Tundra21_a
Резидент
Введение
На повестке дня три вопроса:
2. В итоге вы будете уметь самостоятельно находить уязвимости, будете понимать как они устроены и сможете успешно их эксплуатировать на реальных площадках. Мы будем стремится к тому, чтобы вы не тратили впустую время на многократное перечитывание многократно переписанных статей, а сходу приступали к делу.
Проще говоря, вы врубитесь что к чему и в конце курса получите мощный пинок в нужное место и в нужном направлении.
3. Начальные требования.
Что нужно для прохождения курса? Браузер, denwer (или аналог).
Все остальное будет идти в комплекте либо будут даны ссылки на соответствующие ресурсы.
Предполагаю, что вы хотя бы шапочно знаете:
В связи с тем, что я не обещал 1000 шеллов в день и дохода в 10к $$$ в неделю, тот факт что вы дочитали до данного места, говорит о том, что у вас действительно есть шансы, чтобы чему-то научиться.
Сбор информации
Как вы уже догадались из названия, начальный этап перед любым взломом это сбор информации о цели (рекогницировка, как говорят на курсах CEH). Техники описанные ниже, позволят собрать первоначальные данные о цели. Этих данных уже хватит, чтобы понять с чем придется работать (и стоит ли вообще работать... может лучше потроллить школоту в вк, да выпить чаю).
Пассивный сбор информации:
1. Узнаем IP. Тут все относительно просто. Запускаем консольку (Win+R, печатаем 'cmd', жмем Enter) и пишем всем знакомое:
Удобнее установить в браузер плагин, который будет сразу показывать IP сайта.
Подобные плагины можно найти практически под любой браузер.
В некоторых (крайне запущенных) случаях можно воспользоваться онлайн-сервисами:
Попробуйте, возможно это не будет лишним.
2. Whois. После того, как мы узнали IP адрес домена, воспользуемся сервисом whois, чтобы узнать немного дополнительной информации.
В данном случае мы воспользовались сервисом whoer.net. Мы увидели страну и провайдера, которому принадлежит IP адрес.
Помимо этого, мы можем увидеть некоторые дополнительные данные:
Очевидно, что IP принадлежит сервису CloudFlare, что в свою очередь значит, что реальный IP сайта от нас скрыт (можно воспользоваться сервисом http://exonapps.nl/cfresolver/).
Проделываем те же самые операции только для домена (данные везде от балды, не удивляйтесь, что ip cloudflare, a ns-сервера - хостер.ру).
Мы можем увидеть ns-записи. Чаще всего они прямо указывают на хостинг сайта. Иногда - на проксирующий сервис. Иногда на сам домен, что позволяет заключить, что сайт находиться на выделенном сервере.
Легко найти сервисы для проверки whois:
Благодаря ему, мы можем узнать, как изменялись данные whois (сейчас, например, почта вообще не показывается).
У этого сервиса есть один минус - работает он только с доменами .ru, .su и .рф. Для буржуйских сайтов существует сервис
http://www.domaintools.com/research/whois-history/, но он к сожалению платный. А для триала нужен картон...
3. Проверяем dns-записи. Существует большое количество самых разных видов DNS-записей (A, MX, NS, CNAME, SOA, SRV, PTR, RP, HINFO). Нам нужно узнать поддомены сайта - увеличить количество целей для атаки, и следовательно увеличить шансы взлома.
Чтобы узнать поддомены, можно воспользоваться запросом в гугл вида:
Но, чтобы получить все dns-записи, мы спросим все что нам надо у DNS-серверов. Есть такая штука, под названием передача зоны DNS (AXRF). Нужно это для того, чтобы DNS сервера поддерживали в актуальном состоянии свои базы (если вам нужны детали - википедия вас ждет с распростертыми объятьями). Т.е. отправили AXRF-запрос, получили все DNS-записи. В нормальном режиме это полезная штука, но когда DNS-сервер отвечает всем подряд без разбора, это уже несекьюрно.
Я не в курсе, что касается windows, но на *nix команда выглядит так:
Разумеется, это не всегда получится (не все dns-сервера отдают инфу кому попало), да и не у всех сайтов вообще есть поддомены. Если не получилось узнать с помощью AXRF, стоит воспользоваться брутфорсером поддоменов.
https://code.google.com/p/dns-discovery/
Аналогов не нашел, но при желании можно самому накодить подобный скрипт.
4. Сканируем порты. Получив большой список поддоменов, IP, мы натравливаем сканер портов, например nmap:
И разумеется не только в дефолтном режиме (об этом напишем в других статьях).
Мы должны определить все открытые порты, сервисы, ОС.
Если нет желания палить собственный IP, или лень разбираться с nmap то можно воспользоваться сервисами:
5. Хостинг.
Способы определения хостинга:
5.7. Заходим по IP адресу. Т.е. если Ip сайта - 123.123.23.23, мы вбиваем в браузере http://123.123.23.23/ и смотрим, что нам выдаст веб-сервер. У крупных хостеров стоит заглушка (по которой мы хостера резко и чотка опознаем). У мелких хостеров мы увидим либо вход в панель управления (ISP и подобные), либо один из сайтов, которые находятся на данном сервере.
5.8. Reverse DNS lookup. На линухе достаточно пингануть IP, на винде - использовать nslookup. Хостинг получается определить благодаря тому, что в PTR записях обычно используется название хостинга:
Например тут видно, что хостер - webhost1.ru. Для получения тех же результатов можно воспользоваться одним из сервисов:
Благодаря трассировке, мы узнаем не только хостера, но и дата-центр (в данном случае это hetzner.de) Ежели лень наша не знает границ, мы опять таки, воспользуемся онлайн-сервисами:
Набираем:
Видим:
Но, как и всегда, мы можем не напрягать свой мозг и использовать сервисы:
5.11. Спрашиваем у владельца. Это скорее уже активный сбор информации, но все же - можно просто спросить у владельца, что за хостинг он использует.
Проделав вышеописанные операции мы с вероятностью в 90% определим хостинг сайта. Исключение составят те случаи, когда IP сайта скрыт сервисами типа cloudflare или чем-то подобным.
Итак, что мы можем узнать, зная хостинг:
Виртуальный хостинг. Топаем на сайт хостера, изучаем сайт, изучаем форум, если он есть. Читаем FAQ. Можно даже оплатить аккаунт или взять тестовый, чтобы изучить хостинг вдоль и поперек. Смотрим, как происходит восстановление пароля, как происходит взаимодействие с техподдержкой. Работает ли ftp, ssh, что возможно сделать через панель хостера. Есть ли WAF. Какие настройки php (можно попросить показать вывод функции phpinfo()).
Узнаем, были ли взломы сайтов данного хостера. Если были, то как это происходило, есть ли дыры сейчас.
Если сайт находится на платформе типа ucoz, blogspot или подобных, то поиск уязвимостей на сайте равносилен поиску уязвимостей на самой платформе (что существенно усложняет задачу). Однако, есть плюс в том, что мы можем использовать методы социальной инженерии не только к владельцу сайта, но и к техподдержке хостинга.
VPS/VDS/DS. Если хостер так и не определен, то скорее всего мы имеем дело с выделенным сервером. В некоторых случаях это может быть арендованный сервер в дата-центре, может и домашний комп со белым IP, который не выключают сутками. Есть шанс, что админ выделенного сервера не настолько опытен, как админы крупных хостингов, и совершил ошибки при настройке сервера.
Данные phpinfo() на некоторых хостингах:
Наиболее интересны для нас следующие директивы php:
На повестке дня три вопроса:
- Чем мы будем заниматься?
- Что мы получим в итоге?
- Какие начальные требования?
2. В итоге вы будете уметь самостоятельно находить уязвимости, будете понимать как они устроены и сможете успешно их эксплуатировать на реальных площадках. Мы будем стремится к тому, чтобы вы не тратили впустую время на многократное перечитывание многократно переписанных статей, а сходу приступали к делу.
Проще говоря, вы врубитесь что к чему и в конце курса получите мощный пинок в нужное место и в нужном направлении.
3. Начальные требования.
Что нужно для прохождения курса? Браузер, denwer (или аналог).
Все остальное будет идти в комплекте либо будут даны ссылки на соответствующие ресурсы.
Предполагаю, что вы хотя бы шапочно знаете:
- html, css, javascript
- SQL
- php
- regexp
- nix-системы
- Tcp/Ip
- http-протокол
- Apache (базовая настройка, модуль mod_rewrite)
- html, css - Самоучители на htmlbook.ru (да и вообще, недостатка в материалах по html/css нет).
- javascript - Самоучитель на learn.javascript.ru, Курсы Специалиста (specialist.ru) по javascript.
- SQL - базовые знания даст книжка "SQL - 10 минут на урок".
- RegExp - базовые знания даст книжка "Регулярные выражения - 10 минут на урок"
- nix - базовые знания даст книжка "UNIX - 10 минут на урок"
- php - Курсы Специалиста по php, уровень 1/2.
- http, Apache - Курсы Специалиста "Веб-мастеринг", RFC 2616
В связи с тем, что я не обещал 1000 шеллов в день и дохода в 10к $$$ в неделю, тот факт что вы дочитали до данного места, говорит о том, что у вас действительно есть шансы, чтобы чему-то научиться.
Сбор информации
Как вы уже догадались из названия, начальный этап перед любым взломом это сбор информации о цели (рекогницировка, как говорят на курсах CEH). Техники описанные ниже, позволят собрать первоначальные данные о цели. Этих данных уже хватит, чтобы понять с чем придется работать (и стоит ли вообще работать... может лучше потроллить школоту в вк, да выпить чаю).
Пассивный сбор информации:
- Узнаем IP
- Whois
- DNS
- Сканируем порты
- Хостинг
- Reverse-IP
- SEO-параметры
- Разработчики
- Контакты
- Сотрудники
- Вакансии
- Конкурентная разведка
- Веб-архив
- Поисковые системы
- Блек-листы
1. Узнаем IP. Тут все относительно просто. Запускаем консольку (Win+R, печатаем 'cmd', жмем Enter) и пишем всем знакомое:
Удобнее установить в браузер плагин, который будет сразу показывать IP сайта.
Подобные плагины можно найти практически под любой браузер.
В некоторых (крайне запущенных) случаях можно воспользоваться онлайн-сервисами:
- http://www.softholm.com/services/lookup.php
- http://www.prime-speed.ru/ip-host.php
- http://ip-whois.net/website_ip.php
- http://www.nslookup.su/
- http://speed-tester.info/site_location.php
- http://2ip.ru/lookup/
- http://ru.siteipaddr.com/
- http://get-site-ip.com/
- http://ping.eu/ping/
- http://www.selfseo.com/find_ip_address_of_a_website.php
- http://ipinfo.info/html/ip_checker.php
- http://www.checkip.com/
- Если ресурс большой, было бы неплохо проверить его на сервисе вроде ping-admin.ru
Попробуйте, возможно это не будет лишним.
2. Whois. После того, как мы узнали IP адрес домена, воспользуемся сервисом whois, чтобы узнать немного дополнительной информации.
В данном случае мы воспользовались сервисом whoer.net. Мы увидели страну и провайдера, которому принадлежит IP адрес.
Помимо этого, мы можем увидеть некоторые дополнительные данные:
Очевидно, что IP принадлежит сервису CloudFlare, что в свою очередь значит, что реальный IP сайта от нас скрыт (можно воспользоваться сервисом http://exonapps.nl/cfresolver/).
Проделываем те же самые операции только для домена (данные везде от балды, не удивляйтесь, что ip cloudflare, a ns-сервера - хостер.ру).
Мы можем увидеть ns-записи. Чаще всего они прямо указывают на хостинг сайта. Иногда - на проксирующий сервис. Иногда на сам домен, что позволяет заключить, что сайт находиться на выделенном сервере.
Легко найти сервисы для проверки whois:
- http://whoer.net/
- https://www.nic.ru/whois/
- http://www.whois-service.ru/
- https://who.is/
- http://www.ripn.net/nic/whois/
- http://www.whois.net/
- http://whois.domaintools.com/
- http://r01.ru/domain/whois/
- https://www.reg.ru/whois/
- http://tools.whois.net
- http://betterwhois.com
- http://iptools.com
- http://geektools.com
- http://networksolutions.com
- http://whois.arin.net
- http://domaintools.com
- http://centralops.net
- http://google.com/?q=whois+online
Благодаря ему, мы можем узнать, как изменялись данные whois (сейчас, например, почта вообще не показывается).
У этого сервиса есть один минус - работает он только с доменами .ru, .su и .рф. Для буржуйских сайтов существует сервис
http://www.domaintools.com/research/whois-history/, но он к сожалению платный. А для триала нужен картон...
3. Проверяем dns-записи. Существует большое количество самых разных видов DNS-записей (A, MX, NS, CNAME, SOA, SRV, PTR, RP, HINFO). Нам нужно узнать поддомены сайта - увеличить количество целей для атаки, и следовательно увеличить шансы взлома.
Чтобы узнать поддомены, можно воспользоваться запросом в гугл вида:
- site:*.target.com
Но, чтобы получить все dns-записи, мы спросим все что нам надо у DNS-серверов. Есть такая штука, под названием передача зоны DNS (AXRF). Нужно это для того, чтобы DNS сервера поддерживали в актуальном состоянии свои базы (если вам нужны детали - википедия вас ждет с распростертыми объятьями). Т.е. отправили AXRF-запрос, получили все DNS-записи. В нормальном режиме это полезная штука, но когда DNS-сервер отвечает всем подряд без разбора, это уже несекьюрно.
Я не в курсе, что касается windows, но на *nix команда выглядит так:
- dig -t AXFR target.com @ns.target.com
- http://sergeybelove.ru/tools/axfr-test/?domain=
- https://tools.digitalpoint.com/zone-transfer?domain=
- http://checkdnspropagation.com/axfr/
- https://www.ultratools.com/tools/zoneFileDump
- http://hackertarget.com/zone-transfer/
Разумеется, это не всегда получится (не все dns-сервера отдают инфу кому попало), да и не у всех сайтов вообще есть поддомены. Если не получилось узнать с помощью AXRF, стоит воспользоваться брутфорсером поддоменов.
https://code.google.com/p/dns-discovery/
Аналогов не нашел, но при желании можно самому накодить подобный скрипт.
4. Сканируем порты. Получив большой список поддоменов, IP, мы натравливаем сканер портов, например nmap:
И разумеется не только в дефолтном режиме (об этом напишем в других статьях).
Мы должны определить все открытые порты, сервисы, ОС.
Если нет желания палить собственный IP, или лень разбираться с nmap то можно воспользоваться сервисами:
- http://hideme.ru/ports/
- https://pentest-tools.com/discovery-...er-online-nmap
- http://mxtoolbox.com/PortScan.aspx
- http://www.t1shopper.com/tools/port-scan/
- https://w3dt.net/tools/portscan
- http://scannmap.com/
- http://nmap.online-domain-tools.com/
5. Хостинг.
Способы определения хостинга:
- 5.1. Домен третьего уровня (к примеру - target.freehosting.com, кто является хостером, очевидно).
- 5.2. Реклама на сайте. Частенько, фрихостинги пихают свою рекламу во все возможные места - popup, iframe, шапка, футер. В таком случае, определить хостинг не составляет труда
- 5.3. 403/404. Пробуем открыть заведомо несуществующую страницу (вызвать ошибку 404). Или попытаемся вызвать ошибку 403 - пробуем зайти в папки /admin/, /images/ и т.д. Очень часто мы увидим заглушку от хостера.
- 5.4. index.html. При создании нового сайта в этом файле может находиться заглушка от хостера.
- Сайт: target.com
- ns-записи: ns1.hosting.com, ns2.hosting.com
- Наиболее распространенный случай на shared хостингах. Хостингом является hosting.com.
- Сайт: target.com
- ns-записи: ns1.target.com, ns2.target.com
- Владелец сайта использует свои собственные dns-сервера. Вероятно это VDS/DS.
- Сайт: target.com
- ns-записи: ns1.freedns.com, ns2.freedns.com
- Владелец сайта использует сторонние dns-сервера. Вместо freedns.com может быть любой другой подобный сервис.
5.7. Заходим по IP адресу. Т.е. если Ip сайта - 123.123.23.23, мы вбиваем в браузере http://123.123.23.23/ и смотрим, что нам выдаст веб-сервер. У крупных хостеров стоит заглушка (по которой мы хостера резко и чотка опознаем). У мелких хостеров мы увидим либо вход в панель управления (ISP и подобные), либо один из сайтов, которые находятся на данном сервере.
5.8. Reverse DNS lookup. На линухе достаточно пингануть IP, на винде - использовать nslookup. Хостинг получается определить благодаря тому, что в PTR записях обычно используется название хостинга:
Например тут видно, что хостер - webhost1.ru. Для получения тех же результатов можно воспользоваться одним из сервисов:
- http://remote.12dt.com/lookup.php
- http://www.dnsqueries.com/en/reverse_lookup.php
- http://mxtoolbox.com/ReverseLookup.aspx
- http://www.dnswatch.info/
- http://www.reverse-dns.org/
- http://rdnslookup.com/
- http://www.lookupserver.com/
Благодаря трассировке, мы узнаем не только хостера, но и дата-центр (в данном случае это hetzner.de) Ежели лень наша не знает границ, мы опять таки, воспользуемся онлайн-сервисами:
- http://traceroute.monitis.com/
- http://www.ip-ping.ru/tracert/
- http://russianproxy.ru/traceroute
- http://centralops.net/co/
- http://traceroute.nmonitoring.com/
- http://www.tracert.org/traceroute/
- http://www.subnetonline.com/pages/ne...traceroute.php
Набираем:
Код:
telnet
o firststeps.ru 25
Но, как и всегда, мы можем не напрягать свой мозг и использовать сервисы:
5.11. Спрашиваем у владельца. Это скорее уже активный сбор информации, но все же - можно просто спросить у владельца, что за хостинг он использует.
Проделав вышеописанные операции мы с вероятностью в 90% определим хостинг сайта. Исключение составят те случаи, когда IP сайта скрыт сервисами типа cloudflare или чем-то подобным.
Итак, что мы можем узнать, зная хостинг:
Виртуальный хостинг. Топаем на сайт хостера, изучаем сайт, изучаем форум, если он есть. Читаем FAQ. Можно даже оплатить аккаунт или взять тестовый, чтобы изучить хостинг вдоль и поперек. Смотрим, как происходит восстановление пароля, как происходит взаимодействие с техподдержкой. Работает ли ftp, ssh, что возможно сделать через панель хостера. Есть ли WAF. Какие настройки php (можно попросить показать вывод функции phpinfo()).
Узнаем, были ли взломы сайтов данного хостера. Если были, то как это происходило, есть ли дыры сейчас.
Если сайт находится на платформе типа ucoz, blogspot или подобных, то поиск уязвимостей на сайте равносилен поиску уязвимостей на самой платформе (что существенно усложняет задачу). Однако, есть плюс в том, что мы можем использовать методы социальной инженерии не только к владельцу сайта, но и к техподдержке хостинга.
VPS/VDS/DS. Если хостер так и не определен, то скорее всего мы имеем дело с выделенным сервером. В некоторых случаях это может быть арендованный сервер в дата-центре, может и домашний комп со белым IP, который не выключают сутками. Есть шанс, что админ выделенного сервера не настолько опытен, как админы крупных хостингов, и совершил ошибки при настройке сервера.
Данные phpinfo() на некоторых хостингах:
- 1and1 | http://res.championik.com/htests/info.php
- 1gb | http://younumberone.ru/htests/info.php
- Agava | http://redhappy.ru/htests/info.php
- Aiwebhost | http://hosting-ninja.su/htests/info.php
- Anhosting | http://videperez.ru/htests/info.php
- Arvixe | http://cofemug.ru/htests/info.php
- Awardspace | http://liniauspeha.ru/htests/info.php
- Beget | http://77secrets.ru/htests/info.php
- Canadian | http://kaizenman.com/htests/info.php
- Domishko | http://mediapriz.ru/htests/info.php
- Dreamhost | http://www.monsterpapa.ru/htests/info.php
- Eomy | http://teloboga.ru/htests/info.php
- Eskhosting | http://mediaboomer.ru/htests/info.php
- EuroByte | http://hosting-ninja.mobi/htests/info.php
- FastWebHost | http://5hostel.ru/htests/info.php
- FullSpace | http://infobusiness.me/htests/info.php
- Gigahost | http://xtremer.ru/htests/info.php
- Host-ed | http://3tatushki.ru/htests/info.php
- hostcab.ru | http://voskotop.ru/htests/info.php
- Hostenko | http://www.10mind.ru/htests/info.php
- Hoster | http://www.bigvalueforyou.ru/htests/info.php
- Hoster.ru http://www.bigvalueforyou.ru/htests/info.php
- HostGator | http://longlifesecret.ru/htests/info.php
- Hostia | http://3volhva.ru/htests/info.php
- Hostiq | http://hninja.ru/htests/info.php
- HostMonster | http://japanhost.ru/htests/info.php
- HostPapa | http://drwhite.ru/htests/info.php
- HTS | http://champion-of-live.com/htests/info.php
- InMotion | http://1popoff.ru/htests/info.php
- iPage | http://mylonglife.ru/htests/info.php
- iPipe | http://slovosovesti.ru/htests/info.php
- ISPserver | http://suncenter-ufa.ru/htests/info.php
- It-mcp | http://arenda-spartak.ru/htests/info.php
- Jino | http://newgenerationman.ru/htests/info.php
- justhost | http://redmoneymaker.ru/htests/info.php
- Logol | http://vashapilorama.ru/htests/info.php
- Mainhost | http://hosting-ninja.org/htests/info.php
- Majordomo | http://delaemblog.ru/htests/info.php
- Mchost | http://hosting-ninja.biz/htests/info.php
- Megahoster | http://hosting-ninja.me/htests/info.php
- Onelim | http://hosting2vps.ru/htests/info.php
- Radiushost | http://ruporpravdi.ru/htests/info.php
- redhosting | http://videoboomer.ru/htests/info.php
- Reg.ru | http://www.10hostel.ru/htests/info.php
- Relevate | http://moneyinself.ru/htests/info.php
- Rusonyx | http://champion-of-russia.com/htests/info.php
- RX-name | http://listmetala.ru/htests/info.php
- Siteko | http://champion-of-life.ru/htests/info.php
- SpaceWeb | http://zapuskbloga.ru/htests/info.php
- sprinthost | http://money-money-money.ru/htests/info.php
- Superb.net | http://krasapolei.ru/htests/info.php
- TAGhosting | http://hostrix.ru/htests/info.php
- TimeWeb | http://99secrets.ru/htests/info.php
- Tuthost | http://video-dragon.ru/htests/info.php
- UnixHost | http://uspehiudacha.ru/htests/info.php
- Versio | http://kaizenman.ru/htests/info.php
- WebGuard | http://trepetvetra.ru/htests/info.php
- Yutex | http://7hostel.ru/htests/info.php
Наиболее интересны для нас следующие директивы php:
- allow_url_fopen - поддержка оберток URL (URL wrappers), которые позволяют работать с объектами URL как с обычными файлами.
- allow_url_include - возможность использования URL в функциях include, include_once, require, require_once (одно из основных условий для уязвимости RFI).
- display_errors - опция отвечающая за отображение ошибок в выводе страницы, если отключена, то вы не увидите ничего вроде "Warning:....", "Deprecated:....", "Fatal error:....", "Parse error:....", либо пустой экран, либо вывод без ошибок (основное условие для уязвимости FPD).
- expose_php - если включена, то в заголовках ответа можно узнать версию php
- file_uploads - опция, разрешает/запрещает загрузку файлов на сервер, с помощью php (могут возникнуть сложности при заливке шелла).
- magic_quotes_gpc - автоматическое экранирование кавычек, двойных кавычек, нулл-байта, обратного слеша обратным слешем в данных полученных из Get/Post/Cookie (могут возникнуть сложности при эксплуатации SQL-инъекций)
- register_globals - уже редкость, чаще всего отключена. Если включена, то есть возможность передавать значения переменных через get, post, cookie.
- safe_mode - безопасный режим. Много ограничений, включается запрет функций использования команд.
- safe_mode_exec_dir - если включено, то можно запускать команды в пределах указанной директории (у недалеких админов бывает равно "/", что сводит на нет эту директиву).
- disable_functions - Отключенные функции (чаще всего отключают функции выполнения команд).
Последнее редактирование: