رابعاً ::: البحث عن نقاط الضعف ...
بعد ذلك ننتقل الى مرحلة الفحص والبحث عن نقاط الضعف . ونبدأ باستغلال خدمات المشاركة ..
نشوف اذا كان السيرفر عامل مشاركة بالملفات أو لا ...
أولا في اعتقادي انه لا يوجد Web Server يقوم بتشغيل خدمات المشاركة بالملفات .. ولكن ماذا اذا كان الهدف شبكة بها أجهزة تشارك بالملفات!
في نظام ويندوز اكيد كلكم عارفين المشاركة بالملفات عن طريق البروتوكول netbois . اما في عالم يونيكس فهناك خدمتان لمشاركة الملفات وهما :
NIS : Network Information Ser vice
NFS : Network File System
تعتبر خدمة NIS بيئة عمل Server/Client والتي تسمح بمشاركة النظام والمعلومات الخاصة بحقوق دخول المستخدم عبر الشبكات التي تستخدم TCP\IP وهي خدمة خاصة بأنظمة يونيكس ولينيكس فقط
اما خدمة NFS فهي تسمح بمشاركة مساحة الهارديسك وامكانية المستخدمين بالاطلاع على الملفات في الاجهزة الاخرى المشاركة دون الحاجة الى نسخ هذه الملفات الى الجهاز المحلي ,
وخدمة NFS تعمل تقريبا على كل انظمة التشغيل .. وهي اللي تهمنا في الموضوع بتاعنا .
يستغل الهاكرز خدمة NFS ذات التكوين السيء او الغير مثبتة بطريقة صحيحة .. كيف ؟
احيانا يقوم مدير النظام بعمل مشاركة NFS وترك تصريح الملفات ( write ) , يعني تقدر تعدل على الملفات . اما المدير المصحصح يضع تصريح Read-only لجميع الملفات المشاركة
يمكنك استخدام امر Showmountلرؤية أنظمة الملفات المتاحة على اي سيرفر مشغل NFS كالتالي :
[root@Net-Spider root]# showmount -e hostname
هاتطلعلك نتيجة مشابهه للنتيجة دي :
Export list of hostname
/home (everyone)
/var (everyone)
وده معناه ان السيرفر مشارك بالادلة home/و var/لجميع الاشخاص .. اي لاتوجد صلاحيات .. ومن هنا نستطيع التسلل الى السيرفر .
ننتقل الان الى عملية المسح او Scan على السيرفر , وهي عملية حساسة ومهمة في جمع المعلومات
لكن فيه مفاهيم اساسية ومهمة لازم تكون عارفها قبل مسح السيرفر او الشبكة وهي مفاهيم في بروتوكول الاتصال TCP المستخدم في معظم ماسحات اتصالات TCP .
اتصالات TCPتعتمد على حاجه اسمها المصافحة الثلاثية .. وكمثال على المصافحة الثلاثية للـ TCP فسأفترض اني اقوم بالاتصال بخدمة FTP التي تعمل على 21 TCP على احد السيرفرات .. هايحصل السيناريو ده :
القسم SYN : وهو القسم الاول في المصافحة حيث يقوم جهازي بأرسال اشارة الى السيرفر تسمى SYN تحتوي على البورت المصدر والوجهه
القسم SYN-ACK : وده هو الرد اللي بعتهولي السيرفر , يعني قبل الاتصال
القسم ACK : دي الاشارة اللي جهازي بيبعتها للسيرفر بيقولو ان SYN-ACK وصلتني واني جاهز للبدء في الجلسة وهي تعتبر اخر قسم في المصافحة الثلاثية
بعد ماخلصت النقل وعاوز انهي الاتصال هايحصل التالي :
جهازي سيقوم بأرسال FIN للسيرفر .. وده معناه طلب انهاء الجلسة
السيرفر اول مايستقبل FIN سيقوم بالرد عليها عن طريق ارسال ACK الى جهازي كما يتبعها بأرسال FIN الى جهازي ايضا
وفي النهاية يقوم جهازي بأرسال ACK وتنتهي الجلسة
ملاحظة : في اي وقت اثناء الجلسة اذا ارسل احد الجهازين RSTفسينتهي الاتصال فورا دون تكملة الاجراءات المفترضة
خلو بالكم من المصطلحات اللي فوق دي لانها مهمة
نبدء بمسح السيرفر عن طريق أداة Nmap
لو كنت شغال على لينيكس فأن معظم توزيعات لينيكس تأتي مدمج معها Nmap اما اذا كنت شغال على انظمة FreeBSD أو الويندوز فلازم تنزل الاداة من موقع www.insecure.org ثم تثبيتها في نظامك. نبدء بفحص السيرفر باستخدام Nmap , الفحص الاساسي والطبيعي للاداة يكون عبارة عن اتصال connect يعتمد على اتمام المصافحة الثلاثية .. وصيغته كالتالي :
( التطبيق علي نظام اللينكس , وبإمكانك استخدام الأداة بنفس الطريقة علي الويندوز عن طريق الـ Dos )
كود:
[root@Net-Spider root]# nmap -sT hostname
مع استبدال hostnameبعنوان السيرفر.
طبعا بما انك استخدمت المصافحة الثلاثية في فحص السيرفر .. فكأنك عملت اتصال كامل به وبالتالي سيتم تسجيل هذا الاتصال في سجلات النظام او ملفات logs .. ودي طبعا حاجه مش كويسة للهاكرز ... لانه سيتم تسجيل الاتصال ومصدر الاتصال والوقت
اذا هانجرب نوع اخر من المسح وهو مسح SYN الغير مهذب , لانه لايرسل اخر رزمة ACK لاكمال التصافح . في هذا المسح سترسل اداة nmap رزمة SYN لبدء المصافحة .. ثم يقوم السيرفر بالرد SYN-ACK , اذا الاداة nmapعرفت ان البورت مفتوح ويقبل الاتصال .. فهاترسل RST بدلا من اكمال المصافحة الثلاثية الطبيعية وبالتالي لن يتم تسجيل الاتصال في ملفات النظام لان الاتصال لم يتم , والمصافحة الثلاثية لم تكتمل . ويطلق على هذا النوع من المسح ( نصف المفتوح )
ومسح SYN يتم بالصيغة التالية :
كود:
[root@Net-Spider root]# nmap -sS hostname
لكن ماذا سيحدث اذا كان هناك Firewall او IDS على السيرفر او الشبكة .. اكيد هاتحصل مشاكل
فنظام IDS سيقوم بتسجيل اي محاولة اتصال بالسيرفر حتى اذا لم يتم اكمال المصافحة الثلاثية .. اي انه مسح SYN مش هاينفع معاه , واذا كان هناك فايروول جيد على السيرفر فيمكنه رمي النتائج .. لان هناك فايروولز لا تستجيب لباكيت ICMP وتلقي بها ولا ترد عليها وبالتالي العملية هاتخرب...
اذا لازم ندور على نوع اخر من المسح لا يؤثر عليه الفايروول . الاداة nmap وفرتلنا نوع مسح اسمه FIN .. وزي مانا شرحت فوق ان رزمة FIN تستتخدم في طلب انهاء الاتصال , لكن ايه اللي ممكن يحصل لو بعتنا باكيت FIN للهدف قبل ان يتم الاتصال من الاساس ؟! .. فكر كده قبل ماتعرف ايه اللي هايحصل!!!
اللي هايحصل هو كالتالي : البورتات المفتوحه عندما تصلها FIN فستتجاهلها تماما ولن تقوم بالرد .. اما البورتات المغلقة فستقوم بالرد بارسال رزمة RST ايضا .. نستنتج من الموضوع ده انه البورتات اللي ترد على مسح FIN فهي بورتات مغلقة , اما البورتات التي لا ترد على المسح فهي بورتات مفتوحه وتعمل عليها خدمات Deamon وبالتالي اكمل مشواري .
وصيغة مسح FIN كالتالي :
كود:
[root@Net-Spider root]# nmap -sF hostname
كما يوجد نوعان اخران من المسح مصممين لاختراق الـ Firewalls وهما : مسح Xmas ومسح NULL
مسح Xmas .. و يتم بالصيغة التالية :
كود:
[root@Net-Spider root]# nmap -sX hostname
اما مسح NULL فيتم كالاتي :
كود:
[root@Net-Spider root]# nmap -sN hostname
اداة nmapتقوم بأرسال ping الى الهدف قبل البدء في فحصه .. لانه سيكون مضيعة للوقت اذا قامت اداة nmapبعمل فحص لهدف غير موجود .. ولكن ماذا ان كان يوجد على الهدف فايروول يقوم بمنع وصول باكيت ICMP المستخدمة في عملية Ping ؟ بل وهناك فايروولز يقوم بعمل ban على IP المرسل على اساس انه هجوم ping Flood .. في هذه الحالة اذا كنت متأكدا من عنوان الهدف وانه نشط فقم بأرغام namp على منع ارسال pingقبل الفحص .. انما الخوض في عملية الفحص مباشرة عن طريقة الصيغة التالية :
كود:
[root@Net-Spider root]# nmap -Po hostname
ناخد مثال عن عملية فحص كاملة باستخدام nmap على أحد السيرفرات :
كود:
[root@Net-Spider root]# nmap -sS -O -v www.kw10.net Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host (64.191.4.9) appears to be up ... good.
Initiating SYN Stealth Scan against (64.191.4.9)
The SYN Stealth Scan took 29 seconds to scan 1601 ports.
For OSScan assuming that port 1 is open and port 2 is closed and neither are
firewalled
Interesting ports on (64.191.4.9):
(The 1581 ports scanned but not shown below are in state: closed)
Port State Service
1/tcp open tcpmux
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
111/tcp open sunrpc
119/tcp open nntp
135/tcp filtered loc-srv
143/tcp open imap2
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
593/tcp filtered http-rpc-epmap
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
4444/tcp filtered krb524
6666/tcp open irc-serv
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 13.889 days (since Tue Sep 23 18:23:34 2003)
TCP Sequence Prediction: Class=random positive increments
Difficulty=4293832 (Good luck!)
IPID Sequence Generation: All zeros
Nmap run completed -- 1 IP address (1 host up) scanned in 35 seconds
زي ماشفتو في المثال .. قمت باستخدام SYN Scan في فحص السيرفر كما قمت بأمر nmap ان تقوم بالتهكن بنظام تشغيل الموقع عن طريق الاختيار ( -O ) . وكان رد nmap ان نظام التشغيل هو Linux ونسخة الكيرنل هي : Kernel 2.4.0 - 2.5.20 . طبعا من الوهلة الاولى اكيد استنتجت ان الهدف هو webServer ويقوم بتشغيل FTP وزي مانتو عارفين ان فيه ثغرات لبرامج FTBD كتيرة ولكن علينا نعرف ايه نوع ftpd اللي على السيرفر , ونلاحظ ايضا وجود SSH بالاضافة الى smtp . واكيد كلكم عارفين استغلال نقطة الضعف في بروتوكول smtp لارسال ايميلات مزيفة يمكنها ان تسبب كوارث .. نشوف كده مع بعض :
كود:
[root@Net-Spider root]# telnet kw10.net 25
Trying 64.191.4.9...
Connected to kw10.net.
Escape character is '^]'.
220-server.kw10.net ESMTP Exim 4.20 #1 Tue, 07 Oct 2003 08:47:58 -0400
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
helo
250 server.kw10.net Hello [62.139.150.45]
mail from:
[email protected]
250 OK
rcpt to:
[email protected]
250 Accepted
data
354 Enter message, ending with "." on a line by itself
from: ev1servers
subject: important
we will close your server deu of some problems comming from it
support
.
550 Administrative prohibition
quit
221 server.kw10.net closing connection
Connection closed by foreign host.
في المثال السابق قمت بالاتصال على سيرفر kw10.net عن طريق البورت 25 الخاص بخدمة smtp , ثم قمت بأرسال ايميل الى [email protected] بعنوان "important" وايميل المرسل هو [email protected] اللي هو ايميل الدعم الخاص بالشركة المستضيفة للسيرفر kw10.net.. طبعا ده اسمه تزوير .. والايميل هايوصل كالتالي : -----------------------------------------------------------------------------
From : [email protected]
To : [email protected]
Subject : important
we will close your server deu of some problems comming from it
support
-----------------------------------------------------------------------------
وطبعا انت تقدر تستغل الموضوع ده . تخيل مثلا انك قمت بأرسال Mail الى احد عملاء kw10.net المغفلين وزيفت ميلك الى ايميل الادمين .. وتقولو في الرساله مثلا : غير باسورد موقعك الى الباسورد : pass123 علشان الدعم الفني هايعمل فحص سريع على موقعك ... الخ . وطبعا الاخ لما يشوف ان الايميل صادر من الادمين فمش هايشك فيك , وانت واسلوبك ومعلوماتك عن طريقة تعامل العملاء مع المستضيفين , وده يقع تحت بند Soocial Engnering او الهندسة الاجتماعية .
بعد كده ندخل في مرحلة التقاط البانرات وهي تعتبر اهم شيء في جمع المعلومات لان عن طريقها هانعرف ايه انواع البرامج العاملة على البورتات واصدارتها ان امكن .. وتستطيع التقاط البانرات عن طريق الاتصال على البورتات التي تم فحصها بـ nmap .. ولكن انا أفضل استخدام netcatلانها اسرع وتسهل عليك.
( الأوامر التالية ... علي اللينكس فقط ,,, وممكن تطبق على الويندوز بس لازم يكون عندك أكاونت شل Account Shell ) ...
وسأقوم بشرح استخدام أداة الـ Netcat على الويندوز لاحقاً...
أولاً ::: قم بتحميل الاداة :
كود:
[root@Net-Spider root]# wget http://www.vulnwatch.org/netcat/nc110.tgz
ثم قم بعمل install للاداة في نظامك . اولا تأكد انك موجود في الديركتوري ( المجلد ) الموجود به الاداة , ثم قم بتنفيذ الاوامر التالية :
كود:
[root@Net-Spider root]# mkdir nc
[root@Net-Spider root]# cd nc
[root@Net-Spider root]# tar zxf ../nc10.tgz
اداة netcatتعتبر سيدة الأداوت الأمنية , ولها عشرات الاستخدامات ( يمكنك مراجعة ملف readme الخاص بها ) ولكننا هنا سنستخدم أحد وظائفها فقط...
وبما أننا سنستخدم الاداة في التقاط البانرات الموجوده على البورتات .. فيلزم ان نقوم بتعديل بسيط في ملف makefileالخاص بالاداة.
( هذا التعديل في نظام لينكس فقط )
افتح ملف makefile على اي محرر للنصوص في يونيكس ( يفضلvi ) , ثم قم بالبحث عن هذا السطر :
# DFLAGS = -DTEST -DDEBUG
وقم بأضافة السطر التالي تحته مباشرة
DFLAGS = -DGAPING_SECURITY_HOLE -DTELNET
بعد كده تبدأ عملية التصريف .. وتتم بالامر التالي .. مع ملاحظة تغيير SystemType الى نوع نظام تشغيلك
كود:
[root@Net-Spider root]# make Systemtype
يعني لو كنت شغال مثلا على FreeBSD فالامر هايكون كالتالي :
كود:
[root@Net-Spider root]# make FreeBSD
اذا كنت شغال على لينيكس وعملت أمر التصريف .. أحيانا تلاقي الرد ده :
كود:
[root@Net-Spider nc]# make linux
make -e nc XFLAGS='-DLINUX' STATIC=-static
make[1]: Entering directory `/root/nc'
cc -O -s -DLINUX -static -o nc netcat.c
/tmp/cccl3GGy.o(.text+0x14f5): In function `main':
: undefined reference to `res_init'
collect2: ld returned 1 exit status
make[1]: *** [nc] Error 1
make[1]: Leaving directory `/root/nc'
make: *** [linux] Error 2
ولحل المشكلة دي , قم بفتح ملف netcat.c عن طريق اي محرر نصوص .. ثم قم بإضافة السطر التالي الى الملف
# include "resolv.h"
بعد كده احفظ التغيرات واقفل الملف , وشغل أمر التصريف من تاني وهو هايمشي معاك مظبوط بدون مشاكل :
كود:
[root@Net-Spider nc]# make linux
make -e nc XFLAGS='-DLINUX' STATIC=-static
make[1]: Entering directory `/root/nc'
cc -O -s -DLINUX -static -o nc netcat.c
make[1]: Leaving directory `/root/nc'
بعد ماتعمل امر التصريف .. سيتم انشاء ملف ثنائي صغير في المجلد بأسم nc , وهو ده اللي بنستخدمه .
زي ماقلنا فوق ان اداة netcatلها عشرات الاستخدامات .. خصوصا اذا كانت النسخة متوافقة مع يونيكس لانها ستعطيك إمكانيات أكبر .. فيمكن استخدامها كـ باكدور او لفحص المنافذ او عمليات الـ Spoofing او الاتصال بخدمات UDP .. ونحن هنا سنتناول احد استعمالات هذه الأداة وهو رفع بصمات المنافذ ومعرفة الخدمات العاملة عليها .
وهي تتم عن طريق الاختيار ( -v ) بالإضافة الى أرقام المنافذ المراد فحصها .. كالتالي :
كود:
[root@Net-Spider nc]# ./nc -v kw10.net 21 22 80 25 110 143
Warning: inverse host lookup failed for 64.191.4.9: Unknown host
kw10.net [64.191.4.9] 21 (ftp) open
220-This computer system is for authorized users only. Individuals using this
system without authority or in excess of their authority are subject to
having all their activities on this system monitored and recorded or
examined by any authorized person, including law enforcement, as system
personnel deem appropriate. In the course of monitoring individuals
improperly using the system or in the course of system maintenance, the
activities of authorized users may also be monitored and recorded. Any
material so recorded may be disclosed as appropriate. Anyone using this
system consents to these terms.
220 ProFTPD 1.2.8 Server (ProFTPD) [server.kw10.net]
quit
221 Goodbye.
kw10.net [64.191.4.9] 22 (ssh) open
SSH-1.99-OpenSSH_3.1p1
Protocol mismatch.
kw10.net [64.191.4.9] 80 (http) open
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>501 Method Not Implemented</TITLE>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
quit to /index.htm not supported.<P>
Invalid method in request quit<P>
<HR>
<ADDRESS>Apache/1.3.28 Server at www.6rb.net Port 80</ADDRESS>
</BODY></HTML>
kw10.net [64.191.4.9] 25 (smtp) open
220-server.kw10.net ESMTP Exim 4.20 #1 Tue, 07 Oct 2003 09:12:00 -0400
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
221 server.kw10.net closing connection
kw10.net [64.191.4.9] 110 (pop3) open
+OK POP3 [cppop 5.4] at [64.191.4.9]
+OK Bye!
kw10.net [64.191.4.9] 143 (imap) open
* OK [CAPABILITY IMAP4REV1 LOGIN-REFERRALS AUTH=LOGIN] server.kw10.net
* IMAP4rev1 2002.325-cpanel at Tue, 7 Oct 2003 09:12:01 -0400 (EDT)
في المثال السابق قمت بفحص الخدمات الخاصة بأرقام المنافذ : 21 - 22 - 80 - 25 - 110 - 143 العاملة على سيرفر kw10.net .. واستنتجت الاتي :
اول استنتاج هو ان السيرفر يقوم بتشغيل Cpanel .. ودي عرفتها من الرسالة الطويلة اللي في الاول , وعرفت نوع ftpd واصدراتها وهي ProFTPD 1.2.8 , واخبرتنا الأداة nc عن اصدارة SSH وهي SSH-1.99-OpenSSH_3.1p1 , وعرفت نوع السيرفر وهو Apache/1.3.28 بالإضافة إلى معلومات عن smtp و POP3 مهمة...
وبالنسبة لاستخدام أداة الـ Netcat على الـ Windows ... كــالآتـي :::
قم بتنزيل الأداة على جهازك ( من هنا ) وقم بنسخ الأداة وملفاتها فى مجلد الـ System32 الموجود داخل مجلد الـ Windows ...
وقم بالضغط علي قائمة Start ثم Run ثم اكتب cmd ثم اكتب nc ثم قم بتنفيذ أوامر أداة الـ Netcat كالآتــــي:::
nc -v Sitename.com 21 22 80 25 110 143
مع استبدال Sitename باسم الموقع المراد ... + إضافة أرقام المنافذ ....
,,,
على فكرة ممكن تقوم بالتقاط بانرات الخدمات عن طريق الاتصال عليها بالتلنت كالتالي :
كود:
[root@Net-Spider nc]# telnet kw10.net 80
Trying 64.191.4.9...
Connected to kw10.net.
Escape character is '^]'.
get \ http
HTTP/1.1 400 Bad Request
Date: Tue, 07 Oct 2003 13:13:16 GMT
Server: Apache/1.3.28 (Unix) mod_auth_passthrough/1.6 mod_log_bytes/1.2
mod_bwlimited/1.0 PHP/4.3.2 FrontPage/5.0.2.2634 mod_ssl/2.8.15 OpenSSL/0.9.6b
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>400 Bad Request</TITLE>
</HEAD><BODY>
<H1>Bad Request</H1>
Your browser sent a request that this server could not understand.<P>
The request line contained invalid characters following the protocol
string.<P>
<P>
<HR>
<ADDRESS>Apache/1.3.28 Server at www.6rb.net Port 80</ADDRESS>
</BODY></HTML>
Connection closed by foreign host.
...................
.........