Wapiti - a 'sgrùdadh làrach airson so-leòntachd leis fhèin

Anns an àm a dh ’fhalbh artaigil mu'n do labhair sinn Nemesida WAF saor an asgaidh - inneal an-asgaidh airson làraich-lìn agus APIan a dhìon bho ionnsaighean hacker, agus anns an fhear seo chuir sinn romhainn ath-sgrùdadh a dhèanamh air sganair so-leòntachd mòr-chòrdte Eilc.

Tha e na cheum riatanach a bhith a’ sganadh làrach-lìn airson so-leòntachd, a leigeas leat, an cois mion-sgrùdadh air a’ chòd stòr, dhut ìre a thèarainteachd a mheasadh an aghaidh bagairtean co-rèiteachaidh. Faodaidh tu goireas lìn a sganadh a’ cleachdadh innealan sònraichte.

Is e Nikto, W3af (sgrìobhte ann am Python 2.7, nach eil a’ faighinn taic tuilleadh) no Arachni (nach eil a’ faighinn taic bhon Ghearran) na fuasglaidhean as mòr-chòrdte a tha air an taisbeanadh san roinn an-asgaidh. Gu dearbh, tha feadhainn eile ann, mar eisimpleir, Wapiti, air an do chuir sinn romhainn fòcas a chuir air.

Bidh Wapiti ag obair leis na seòrsaichean so-leòntachd a leanas:

• leudachadh faidhle (ionadail agus iomallach, fopen, readfile);
• stealladh (stealladh PHP / JSP / ASP / SQL agus in-stealladh XPath);
• XSS (Sgriobtadh Tar-làraich) (meòrachail agus leantainneach);
• lorg agus cur an gnìomh òrdughan (eval (), siostam (), passtru ());
• In-stealladh CRLF (sgoltadh freagairt HTTP, rèiteachadh seisean);
• XXE (XML eintiteas taobh a-muigh) a' stèidheachadh;
• SSRF (Fearraidh Iarrtas Taobh an Fhrithealaiche);
• cleachdadh fhaidhlichean aithnichte a dh’ fhaodadh a bhith cunnartach (taing do stòr-dàta Nikto);
• rèiteachaidhean lag .htaccess a dh'fhaodar a sheachnadh;
• làthaireachd fhaidhlichean cùl-taic a nochdas fiosrachadh dìomhair (foillseachadh còd stòr);
• Sliseag;
• ath-sheòlaidhean fosgailte;
• dòighean neo-àbhaisteach HTTP a dh'fhaodar a rèiteachadh (PUT).

Feartan:

• Taic neach-ionaid HTTP, HTTPS agus SOCKS5;
• dearbhadh a 'cleachdadh grunn dhòighean: Basic, Digest, Kerberos no NTLM;
• an comas an raon sganaidh a chuingealachadh (àrainn, pasgan, duilleag, URL);
• toirt air falbh gu fèin-ghluasadach aon de na paramadairean san URL;
• ioma-chùram an aghaidh lùban scan gun chrìoch (eisimpleir: ifor, luachan cuibhreachaidh airson paramadair);
• an comas prìomhachas a shuidheachadh airson URLan a sgrùdadh (eadhon mura h-eil iad san raon sganaidh);
• comas cuid de URLan a thoirmeasg bho sganadh agus ionnsaighean (mar eisimpleir: URL logout);
• cuir a-steach briosgaidean (faigh iad leis an inneal wapiti-getcookie);
• comas dearbhadh teisteanais SSL a chuir an gnìomh / a chuir dheth;
• an comas URLan a tharraing à JavaScript (eadar-theangair JS gu math sìmplidh);
• eadar-obrachadh le HTML5;
• grunn roghainnean airson a bhith a 'stiùireadh giùlan crawler agus cuingealachaidhean;
• a 'suidheachadh an ùine as motha airson a' phròiseas sganaidh;
• a’ cur cuid de chinn-cinn HTTP àbhaisteach ris no a’ stèidheachadh neach-cleachdaidh àbhaisteach.

Feartan a bharrachd:

• cruthachadh aithisgean so-leòntachd ann an diofar chruthan (HTML, XML, JSON, TXT);
• stad agus ath-thòiseachadh scan no ionnsaigh (inneal seisean a’ cleachdadh stòran-dàta SQLite3);
• backlighting anns a’ phort-adhair gus so-leòntachd a nochdadh;
• diofar ìrean de logadh a-steach;
• Dòigh luath is furasta airson modalan ionnsaigh a chuir an gnìomh / a chuir dheth.

suidheachadh

Faodar an dreach làithreach de Wapiti a chuir a-steach ann an dà dhòigh:

• Luchdaich a-nuas an stòr-dàta bho làrach oifigeil. сайта agus ruith an sgriobt stàlaidh, an dèidh dhut Python3 a chuir a-steach roimhe;
• a’ cleachdadh an àithne pip3 stàlaich wapiti3.

Às deidh seo, bidh Wapiti deiseil airson a dhol.

Ag obair leis an inneal

Gus obair Wapiti a nochdadh, cleachdaidh sinn seasamh a chaidh ullachadh gu sònraichte Sites.vulns.pentestit.ru (goireas a-staigh), anns a bheil diofar so-leòntachd (Injection, XSS, LFI / RFI) agus easbhaidhean eile ann an tagraidhean lìn.

Tha am fiosrachadh air a thoirt seachad airson adhbharan fiosrachaidh a-mhàin. Na bris an lagh!

Òrdugh bunaiteach airson an sganair a chuir air bhog:

# wapiti -u <target> <options>

Aig an aon àm, tha cuideachadh gu math mionaideach ann le àireamh mhòr de roghainnean cur air bhog, mar eisimpleir:

--raon - raon tagraidh
Ma shònraicheas tu am paramadair raon còmhla ris an URL crawl, faodaidh tu raon snàgail na làraich atharrachadh le bhith a’ sònrachadh gach cuid aon duilleag agus gach duilleag a lorgar air an làrach.

-s и -x - roghainnean gus URLan sònraichte a chur ris no a thoirt air falbh. Tha na roghainnean sin feumail nuair a dh’ fheumas tu URL sònraichte a chur ris no a thoirt air falbh tron ​​phròiseas crawl.

--sgiob - thèid am paramadair ainmichte leis an iuchair seo a sganadh, ach cha tèid ionnsaigh a thoirt air. Feumail ma tha paramadairean cunnartach sam bith ann a tha nas fheàrr air an dùnadh a-mach rè sganadh.

--dearbhaidh-ssl - cuir an comas no cuir à comas dearbhadh teisteanais.
Tha an sganair Wapiti modular. Ach, gus modalan sònraichte a chuir air bhog, a’ toirt a-steach an fheadhainn a tha ceangailte gu fèin-ghluasadach fhad ‘s a tha an sganair a’ ruith, feumaidh tu an tionndadh -m a chleachdadh agus liosta a dhèanamh den fheadhainn a dh ’fheumas tu, air an sgaradh le cromagan. Mura tèid an iuchair a chleachdadh, obraichidh a h-uile modal gu bunaiteach. Anns an dreach as sìmplidh seallaidh e mar seo:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

Tha an eisimpleir cleachdaidh seo a’ ciallachadh nach cleachd sinn ach na modalan SQL, XSS agus XXE nuair a bhios sinn a’ sganadh an targaid. A bharrachd air an sin, faodaidh tu obrachadh mhodalan a shìoladh a rèir an dòigh a tha thu ag iarraidh. Mar eisimpleir -m “xss: faigh, blindsql: post, xxe: post”. Anns a 'chùis seo, am modal xss a’ buntainn ri iarrtasan a chuirear a-steach a’ cleachdadh modh GET, agus am modal blidsql — gu iarrtasan POST, etc. Air an t-slighe, mura robh feum air modal a chaidh a thoirt a-steach don liosta rè sganadh no ma bheir e ùine mhòr, an uairsin le putadh air a ’chothlamadh Ctrl + C faodaidh tu leum a’ cleachdadh a ’mhodal gnàthach le bhith a’ taghadh an rud co-fhreagarrach sa chlàr eadar-ghnìomhach.

Bidh Wapiti a’ toirt taic do bhith a’ dol seachad air iarrtasan tro neach-ionaid a’ cleachdadh iuchair -p agus dearbhadh air an làrach targaid tron ​​​​pharamadair -a. Faodaidh tu cuideachd an seòrsa dearbhaidh a shònrachadh: Bunaiteach, Geàrr-chunntas, Kerberos и NTLM. Dh'fhaodadh gum bi feum aig an dithis mu dheireadh air modalan a bharrachd a stàladh. A bharrachd air an sin, faodaidh tu bannan-cinn sam bith a chuir a-steach do iarrtasan (a’ toirt a-steach neo-riaghailteach Àidseant cleachdaiche) agus mòran a bharrachd.

Gus dearbhadh a chleachdadh faodaidh tu an inneal a chleachdadh wapiti-getcookie. Le a chuideachadh bidh sinn a 'cruthachadh cookie, a chleachdas Wapiti nuair a bhios e a’ sganadh. Cruthachadh cookie air a dheanamh leis an àithne :

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

Fhad ‘s a bhios sinn ag obair gu h-eadar-ghnìomhach, bidh sinn a’ freagairt cheistean agus a ’nochdadh an fhiosrachaidh riatanach leithid logadh a-steach, facal-faire, msaa:

Tha an toradh na fhaidhle ann an cruth JSON. Is e roghainn eile am fiosrachadh riatanach gu lèir a chuir tron ​​​​pharamadair -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

Bidh an toradh coltach ri:

Nuair a thathar a’ beachdachadh air prìomh ghnìomhachd an sganair, b’ e an t-iarrtas mu dheireadh airson deuchainn a dhèanamh air an aplacaid lìn sa chùis againn:

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

far am measg paramadairean eile:

-f и -o - cruth agus slighe airson an aithisg a shàbhaladh;

-m - chan eilear a’ moladh a h-uile modal a cheangal, oir bheir e buaidh air ùine deuchainn agus meud na h-aithisg;

--dath - cuir cuideam air so-leòntachd a chaidh a lorg a rèir cho cudromach sa tha iad a rèir Wapiti fhèin;

-c - a 'cleachdadh faidhle le cookie, air a chruthachadh a 'cleachdadh wapiti-getcookie;

--raon - taghadh targaid airson ionnsaigh. A 'taghadh roghainn pasgan Thèid a h-uile URL a chraoladh agus ionnsaigh a thoirt air, a 'tòiseachadh leis a' bhunait. Feumaidh slais air adhart a bhith aig an URL bunaiteach (gun ainm faidhle);

--flush-seisean - a’ ceadachadh sganadh a-rithist, anns nach tèid aire a thoirt do thoraidhean roimhe;

-A - sealbh Àidseant cleachdaiche;

-p - seòladh frithealaiche progsaidh, ma tha sin riatanach.

Beagan mun aithris

Tha toradh an sganaidh air a thaisbeanadh ann an cruth aithisg mhionaideach air a h-uile so-leòntachd a chaidh a lorg ann an cruth duilleag HTML, ann an cruth a tha soilleir agus furasta a leughadh. Seallaidh an aithisg na roinnean agus an àireamh de chugallachd a chaidh a lorg, na tuairisgeulan aca, iarrtasan, òrdughan airson curl agus molaidhean air mar a dhùineas tu iad. Gus seòladh a dhèanamh nas fhasa, thèid ceangal a chuir ri ainmean nan roinnean, a’ briogadh air an urrainn dhut a dhol thuige:

Is e ana-cothrom mòr san aithisg nach eil mapa tagraidh lìn mar sin ann, às aonais sin cha bhi e soilleir an deach mion-sgrùdadh a dhèanamh air a h-uile seòladh agus paramadair. Tha comas ann cuideachd air nithean ceàrr. Anns a ’chùis againn, tha an aithisg a’ toirt a-steach “faidhlichean cùl-taic” agus “faidhlichean a dh’ fhaodadh a bhith cunnartach. ” Chan eil an àireamh aca a’ freagairt ris an fhìrinn, leis nach robh faidhlichean mar sin air an fhrithealaiche:

Is dòcha gun tèid modalan a tha ag obair ceàrr a shuidheachadh thar ùine. Is e ana-cothrom eile san aithisg an dìth dath air na so-leòntachd a chaidh a lorg (a rèir cho cudromach sa tha iad), no co-dhiù gan roinn ann an roinnean. Is e an aon dòigh anns an tuig sinn gu neo-dhìreach cho cudromach sa tha an so-leòntachd a chaidh a lorg am paramadair a chleachdadh --dath rè sganadh, agus an uairsin bidh na so-leòntachd a lorgar air an dath ann an dathan eadar-dhealaichte:

Ach chan eil an aithisg fhèin a’ toirt seachad an leithid de dhath.

So-leòntachd

SQLi

Dhèilig an sganair gu ìre ri rannsachadh SQLi. Nuair a bhios tu a’ lorg so-leòntachd SQL air duilleagan far nach eil feum air dearbhadh, chan èirich duilgheadas sam bith:

Cha robh e comasach so-leòntachd a lorg air duilleagan ruigsinneach dìreach às deidh dearbhadh, eadhon a’ cleachdadh dligheach cookie, oir is coltaiche às deidh dearbhadh soirbheachail, thèid an seisean aca “logadh a-mach” agus cookie fàsaidh e neo-dhligheach. Nam biodh an gnìomh dì-ùghdarrachaidh air a chuir an gnìomh mar sgriobt air leth le uallach airson a’ mhodh-obrach seo a ghiullachd, bhiodh e comasach a chuir a-mach gu tur tron ​​​​-x paramadair, agus mar sin casg a chuir air bho bhith a’ piobrachadh. Rud eile, cha bhith e comasach a ghiullachd a thoirmeasg. Chan e duilgheadas a tha seo le modal sònraichte, ach leis an inneal gu h-iomlan, ach air sgàth an nuance seo, cha robh e comasach grunn in-stealladh a lorg ann an raon ghoireasan dùinte.

XSS

Dhèilig an sganair gu foirfe ris a’ ghnìomh a chaidh a thoirt seachad agus lorg e a h-uile so-leòntachd a chaidh ullachadh:

LFI/RFI

Lorg an sganair a h-uile so-leòntachd bunaiteach:

San fharsaingeachd, a dh’ aindeoin nithean ceàrr agus so-leòntachd a tha a dhìth, tha Wapiti, mar inneal an-asgaidh, a’ nochdadh toraidhean coileanaidh math. Ann an suidheachadh sam bith, is fhiach aithneachadh gu bheil an sganair gu math cumhachdach, sùbailte agus ioma-ghnìomhach, agus as cudromaiche, tha e an-asgaidh, agus mar sin tha còir aige a bhith air a chleachdadh gus rianadairean agus luchd-leasachaidh a chuideachadh gus fiosrachadh bunaiteach fhaighinn mu inbhe tèarainteachd lìn tagradh.

Fuirich fallain agus dìon!

Source: www.habr.com