Аудит безопасности. Изучаем жертву.Часть 1
Итак, Kali Linux установлен. Руки выпрямлены. Знания получены. Приступаем.
Рассмотрим главный вопрос, а что атаковать?
Если вы прислушались к предыдущей статье и изучили как и что работает хотя бы на поверхностном уровне, то далее вы можете не читать.
Как выглядит веб-сервер?
Веб-сервер, он же, в простонародье - сайт, выглядит точно так же, как и ваш ПК, если таковой имеется. Веб-сервер хранится на ПК, в котором стоят специальные комплектующие для сервера.
Если вы покупаете хостинг для вашего сайта,то он будет размещен на одной части физического сервера, который поделен на какое-то количество виртуальных инстансов, богатые люди берут не виртуальные, а арендуют целый физический сервер.
Как это все работает?
Каждый сервер провайдера имеет белый (статический) IP адрес, который будет доступен в интернете с любой точки мира, он не меняется, именно поэтому мы может получить доступ к сайту, находящемуся в Африке.
При желании, вы можете подключить статический IP у своего провайдера, для размещения своего веб-сервера/сервера.
Соответственно, чтобы доступ к сайту был 24/7, сервер должен работать (быть включенным и подключенным к интернету) все это время. Без перерывов и выходных.
Для того, чтобы понять вектор атаки, нам необходимо собрать максимальное количество информации об атакуемом сервере.
Какая информация нам необходима?
Основное, что дает нам большое пространство для различного рода брутфорса(перебора) - это IP-адрес сервера.
1. Отправить любой запрос на домен сайта (домен - название сайта, пример: google.com).
При переходе на страницу сайта, всегда отправляется GET запрос, для того, чтобы получить HTML код страницы, обработать ее в браузере и показать нам.
Чтобы отслеживать запросы, отправляемые на сервер, жмем F12, я использую Google Chrome, в других браузерах может быть другая кнопка. Нам нужна вкладка Сеть (Network).
Порядок действий:
- Открываем сайт (для примера буду использовать сайт - utechka.com)
- Нажимаем F12, переходим во вкладку Сеть
- Обновляем страницу
Сразу появилось много непонятных вещей. Давайте по порядку.
Cиним отмечены страницы, имеющие HTML код. Проще говоря: то, что вы видите на данной странице.
Желтым отмечены внешние скрипты, подключаемые к этой странице.
Фиолетовым отмечены файлы таблиц стиля (CSS). Они нужны для дизайна страницы.
Остальное все картинки.
Нажимаем на синий значок и получаем примерно такой раздел:
Во вкладке Заголовки всегда пишется IP-адрес, но вот не задача, он скрыт от нас, так как на сайте присутствует защита CloudFlare. Этот механизм фильтрует трафик через себя, для защиты от DDOS атак. Рассмотрим, что означают эти вкладки и перейдем к следующему способу.
Заголовки (Headers) - информация, отправляемая на сервер и с сервера, хранящая в себе такие данные, как User-Agent, кодировка, локализация и многое другое.
Полезная нагрузка (Payload) - данные, переданные с помощью какого-либо запроса (GET/POST/PUT и тд). Они обрабатываются на стороне бекенда.
Предварительный просмотр/Ответ - в одной мы получаем уже сформированный HTML код, преобразованный в веб-страницу, в другой мы просто получаем код этой страницы, на языке HTML.
Файлы Cookie - здесь хранится информация о нашем посещении этого сайта, обьяснять очень долго, лучше изучите в интернете.
2. Следующий способ получить IP-адрес
Мы будем использовать сторонний сервис. Я знаю только о двух таких сервисах:
Эти сервисы архивируют устройства/сайты/IP-Адреса.
Воспользуемся сервисом Censys.io. Переходим по ссылке https://search.censys.io/
И ищем utechka.com
Тадам, получаем искомый IP-Адрес
Теперь проверим, верный ли IP-адрес
В списке открытых портов мы видим:
22 - порт для сервиса ssh
80 - порт для HTTP запросов (незащищенное соединение)
443 - порт для HTTPS запросов (защищенное соединение)
8091 - нестандартный порт, указано, что используется для HTTP
Есть 2 типа трафика: HTTP и HTTPS. Об этом почитайте отдельно, сами.
Для проверки, используем такой формат: IP : PORT
В браузере переходим по 5.61.52.74:80 и нас перенаправляет на нужную нам страницу. IP-адрес верный.
Теперь проблема в том, что если мы попытаемся сканировать директории сайта через адрес 5.61.52.74:80, то нас будет перебрасывать на домен, где присутствует защита, и после нескольких запросов, нас заблокирует.
Мое внимание привлек тот самый нестандартный порт 8091. Переходим по адресу: 5.61.52.74:8091 и получаем отличный результат. Веб-страница загрузилась не из домена, а напрямую, из IP-адреса. Здесь защита не работает и мы можем спокойно сканировать директории, но об этом позже.
Для получения дополнительной информации советую использовать расширение wappalyzer
Сегодня мы научились находить базовую информацию про атакуемую цель.
Это далеко не все, в следующей части мы получим другую информацию, и попытаемся изучить цель чуть глубже.