ပါဘူး။ XSS လည်းအဲ့လိုပါပဲ XSS ပေါက်တယ်ဆိုရင် alert(1) နဲ့ပြီးလို့မရပါဘူး။ အဲ့ဒီ XSS ကိုအသုံးချပြီး session riding လို့ခေါ်တဲ့ attack သုံးပြီး user add တာတွေ RCE ယူတာတွေ extension install လုပ်လို့ရတဲ့ CMS တို့ဘာတို့ဆို backdoor extension ထည့်ပြီး RCE ယူတာတွေကိုလုပ်ရပါလိမ့်မယ်။
3.Type Juggling
PHP ရဲ့ loose comparison ကနေ developer ကစစ်တာမှားတဲ့အခါမျိုးမှာဖြစ်တဲ့ bug မျိုးပါ။ အဲ့လို bug တွေက source code ဖတ်မှသိနိုင်မယ့် bug တွေပါ။ ဒီ course မှာဆိုရင် type juggling ကနေ auth bypass ဘယ်လိုလုပ်မယ်ဆိုတာမျိုးပါပါတယ်။
4.Insecure Deserialization
Deserialization လုပ်တဲ့အခါမှာဖြစ်တဲ့ bug မျိုးပါ။ .Net မှာဆိုရင် binary formatter, xml serialization..etc, python မှာဆိုရင်လည်း pickle serialization, java မှာဆိုလည်း java serialisation အစရှိတဲ့ deserialization bug တွေကို ဘယ်လို produce လုပ်ပြီး RCE ယူတာတွေလုပ်ရပါလိမ့်မယ်။
5.SSTI (Server Side Template Injection)
Twig, Jinja ကဲ့သို့ template engine တွေသုံးထားခဲ့ရင် RCE ထိယူရတာတွေလုပ်ရပါလိမ့်မယ်။ Real world application တွေဖြစ်တဲ့အတွက် character bypass လုပ်ရတာတွေပါလုပ်ရပါလိမ့်မယ်။
6.XML Injection aka XXE
XXE Injection attack တွေကနေ RCE ယူလို့ရတာမျိုးတွေပါပါလိမ့်မယ်။
7.Websocket Attack
Web socket ကနေတစ်ဆင့် real world application တစ်ခုမှာ RCE ကိုဘယ်လိုယူတယ်ဆိုတာရှင်းပြထားပါတယ်။ web socket bug တစ််ခုထဲနဲ့ RCE မရနိုင်ပေမယ့် တခြား bug တွေနဲ့တွဲပြီး exploit လုပ်တာတွေပါပါတယ်။
8.SSRF, Prototype Pollution
SSRF နဲ့ prototype pollution ကဒီနောက်ပိုင်းမှအသစ်ပါလာတာမလို့ ကျွန်တော်လည်းမသိပါဘူး။
9.MVC
MVC framework တွေမှာ bug ဘယ်လိုရှာမယ်ဆိုတာမျိုးတွေရှင်းပြထားပါတယ်။
ဒီ course မှာဆိုရင် ကျွန်တော်ကြိုက်တဲ့အချက်က real world application တွေသုံးပြီးရှင်းပြထားတယ်။ ပြီးတော့ langauge ကလည်း PHP တစ်ခုထဲမဟုတ်ပဲ .Net, NodeJS, Python Flask, Java အစရှိတဲ့ lanague အများစုကို source code review လုပ်ခိုင်းတာမလို့တော်တော်ကောင်းပါတယ်။ စျေးအနေနဲ့ နည်းနည်းများပေမယ့် တန်တယ်လို့ထင်ပါတယ်။
Exam Review
Exam က practical 48 hours နဲ့ reporting 24 hours ပါ။ Exam machines အနေနဲ့ 2 လုံးပေးထားပါတယ်။ နှစ်လုံးလုံးကို တစ်လုံးက full exploit, နောက်တစ်လုံးက auth bypass ရရင် အောင်ပါတယ်။ exploit script အနေနဲ့ fully functional exploit ကို python သို့မဟုတ် ruby နဲ့ရေးပေးလို့ရပါတယ်။ Exam ကအလုံးတွေက မလွယ်ပါဘူး 48 နာရီပဲပေးထားတာရယ်ဘာ access မှမရှိတာနေ RCE ထိယူရတဲ့ exploit ကိုရေးပေးရတာအတွက်ပါ။ ကိုယ့်ရဲ့ exploit script က fully functional မဟုတ်ရင် အမှတ်လျှော့ပါတယ်။
ကျွန်တော် OSWE exam ဖြေတုန်းက နှစ်ခါကျခဲ့ပါတယ်။ ကျခဲ့တာလည်းရယ်စရာကောင်းပါတယ်။ entry point ကိုရှာတွေ့တာ ပထမတစ်ခေါက်ထဲကပါ။ exploit ရေးပြီးစမ်းကြည့်တော့မရတာနဲ့ framework ရဲ့ low level implementation တွေထိပါသွားကြည့်လို့ အဲ့ bug ကနေ နှစ်ခါကျခဲ့ပါတယ်။
Conclusion
ဒီ course ကိုလုပ်မယ်ဆိုရင် အနည်းဆုံး language တစ်ခုကိုသေချာဖတ်တတ်မှ python scripting ကိုနည်းနည်းရေးတတ်မှ ၀ယ်တာအဆင်ပြေပါလိမ့်မယ်၊ မဟုတ်ရင် တကယ်တိုင်ပတ်ပါတယ်။
course မ၀ယ်သေးဘူး ဘယ်ကစလုပ်ရမလဲဆိုရင် vulnhub မှာ OWASP Broken web application VM ရှိပါတယ်၊ အဲ့ VM ကို စမ်းပြီးအထဲက source code တွေကိုဘာကြောင့်ပေါက်တယ်ဆိုတာ analyze လုပ်လို့ရပါတယ်။ ပြီးတော့ တခြား leak ထွက်ထားတာတွေရှိပါတယ်။ ကျွန်တော်တော့မ share ပေးတော့ပါဘူး google မှာရှိပါတယ်။
ပေးရတဲ့ amount နဲ့ ရတဲ့ knowledge နဲ့တွက်ကြည့်ရင်တန်တယ်လို့ထင်ရပါတယ်။ ကျွန်တော့်အနေနဲ့ OSWE course က OffSec ရဲ့ OSEP, OSED, OSCP တွေထဲက အကောင်းဆုံးလို့ဆိုလည်းမမှားပါဘူး။ အဆုံးထိဖတ်ပေးလို့ကျေးဇူးတင်ပါတယ်။ နောက် post မှာ OSEP course နဲ့ exam review ကိုတင်ပေးပါ့မယ်။
