Глава 48. Аудит безопасности Linux
Как много уязвимостей и эксплойтов Linux было открытов за последние 6 месяцев?
Много. Недавние Shellshock, Heartbleed, Poodle, Ghost и, может быть, это ещё далеко не конец. В какой-то момент я перестал чувствовать себя в безопасности с моим Linux, ведь подверженными оказались базовые пакеты. Что дальше? Мой openVPN больше не безопасен? Мои ключи сессии SSH уязвимы? Я решил сделать аудит безопасности моей системы Linux. После настройки внешнего файервола, я вдруг понял, что это просто слишком большая задача для меня, если выполнять её вручную. Вот тогда я и обнаружил Lynis. Lynis — это инструмент аудита безопасности с открытым исходным кодом. Он достаточно хорошо документирован и сделал быстро многие вещи, на которые бы у меня ушла уйма времени.
На протяжении всего теста я использовал бесплатную версию Lynis.
Как работает аудит безопасности Linux?
Lynis выполняет сотни индивидуальных тестов для определения состояния безопасности системы. Многие из этих тестов являются частью общих руководящих принципов безопасности и стандартов. Примеры включают в себя поиск установленного программного обеспечения и определение возможных недостатков конфигурации. Lynis идёт дальше и делает также тест индивидуальных компонентов программного обеспечения, проверяет связанные конфигурационные файлы и измеряет производительности. После этих тестов, будет отображён отчёт по сканированию с вскрытыми находками.
Обычное использование Lynis:
1.
Аудит безопасности
2.
Сканирование на уязвимости
3.
Усиление системы
Установка
Вы можете установить Lynis из репозитория (например, используя yum или apt-get), но я обнаружил, что там не самая последняя версия Lynis. Лучше загрузите её в локальную директорию и запустите её оттуда.
По материалам сайта WebWare.biz
287
Тестирование на проникновение с помощью Kali Linux 2.0
Lynis с установкой — пакет
Хотя установка не требуется, обычным методом использования Lynis является установка её с помощью пакета. Он может быть из репозитория операционной системы или сделанным вручную. Пожалуйста, обратите внимание, в погоне за стабильностью некоторые репозитории не обновляют программное обеспечение после релиза, за исключением обновлений безопасности. Это может стать результатом использования очень старой версии Lynis, что не является предпочтительным.
Основанные на Red Hat: $ sudo yum install lynis
Основанные на Debian: $ sudo apt-get install lynis
Но, пожалуйста, не используйте этот способ. Это бесполезный запуск старого пакета!
Зачем вообще тогда проводить аудит безопасности?
Lynis без установки — портативная версия
Пойдя этим путём, вы получите самый свежий пакет.
Создайте директорию (например /usr/local/lynis)
Lynis может быть запущен из любой директории (или со съёмного носителя).
1| mial@mial-VirtualBox $ sudo -s
2|
[sudo] password for mial:
3| mial-VirtualBox # mkdir /usr/local/lynis
4| mial-VirtualBox # cd /usr/local/lynis/
5| mial-VirtualBox lynis #
Загружаем архив Lynis
Идём в секцию загрузок и копируем ссылку на тарболл (архив) Lynis (текущая версия lynis-1.6.4.tar.gz). Используйте эту ссылку вместе с wget (обычно уже установлен по умолчанию). Пользователи Mac OS могут использовать инструмент curl, тогда как BSD пользователи могут использовать fetch.
1| mial-VirtualBox lynis # wget https://cisofy.com/files/lynis-1.6.4.tar.gz
По материалам сайта WebWare.biz
288
Тестирование на проникновение с помощью Kali Linux 2.0
2|
--2015-02-15 12:55:25-- https://cisofy.com/files/lynis-1.6.4.tar.gz
3|
Распознаётся cisofy.com (cisofy.com)… 149.210.134.182 4|
Подключение к cisofy.com (cisofy.com)|149.210.134.182|:443... соединение установлено.
5|
HTTP-запрос отправлен. Ожидание ответа... 200 OK
6|
Длина: 171953 (168K) [application/octet-stream]
7|
Сохранение в: «lynis-1.6.4.tar.gz»
8|
9|
100%[======================================>] 171,953 168KB/s за 1.0s
10|
11|
2015-02-15 12:55:29 (168 KB/s) - «lynis-1.6.4.tar.gz» сохранён [171953/171953]
12|
13| mial-VirtualBox lynis # sha256sum lynis-1.6.4.tar.gz
14|
886c74b591706f896149fe74adb481b58c549d32243d0cf620b46dfdd25dc66d lynis-
1.6.4.tar.gz
15| mial-VirtualBox lynis #
После скачивания, протестируйте файл, чтобы подтвердить его целостность загрузки.
Связанные хэши SHA1, SHA256 присутствуют также на официальном сайте. В зависимости от вашей ОС, это может быть выполнено в командной строке с sha1, sha1sum, sha256sum или с openssl.
1| mial-VirtualBox lynis # sha1sum lynis-1.6.4.tar.gz
2| mial-VirtualBox lynis # sha1 lynis-1.6.4.tar.gz
По материалам сайта WebWare.biz
289
Тестирование на проникновение с помощью Kali Linux 2.03| mial-VirtualBox lynis # openssl sha1 lynis-1.6.4.tar.gz
Отображаемый в результате хэш должен быть в точности таким же, как на веб-сайте.
Если не так, загрузите программу на другую машину или через браузер, для подтверждения, что загрузка не повреждена.
Распаковка архива Теперь распакуйте архив и перейдите в каталог lynis:
1| mial-VirtualBox lynis # tar zxvf lynis-1.6.4.tar.gz
2| mial-VirtualBox lynis # cd lynis/
Меню помощи Lynis Lynis поставляется со своим собственным меню помощи, которое показывает некоторые базовые опции и как выполнить простейшие действия:
1| mial-VirtualBox lynis # ./lynis --help
2|
3|
[ Lynis 1.6.4 ]
4|
5|
##########################################################################
6|
Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under the terms of the GNU General Public License.
See the LICENSE file for details about using this software.
7|
8|
Copyright 2007-2014 - CISOfy & Michael Boelen, https://cisofy.com
Enterprise support and plugins available via CISOfy - https://cisofy.com
9|
##########################################################################
10|
11|
[+] Initializing program
12|
------------------------------------
13|
Scan options:
14|
--auditor "<name>" : Auditor name
15|
--check-all (-c) : Check system
16|
--no-log : Don't create a log file
17|
--pentest : Non-privileged scan (useful for pentest)
18|
--profile <profile> : Scan the system with the given profile file
По материалам сайта WebWare.biz
290
Тестирование на проникновение с помощью Kali Linux 2.019|
--quick (-Q) : Quick mode, don't wait for user input
20|
--tests "<tests>" : Run only tests defined by <tests>
21|
--tests-category "<category>" : Run only tests defined by <category>
22|
23|
Layout options:
24|
--no-colors : Don't use colors in output
25|
--quiet (-q) : No output, except warnings
26|
--reverse-colors : Optimize color display for light backgrounds
27|
28|
Misc options:
29|
--check-update : Check for updates
30|
--debug : Debug logging to screen
31|
--view-manpage (--man) : View man page
32|
--version (-V) : Display version number and quit
33|
34|
Enterprise options:
35|
--plugin-dir "<path>" : Define path of available plugins
36|
--upload : Upload data to central node
37|
38|
See man page and documentation for all available options.
Запуск LynisЯ сделал быстрый тест на моей Linux Mint с использованием Lynis.
1|
./lynis --auditor "MiAl" -c -Q
По материалам сайта WebWare.biz
291
Тестирование на проникновение с помощью Kali Linux 2.0
Если у кого-то «затык» при проверки PHP:
[+] Software: PHP
————————————
— Checking PHP [ NOT FOUND ]
— Checking PHP disabled functions [ NONE ]
То отредактируйте файл include/tests_php — сделайте инклуд файла php.ini.
Вы можете использовать различные команды:
1| mial-VirtualBox lynis # ./lynis -c
(или)
1| mial-VirtualBox lynis # ./lynis --auditor "WebWare.biz" -c -Q
(или)
1| mial-VirtualBox lynis # ./lynis --auditor "WebWare.biz" -c -Q -q
(или)
1| mial-VirtualBox lynis # ./lynis --auditor "WebWare.biz" -c -q -Q --pentest
(или подобные)
Изучение отчёта Lynis
Lynis сохраняет свои отчёты в /var/log/lynis.log. Быстрое сканирование Lynis не выявило уязвимостей вроде Shellshock или тому подобных. Но, тем не менее, программа выдала несколько предупреждений и множество советов как усилить систему.
Особенно меня обрадовали советы по укреплению веб-сервера и почтового сервера — т. е. Lynis и их.
Отчёт сохраняется в файле /var/log/lynis.log в нём можно найти дополнительные детали.
Хорошее
То, что мне понравилось в Lynis (версия с открытым кодом):
Для бесплатного инструмента, Lynis обеспечивает хорошее тестирование.
Отчёты просты для понимания.
Она использует GPLv3 — спасибо.
Пользователи могут писать собственные плагины для использования с ней.
Присутствует не просто анализ системы, а также тестирование установленного софта. Особенно интересно было читать рекомендации по укреплению веб- сервера и почтового сервера.
Возможные улучшения
Хотелось бы, чтобы в следующее обновление добавили:
Добротный HTML отчёт (с раскрывающимися секциями).
Тест на целостность файловой системы и пакетов.
Добавление ссылок на CVE статьи — очень бы пригодилось с HTML отчётом.
По материалам сайта WebWare.biz
292
Тестирование на проникновение с помощью Kali Linux 2.0
Высокоуровневый обзор для высшего управления.
SQLi тесты и предложения для базы данных серверов.
Подробнее о вероятных решениях/предложениях.
Пропуск теста, когда файлы config/include имеют некорректный путь.
Заключение
В целом, я думаю это хороший инструмент, который нужно иметь хотя бы для автоматизации большого количества тестов. Всё можно улучшить, и Lynis не исключение. Любой сервер, будь то Linux, Windows или Unix требует регулярного аудита. Хотя нет спасения от уязвимости нулевого дня, но с регулярным аудитом вы сможете сохранить ваши ценные ресурсы. Lynis — это хороший инструмент, но вам следует использовать более чем один инструмент хотя бы потому, что различные поставщики (или разработчики софта) имеют различный взгляд на безопасность. А нам важно обеспечить безопасность сервера с высоким аптаймом и надёжно защищёнными данными.
Инструмент: Lynis
Страница проекта: https://cisofy.com/lynis/
Использование: Бесплатно
Лицензия: GPLv3
Загрузка https://cisofy.com/downloads/
Итак, делайте аудит своей системы и исправьте все оставшиеся проблемы, которые, по вашему мнению, могут затронуть вас.
Глава 49. Установка Linux Malware Detect (LMD) на Linux
Вся инструкция применима, пожалуй, к любому дистрибутиву Linux, по крайней
мере, проверялось и точно работает на RHEL, CentOS, Fedora, Debian, Ubuntu, Mint.
В своей более ранней статье я объяснял, как вы можете защитить сервер Apache от вредоносных и DOS атак, используя mod_security и mod_evasive. Теперь я хочу поднять тему выявления вредоносного кода с использованием LMD (Linux Malware Detect).
Что такое Malware?
Malware (мэлвэром) называют вредоносные программы, скрипты или код, которые создаются и используются хакерами для получения информации из частных данных или получения доступа к любой частной компьютерной системе. Мэлвэа (malware) может быть троянами, вирусами, шпионскими программами, рекламными модулями, руткитами или любыми вредоносными программами, которые могут быть очень пагубными для пользователей компьютера.
Что такое Linux Malware Detect (LMD)?
Linux Malware Detect (LMD) — это бесплатный, с открытым исходным кодом сканер вредоносных программ для основанных на Unix/Linux операционных систем, выпущенный под лицензией GNU GPLv2. Он создан для выявления угроз, которые могут возникнуть в условиях хостинга. К примеру, проникнув на ваш сервер, хакер
По материалам сайта WebWare.biz
293
Тестирование на проникновение с помощью Kali Linux 2.0оставит на нём программу, позволяющую ему подключаться к вашему серверу, контролировать его,
менять настройки, скачивать/закачивать/модифицировать файлы и базы данных. Именно для обнаружения подобных вредоносных программ и предназначен Linux Malware Detect. Для более подробной информации посетите официальный сайт https://www.rfxn.com/projects/linux-malware-detect/.
Установка Linux Malware Detect (LMD) в RHEL, CentOS, Fedora, Debian, Ubuntu, Mint. Шаг 1: Загрузка Linux Malware Detect (LMD) Загружаем последнюю версию пакета LMD, используя следующую команду wget.
1| cd /tmp
2| wget https://www.rfxn.com/downloads/maldetect-current.tar.gz
Шаг 2: Установка LMD Установка и настройка LMD — это предельно простая задача, просто выполните следующие шаги как рут пользователь.
1| tar xfz maldetect-current.tar.gz
2| cd maldetect-*
3|
./install.sh
Внимание, на Debian, Ubuntu, Mint (и всем подобным, кто использует sudo) нужно вместо команды:
1|
./install.sh
Выполнить:
1| sudo ./install.sh
Всё остальное идентично, поскольку не требует рут-прав.
Образец вывода:
По материалам сайта WebWare.biz
294
Тестирование на проникновение с помощью Kali Linux 2.0
Шаг 3: Настройка LMD
По умолчанию, все опции в файле конфигурационном файле полностью закомментированы, следовательно, настройте его под ваши нужды. Но перед тем, как делать какие-либо изменения, ниже давайте кратко ознакомимся с каждой опцией.
email_alert : Если вы хотите получать предупреждения по почте, тогда установите на 1.
email_subj : Задайте здесь тему письма.
email_addr : Здесь добавьте ваш адрес электронной почты для получения уведомлений о найденных вредоносных программах.
quar_hits : Помещать ли в карантин зловредные программы, следует установить на 1.
quar_clean : Очищать ли выявленные вредоносные программы, нужно установить 1.
quar_susp : Приостановить ли аккаунт пользователей, у которых обнаружено вредоносная программа, установите по вашим нуждам.
quar_susp_minuid : Минимальный userid который может быть приостановлен.
Откройте файл /usr/local/maldetect/conf.maldet и сделайте необходимые вам изменения.
1| vi /usr/local/maldetect/conf.maldet
Образец конфигурации
Вот мой пример конфигурационного файла:
1|
# [ EMAIL ALERTS ]
2|
##
3|
# The default email alert toggle
4|
# [0 = disabled, 1 = enabled]
5| email_alert=1 6|
7|
# The subject line for email alerts
8| email_subj="Обнаружена вредоносная программа на $(hostname)"
9|
10|
# The destination addresses for email alerts
11|
# [ values are comma (,) spaced ]
12| email_addr="alexey@webware.biz"
13|
14|
# Ignore e-mail alerts for reports in which all hits have been cleaned.
15|
# This is ideal on very busy servers where cleaned hits can drown out
По материалам сайта WebWare.biz
295
Тестирование на проникновение с помощью Kali Linux 2.0
16|
# other more actionable reports.
17| email_ignore_clean=0 18|
19|
##
20|
# [ QUARANTINE OPTIONS ]
21|
##
22|
# The default quarantine action for malware hits
23|
# [0 = alert only, 1 = move to quarantine & alert]
24| quar_hits=1 25|
26|
# Try to clean string based malware injections
27|
# [NOTE: quar_hits=1 required]
28|
# [0 = disabled, 1 = clean]
29| quar_clean=1 30|
31|
# The default suspend action for users wih hits
32|
# Cpanel suspend or set shell /bin/false on non-Cpanel
33|
# [NOTE: quar_hits=1 required]
34|
# [0 = disabled, 1 = suspend account]
35| quar_susp=0 36|
# minimum userid that can be suspended
37| quar_susp_minuid=500
Шаг 4: Ручные сканирования и использование
Если вам хочется просканировать домашнюю директорию пользователей, тогда просто выполните следующую команду:
1| maldet --scan-all /home
Если вы выполнили сканирование, но забыли включить опцию помещения в карантин, не переживайте, просто выполните следующую команду, для переноса в карантин всех вредоносных программ из предыдущих результатов:
1|
# maldet --quarantine SCANID
Или:
1|
# maldet --clean SCANID
По материалам сайта WebWare.biz
296
Тестирование на проникновение с помощью Kali Linux 2.0
Шаг 5: Ежедневные сканирования
По умолчанию установка помещает скрипт LMD в /etc/cron.daily/maldet, и он используется для выполнения ежедневных сканирований, обновления сигнатур, карантина и т. д. И для отправки ежедневных сообщения о сканировании зловредных программ на заданный вами имейл. Если вам нужно добавить дополнительные пути для сканирования, тогда вам следует отрадактировать этот файл в соответствии с вашими требованиями:
1| vi /etc/cron.daily/maldet
Глава 50. Как УЗНАТЬ пароль Windows?
В этой статье будет описано как узнать пароль от Windows (любых версий), НЕ сбросить, НЕ изменить, а именно УЗНАТЬ.
Сначала отступление
Сбросить пароль или изменить его в системе Windows легко — школьники уже наснимали свои стопятьсот видео как это сделать.
Продвинутые школьники используют ПРО версию программы ElcomSoft System
Recovery, которая «за пол минуты взламывает пароль» (на самом деле, ищет по словарю наиболее популярные пароли, сравнивает их с ранее рассчитанными хэшами и, если школьник задал пароль что-нибудь вроде «1», «1111», «123», «admin»,
«password», то программа его отображает).
Продвинутые пользователи снимают видео как сбросить пароль с помощью Kali Linux.
Причём, Kali Linux используется для 1) монтирования диска с ОС Windows, 2) переименование одного файла для запуска командной строки… Я думаю, в свободное время эти люди колют орехи айфонами.
На самом деле, я шучу. В 99.99% случаев именно это и нужно — сбросить пароль школьника или бухгалтера, которые зачем-то его поставили и благополучно забыли.
Если вам именно это и нужно, то загрузитесь с любого Live-диска (это может быть и
Linux – что угодно). В каталоге C:\Windows\System32\ переименуйте файл cmd.exe в
sethc.exe или в osk.exe. Понятно, что нужно сделать бэкап файла sethc.exe (или osk.exe), а файл cmd.exe копировать с присвоением нового имени.
Если вы переименовали файл в sethc.exe, то при следующей загрузке Windows, когда у вас спросят пароль, нажмите пять раз кнопку SHIFT, а если в osk.exe, то вызовите экранную клавиатуру. И в том и в другом случае у вас откроется командная строка
(cmd.exe) в которой нужно набрать:
1| net user имя_пользователя *
Т.е. если имя пользователя admin, то нужно набрать:
1| net user admin *
А теперь я буду снимать своё видео.
Опять шучу.
По материалам сайта WebWare.biz
297
Тестирование на проникновение с помощью Kali Linux 2.0Узнаём пароль Windows с помощью Kali Linux Теория: где Windows хранит свои пароли? Windows размещает пароли в файле реестра
SAM (System Account Management)
(система управления аккаунтами). За
исключением тех случаев, когда используется
Active Directoryis. Active Directoryis — это отдельная система аутентификации, которая размещает пароли в базе данных
LDAP.
Файл
SAM лежит в
C:\\System32\config\ (
C:\\sys32\config\).
Файл SAM хранит пароли в виде хэшей, используя хэши LM и NTLM, чтобы добавить безопасности защищаемому файлу.
Отсюда важное замечание: получение пароля носит вероятностный характре. Если удасться расшифровать хэш — то пароль наш, а если нет — то нет… Файл SAM не может быть перемещён или скопирован когда Windows запущена. Файл
SAM может быть сдамплен (получен дамп), полученные из него хэши паролей могут быть подвержены брут-форсингу для взлома оффлайн. Хакер также может получить файл SAM загрузившись с другой ОС и смонтировав
C:\. Загрузиться можно с дистрибутива Linux, например Kali, или загрузиться с Live-диска.
Одно общее место для поиска файла SAM это
C:\\repair. По умолчанию создаётся бэкап файла SAM и обычно он не удаляется системным администратором.
Бэкап этого файла не защищён, но сжат, это означает, что вам нужно его разархивировать, чтобы получить файл с хэшами. Для этого можно использовать утилиту
expand. Команда имеет вид
Expand [FILE] [DESTINATION]. Здесь пример раскрытия файла SAM в файл с именем uncompressedSAM.
1|
C:\> expand SAM uncompressedSAM
Чтобы улучшить защиту от оффлайн хакинга, Microsoft Windows 2000 и более поздние версии включают утилиту
SYSKEY. Утилита SYSKEY зашифровывает хэшированные пароли в файле SAM используя 128-битный ключ шифрования, который разный для каждой установленной Windows.
Атакующий с физическим доступом к системе Windows может получить SYSKEY (также называймый загрузочный ключ) используя следующие шаги:
1.
Загрузиться с другой ОС (например, с Kali).
2.
Украсть
SAM и хайвы
SYSTEM
(
C:\\System32\config\ (
C:\\sys32\config\)).
3.
Восстановить загрузочный ключ из хайвов SYSTEM используя
bkreg или
bkhive.
4.
Сделать дамп хэшей паролей.
5.
Взломать их оффлан используя инструмент, например такой как
John the Ripper.
Ещё одно важное замечание. При каждом доступе к файлам в Windows изменяется
MAC (модификация, доступ и изменение), который залогирует ваше присутствие.
Чтобы избежать оставления криминалистических доказательств, рекомендуется скопировать целевую систему (сделать образ диска) до запуска атак.
По материалам сайта WebWare.biz
298
Тестирование на проникновение с помощью Kali Linux 2.0
Монтирование Windows
Есть доступные инструменты для захвата Windows-файлов SAM и файла ключей SYSKEY.
Один из методов захвата этих файлов — это монтирование целевой Windows системы так, чтобы другие инструменты имели доступ к этим файлам в то время, пока Microsoft
Windows не запущена.
Первый шаг — это использование команды fdisk -l для идентификации ваших разделов.
Вы должны идентифицировать Windows и тип раздела. Вывод fdisk показывает NTFS раздел, например так:
1|
Device Boot Start End Blocks Id System
2|
/dev/hdb1* 1 2432 19535008+ 86 NTFS
3|
/dev/hdb2 2433 2554 979965 82 Linux swap/Solaris
4|
/dev/hdb3 2555 6202 29302560 83 Linux
Создаёте точку монтирования используя следующую команду:
1| mkdir /mnt/windows
Монтируете системный раздел Windows используя команду как показано в следующем примере:
1| mount -t /mnt/windows
Теперь, когда целевая система Windows смонтирована, вы можете скопировать файлы
SAM и SYSTEM в вашу директорию для атаки следующей командой:
1| cp SAM SYSTEM /pentest/passwords/AttackDirectory
Доступны инструменты для дампа файла SAM. PwDumpand Cain, Abel и samdump — это только немногие примеры.
Обратите внимание, вам нужно восстановить оба файла — загрузочного ключа и SAM.
Файл загрузочного ключа используется для доступа к файлу SAM. Инструменты, используемые для доступа к файлу SAM будут требовать файл загрузочного ключа.
bkreg и bkhiveare — популярные инструменты, которые помогут получить файл загрузчика ключа, как показано на следующем скриншоте:
По материалам сайта WebWare.biz
299
Тестирование на проникновение с помощью Kali Linux 2.0
Как защититься от кражи пароля для входа в Windows:
Во-первых, не нужно надеяться на этот пароль. Этот пароль не спасёт вас даже от вашего сына-школьника. Этот пароль не поможет вам защитить данные, а также бесполезен при краже компьютера. (Ситуация с паролем на BIOS примерно такая же — не предоставляет никакой реальной защиты, время от времени портит жизнь бухгалтерам и людям с плохой памятью).
Если вам важно ограничить доступ к данным или ко всей системе, используйте такие программы шифрования как VeraCrypt и TrueCrypt (но если уж вы в этом случае забудете пароль, то данные будут безвозвратно утеряны).
Чтобы ваш пароль на вход в Windows не могли расшифровать школьники, придумывайте сложный, длинный пароль с разными регистрами, цифрами и буквами (в том числе русскими) и т. д. Но ещё раз повторю — этот пароль не защищает ничего.
Часть 7. 7. Сканирование сетей. Перехват данных в сетях
Глава 51. Эмуляция сети из нескольких компьютеров на одном
компьютере
Эта инструкция небольшая, но очень полезная. Она пригодится:
тестировщикам на проникновение и хакерам: для сканирования с одной операционной системы (Kali Linux) других операционных систем и серверов, находящихся на этом же компьютере (сканировать веб-сервера, ОС на уязвимости, веб-приложения, тренироваться в перехвате трафика, реализации атак человек-по-середине, XSS и т.д.);
системным администраторам: для практики в построении сетей, роутинга трафика, отработке взаимодействия между различными компьютерами и операционными системами, настройке веб-серверов, почтовых серверов, DNS;
разработчикам веб-приложений: для сканирования своих веб-приложений на уязвимости, для отработки взаимодействия веб-приложения с другими узлами в сети.
Надеюсь, я вас не запутал. Чтобы стало чуть понятнее, давайте рассмотрим конкретные примеры. Мы написали программу на PHP на своей рабочей машине под управлением
Windows. Мы проверили её работоспособность на локальном сервере под этой самой
Windows и теперь мы хотим просканировать программу разнообразными сканерами уязвимостей. Проще всего воспользоваться специализированными дистрибутивами, например Kali Linux. Но если мы загрузимся в Kali Linux с флешки или установим её в качестве второй ОС, то во время работы Kali наш сервер на Windows будет недоступен
— напомню, компьютер у нас один.
Самый простой вариант — это установить Kali Linux в виртуальный компьютер и
настроить сеть для возможности доступа с виртуальной машины в реальную.
Думаю, это самая распространённая ситуация. Давайте вместе настроем наш один компьютер на возможность сканирования веб-сервера под Windows с виртуального компьютера на VirtualBox под управлением Kali Linux. На самом деле, вариаций может
По материалам сайта WebWare.biz
300
Тестирование на проникновение с помощью Kali Linux 2.0
быть множество, и взаимодействующих виртуальных компьютеров может быть множество. Главное — понять принцип.
Как из виртуальной машины с Kali Linux просканировать веб-сервер
Windows
Предполагается, что Kali Linux уже установлена в виртуальную машину.
Первое: узнайте локальный адрес вашей Windows-машины. Если этот адрес динамический (каждый раз новый при включении компьютера, т.е. он получается от
DHCP), то рекомендуется прописать статический адрес, иначе после перезагрузки компьютера сервер может стать недоступным (для Kali).
Чтобы узнать локальный адрес Windows, в командной строке Windows наберите:
1| ipconfig
В моём случае это 192.168.1.35 (его я и буду использовать в примерах, чтобы было понятнее).
Второе: в файле настроек сервера (C:\Server\bin\Apache24\conf\httpd.conf) найдите строку:
1|
Listen 127.0.0.1:80
Можно сделать две вещи:
переправить эту строку на Listen *:80 (не рекомендуется, после этого ваш веб- сервер будет доступен для внешних сетей!);
добавить строку Listen локальный_IP_Windows:80 (рекомендуется);
В моём случае я добавляю строку:
1|
Listen 192.168.1.35:80
Сохраняем изменения, перезапускаем сервер.
Третье: в настройках виртуальной машины перейдите к «настройкам сети». Там по умолчанию стоит NAT, вместо него выберите «сетевой мост». Там, где
«неразборчивый режим», выберите «разрешить всё».
По материалам сайта WebWare.biz
301
Тестирование на проникновение с помощью Kali Linux 2.0Четвёртое: после этого можно тестировать. Для обращения к серверу используйте локальный адрес Windows. Например, в Kali я набираю в строке браузера 192.168.1.35 и… Должно работать, но у меня не работает.
Пятое: Если не получается открыть страницу сервера, то нужно отключить/настроить файервол на Windows.
После отключения файервола, теперь из Kali виден сервер на Windows.
Сеть из нескольких виртуальных компьютеров Можно настроить множество виртуальных компьютеров с различными операционными системами. Их можно запускать и одновременно. Таким образом можно потренироваться в настройке программ, серверов на различных дистрибутивах
Linux. Можно один из компьютеров назначить DNS серверов, поиграться с роутингом трафика и т. д.
Чтобы узнать IP адрес виртуальной машины под управлением Linux, наберите в командной строке:
1| ifconfig
Каких-то ограничений на количество виртуальных машин нет. Главное, чтобы хватало ресурсов реального компьютера. В первую очередь, имеет свойство заканчиваться оперативная память. Если вы устанавливаете Linux без графической оболочки, то, как правило, достаточно 512 мегабайт оперативной памяти. С графической оболочкой я бы рекомендовал выбирать 1-1,3 гигабайта оперативной памяти — чтобы работало пошустрее. Если на какие-то
системы предполагается повышенная нагрузка, то можно им вместо одного процессора, выделить 2 или даже 3. Также каждому виртуальному компьютеру можно назначить более чем одну сетевую карту — до четырёх.
Глава 52. Как использовать сканер безопасности NMAP на Linux Nmap — это бесплатная, с открытым исходным кодом утилита исследования сети и проведения аудита безопасности. Она широко используется в сообществе пользователей Linux, поскольку является простой в применении, но в то же время очень мощной. Принцип работы Nmap, говоря простым языком, заключается в отправке пакетов данных на заданную цель (по IP) и в интерпретировании возвращаемых пакетов для определения, какие порты открыты/закрыты, какие службы запущены на сканируемой системе, установлены и включены ли файерволы или фильтры и, наконец, какая операционная система запущена. Эти возможности позволяют собрать много ценной информации. Давайте рассмотрим некоторые из этих возможностей. Кроме типичных для подобных статей примеров команд, будут даны рекомендации о том, как использовать собранные во время сканирования данные.
Установка Nmap Для начала, нам нужно заполучить пакет “nmap” на нашу систему.
Установка Nmap в Kali Linux Nmap уже установлен.
По материалам сайта WebWare.biz
302
Тестирование на проникновение с помощью Kali Linux 2.0
Установка Nmap в CentOS
1| yum install nmap
Установка Nmap в Debian
1| apt-get install nmap
Установка Nmap в Ubuntu
1| sudo apt-get install nmap
Использование сканера безопасности Nmap
Теперь программу можно запускать набрав в терминале “nmap”. Список опций можно посмотреть по команде:
1| nmap --help
Но я рекомендую посмотреть эти же опции по этой ссылке, поскольку там они на русском языке.
Чтобы показать некоторые возможности nmap, подготовлены несколько примеров.
Главная цель — чтобы вы уловили суть и возможности программы. После этого вы сможете модифицировать команды под свои собственные нужды.
Обратите внимание, что программе nmap требуются привилегии суперпользователя для некоторых её функций. В Kali Linux этого не нужно, но на всех других системах запускайте команду с sudo. В примерах я буду использовать sudo, в Kali команды выглядят также, но отбрасывайте sudo.
Собираем информацию об открытых на сервере портах, запущенных
службах и версиях программного обеспечения
Это простая команда может использоваться для проверки доступен ли сайт (в данном случае я использовал сайт webware.biz). Обращаем внимание на открытые порты:
1| sudo nmap -sS [IP адрес] или [адрес веб-сайта]
По материалам сайта WebWare.biz
303
Тестирование на проникновение с помощью Kali Linux 2.0
Эта опция даст команду nmap попробовать предположить, какая операционная система запущена на целевой системе. Если все порты фильтруются, эта команда будет лучшим вариантом, но результаты нельзя расценивать как гарантировано надёжные.
Обратите внимание на проценты — они говорят о вероятности угадывания.
1| sudo nmap -O --osscan-guess [IP адрес] или [адрес веб-сайта]
По материалам сайта WebWare.biz
304
Тестирование на проникновение с помощью Kali Linux 2.0
Эта команда позволяет пользователю проверить службы, запущенные на цели.
Обратите внимание, что появился столбик VERSION — в нём указана версия программного обеспечения.
1| sudo nmap -sV [IP адрес] или [адрес веб-сайта]
По материалам сайта WebWare.biz
305
Тестирование на проникновение с помощью Kali Linux 2.0
Ищем веб-сервера, роутеры, веб-камеры, SSH, FTP и прочее
О том, как задавать цели для Nmap, сказано в книге на которую в конце дана ссылка. В следующих примерах я использую строку 193.106.148-153.1-255. Она означает просканировать подсети с 193.106.148.* по 193.106.153.*, причём в каждой из этих подсетей будут просканированы адреса с *.*.*1 по *.*.*255, т.е. это 193.106.148.1-
255, 193.106.149.1-255, 193.106.150.1-255 и т.д.
Поиск роутеров, веб-серверов, веб-камер
У роутеров, веб-серверов, веб-камер обычно открыты порты 80, 8080 и 1080.
Просканировать эти порты и вывести только те адреса, на которых что-то открыто, можно этой командой.
1| nmap -sS -sV -vv -n -Pn -T5 193.106.148-153.1-255 -p80,8080,1080 -oG - | grep 'open'
В моём случае вывод получился сумбурным, но это хорошо, что данных много — есть с чем поработать.
(Нажмите на изображение, чтобы увеличить)
По материалам сайта WebWare.biz
306
Тестирование на проникновение с помощью Kali Linux 2.0
Поиск FTP
Обычно FTP «висит» на 21 порту, поэтому используем предыдущую команду, только меняем сканируемый порт.
1| nmap -sS -sV -vv -n -Pn -T5 193.106.148-153.1-255 -p21 -oG - | grep 'open'
Хороший результат, есть на что посомтреть.
Поиск SSH
Порт по умолчанию для SSH — 22, там и ищем.
1| nmap -sS -sV -vv -n -Pn -T5 193.106.148-153.1-255 -p22 -oG - | grep 'open'
Есть контакт:
По материалам сайта WebWare.biz
307
Тестирование на проникновение с помощью Kali Linux 2.0Помните, что на дефолтных портах оставляют либо от недостатка опыта (начинающие системные администраторы), либо от безысходности (например, хостеры — если они поменяют порт FTP со стандартного на другой, то служба технической поддержки будет завалена жалобами клиентов о том, что «FTP совсем не работает»). Все остальные системные администраторы «подвешивают» SSH и прочие сервисы на высокие порты.
Если сделать так, то в логах ошибок наступает тишь и благодать, разница очень заметна по сравнению со стандартными портами, на которые вечно шлют разную фигню и пытаются брутфорсить. А вменяемые люди вообще не используют FTP, а используют сервисы с шифрованием, хотя бы тот же SFTP (вариантов FTP с шифрованием масса). Но хостеры не могут себе этого позволить по уже озвученной причине — есть
опасность потерять клиентов от того, что им слишком сложно разобраться.
Т.е. если вы тестируете на проникновение конкретный компьютер/сервер, то проверяйте все порты — с первого до последнего (65535). Если диапазон тестируемой сети небольшой, то можно задать тестирование всех портов с фильтрацией по словам ftp ( | grep 'ftp'), ssh ( | grep 'ssh') и т. д. Например так:
1| nmap -sS -sV -vv -n -Pn -T5 193.106.148.1-255 -p1-65535 -oG - | grep 'ftp'
Нужно быть готовым к большим затратам времени.
Zenmap — Графический интерфейс (GUI) для Nmap У команды nmap огромное количество опций. Если вы запутались в этих опциях и хотите чего-то более дружеского и привычного, то обратите своё внимание на Zenmap.
Это графический интерфейс для Nmap.
(Нажмете на изображение, чтобы увеличить)
По большому счёту, нужно только ввести адрес цели. Уже установлен профиль сканирования по умолчанию, который вы всегда можете поменять на другой. Вам не нужно помнить и вводить ключи, как это необходимо для приложения командной строки. Всё просто, вывод раскрашен разными цветами, что облегчает восприятие. Есть несколько вкладок, в которых визуализирована и обобщена полученная информация.
По материалам сайта WebWare.biz
308
Тестирование на проникновение с помощью Kali Linux 2.0
(Нажмете на изображение, чтобы увеличить)
(Нажмете на изображение, чтобы увеличить)
Что делать с полученной в Nmap информацией
Собственно, а что нам дают все эти открытые порты, все эти службы, все эти компьютеры с FTP и прочим?
Если вы умеете пользоваться только Nmap, то полученная в ней информация вряд ли пригодится. Это только начало пути. Варианты использования полученной информации:
если нашли веб-сервер, то для начала можно просто открыть и посмотреть что там. Варианты бывают разные — бывают обычные сайты, которые видны в
Интернете по доменному имени, бывают сайты в разной степени готовности начинающих системных администраторов и веб-мастеров. Бывает, можно
По материалам сайта WebWare.biz
309
Тестирование на проникновение с помощью Kali Linux 2.0
просто пройтись по каталогам, посмотреть приготовленные файлы, попробовать стандартные пароли для phpMyAdmin и т. д.
FTP, SSH и многое прочее можно брутфорсить. Если удастся подобрать пароль, то можно получить доступ к частному FTP или вообще завладеть всем компьютером, если удастся подобрать учётную запись SSH. Ссылки на инструкции по брутфорсу даны в конце статьи.
особенно легко, практически голыми руками, можно брать веб-камеры — очень часто там стандартные пароли, которые можно нагуглить по модели камеры.
также интересны роутреры. Довольно часто в них стандартные (заводские) пароли. Получив доступ в роутер можно: выполнить атаку человек-по-середине, сниффинг трафика, перенаправить на подложные сайты, на сайты-вымогатели и т. д.
зная версии запущенных программ можно попробовать поискать эксплойты для них. Ссылки на материал по эксплойтам также дан в конце статьи.
если вы совсем новичок, то рекомендую программу Armitage. Она может: автоматически искать и применять эксплойты, брутфорсить различные службы.
У программы графический интерфейс — вообще она довольно простая.
Материал по Armitage: «Инструкция по Armitage: автоматический поиск и проверка эксплойтов в Kali Linux».
Где брать адреса для сканирования?
Типичными лёгкими целями являются VPS, которые настроили начинающие системные администраторы. Если вас интересует сканирование адресов в конкретном городе или по конкретному провайдеру, то можно воспользоваться этим сервисом.
Дополнительный материал по Nmap и о том, делать с полученными
результатами сканирования
Для продолжения чтения рекомендуются:
Книга по Nmap на русском
BruteX: программа для автоматического брутфорса всех служб
THC-Hydra: очень быстрый взломщик сетевого входа в систему (часть первая)
База данных эксплойтов от Offensive Security (создателей Kali Linux)
Metasploit Exploitation Framework и searchsploit — как искать и как использовать эксплойты
Инструкция по Armitage: автоматический поиск и проверка эксплойтов в Kali
Linux
FTP-Map: определяем программное обеспечение и его версию для FTP-серверов и ищем для них эксплойты
Подборка материала для системных администраторов:
Как установить безопасный SFTP сервер в Linux
Как включить ssh вход без ввода пароля
Настройка защищённого VPS (VDS) на Debian. Часть первая: Установка Apache,
PHP, MySQL
По материалам сайта WebWare.biz
310
Тестирование на проникновение с помощью Kali Linux 2.0
Как настроить fail2ban для защиты сервера Apache HTTP
Как скрыть версии веб-сервера Apache и PHP (на Linux и Windows)
Как усилить веб-сервер Apache с помощью mod_security и mod_evasive на
CentOS
Как установить ModSecurity (mod_security) на Apache (на Windows)
Как установить Apache, MariaDB/MySQL и PHP на CentOS (LAMP)
Глава 53. Книга по Nmap на русском Источник: https://nmap.org/man/ru/ Информация по скриптам Nmap (на английском): https://nmap.org/nsedoc/index.html Самая последня версия документации по Nmap (на английском): https://nmap.org/book/man.html Официальная книга по Nmap от создателей Nmap (на английском): https://nmap.org/book/toc.html Читать онлайн либо скачать книгу: https://webware.biz/?p=4540#5 Глава 54. Взлом пароля веб-сайта с использованием WireShark (и защита от этого) Вы знаете, что каждый раз, когда вы заполняете ваши имя пользователя и пароль на веб-сайте и нажимаете ENTER, вы отправляете ваш пароль. Хорошо, конечно вы это знаете. Как ещё мы собираемся авторизовать себя на веб-сайте?? Но (да, здесь есть маленькое НО) когда веб-сайт позволяет вам авторизоваться используя HTTP
(PlainText), очень просто захватить этот трафик от любой машины в локальной сети (и даже в Интернете) и проанализировать его. Это означает, кто-то
может хакнуть пароль от любого веб-сайта, использующего HTTP протокол для авторизации. Понятно, чтобы сделать это через Интернет вы должны быть способны сидеть на шлюзе или центральном хабе (BGP роутеры смогли бы — если у вас есть доступ, и трафик проходит через них).
Но сделать это в локальной сети проще и, в то же время, это поразит вас, насколько небезопасен на самом деле HTTP. Вы могли бы сделать это с вашим соседом по комнате, вашей рабочей сетью или даже школьной, сетью колледжа, университета, если сеть позволяет широковещательный трафик и ваша сетевая карта может быть настроена на неразборчивый режим.
Итак, давайте попробуем это на простом веб-сайте. Я это буду делать внутри одной машины. Вы же можете попробовать это между VirtualBox/VMWare/Физическими машинами.
Обратите внимание: некоторые роутеры на делают широковещательную рассылку, в этих отдельных случаях ничего не получится.
По материалам сайта WebWare.biz
311
Тестирование на проникновение с помощью Kali Linux 2.0
Шаг 1. Запуск Wireshark и захват трафик
В Kali Linux вы можете запустить Wireshark проследовав
Приложения > Kali Linux > Top 10 Security Tools > Wireshark
В Wireshark перейдите к пункту меню Capture > Interface и выберите интересующий вас интерфейс, у меня соединение по проводу, поэтому я выбираю eth0, для беспроводного доступа интерфейс может называться wlan0.
В идеале, после нажатия кнопки Start Wireshark должен начаться захват трафика. Если этого не произошло, то перейдите в меню Capture > Start
Шаг 2. Фильтр захваченного трафика для поиска POST данных
В то время, пока Wireshark прослушивает сетевой трафик и захватывает его. Я открыл браузер и залогинился на веб-сайте, используя имя пользователя и пароль. Когда процесс авторизации был завершён и я вошёл на сайт, я вернулся и остановил захват в
Wireshark. Вообще, фильтрацию трафика можно делать и не останавливая захват.
После запуска, например, можно установить фильтрацию и просматривать только захват, удовлетворяющий определённым требованиям.
По материалам сайта WebWare.biz
312
Тестирование на проникновение с помощью Kali Linux 2.0
Обычно в Wireshark множество данных. Но нас интересуют только данные, отправленные методом POST.
Почему только POST?
Потому что когда вы печатаете ваше имя и пароль и нажимаете кнопку входа, данные на удалённый сервер отправляются методом POST.
Для фильтрации всего трафика и нахождения данных POST, наберите следующее в окне для ввода фильтра:
1| http.request.method == "POST"
Посмотрите скриншот внизу. Он отображает 1 событие событие POST.
(Нажмите на изображение, чтобы увеличить)
Шаг 3: Анализ данных POST на наличие имени пользователя и пароля
Сейчас кликните правой кнопкой на этой линии и выберите Follow TCP Steam
(Нажмите на изображение, чтобы увеличить)
По материалам сайта WebWare.biz
313
Тестирование на проникновение с помощью Kali Linux 2.0
Это откроет новое окно, содержащее что-то вроде такого:
Видите я выделил строчку log=Dimon&pwd=justfortest?
Т.е. log=Dimon (имя пользователя: Dimon) pwd=justfortest (пароль: justfortest)
Вот так вот, выдуманный пользователь WebWare.biz спалил свой пароль.
Как бороться с перехватом трафика WireShark и другими подобными
программами
1. Не позволяйте посторонним лицам иметь доступ в вашу сеть. Например, не нужно свой Wi-Fi делать публичным, не нужно сообщать пароль от него посторонним лицам.
2. Когда вы сами пользуетесь публичными точками доступа, то, хотя бы, помните об угрозе перехвата пароля. Даже если вы не производили вход (не вводили логин и пароль), то ваш браузер постоянно обменивается с сайтами, на которых вы авторизованы, данными кукиз. Это не тоже самое что пароль, иногда кукиз просто бесполезны.
Это не значит что нужно прекратить пользоваться публичными точками доступа. Но поменяв пароль, когда вернётесь к
«безопасной» сети, вы сделаете
По материалам сайта WebWare.biz
314
Тестирование на проникновение с помощью Kali Linux 2.0
бессмысленным захват тех данных, который мог произойти пока вы пользовались публичной сетью.
3. Используйте VPN, эта технология способна решить все проблемы с небезопасными сетями разом.
4. Самый действенный способ — SSL-сертификаты. У меня по этому поводу две новости: плохая и хорошая. Начну с плохой: от нас, от пользователей сайтов, не зависит, установлен ли на веб-сайте SSL-сертификат, если сертификат не установлен, то мы никак не можем это исправить. Хорошая новость: почти все популярные веб сайты
(разные твитеры, вконтакте, фейсбуки, гугл-почты, яндекс-почты и т. д.) имеют эти сертификаты. Даже у Википедии теперь есть!
Если вы владелец сайта, то можно задуматься об установлении SSL-сертификата. Кроме уже названного преимущества
(невозможность перехвата данных, отправляемых/получаемых на/с вашего сайта), ещё и Гугл обещала учитывать наличие
SSL-сертификата при ранжировании (если этот сертификат есть, то позиции в поиске выше). Проблема в том, цена самых дешёвых сертификатов, даже по акции со скидкой, начинается от 400 рублей. За эти деньги можно купить несколько месяцев хостинга, при весьма эфемерной выгоде от наличия SSL-сертификата.
Если вас всё-таки заинтересовали эти сертификаты, то рекомендую обратиться к моей статье «Что такое SSL-сертификаты, для чего они нужны и как сэкономить покупая сертификат». Там и где купить со скидкой, и как установить, и прочее.
Глава 55. FTP-Map: определяем программное обеспечение и его
версию для FTP-серверов и ищем для них эксплойты
Ftpmap сканирует удалённые FTP-сервера для идентификации, какое программное обеспечение и какой версии они используют. Она использует специфичные для программ «отпечатки пальцев» для обнаружения имени программного обеспечение даже тогда, когда банеры были изменены или удалены или когда некоторые функции были отключены. FTP-Map также попытается найти эксплойты для программы/версии, используемой для FTP сервера. FTP-Map также содержит инструменты для удалённого
«снятия отпечатков».
Адрес проекта: https://github.com/Hypsurus/ftpmap
Установка FTP-Map на Kali Linux
1| apt-get install automake autoconf
Я все сторонние программы ставлю в каталог /opt
1| cd /opt/
2| git clone git://github.com/Hypsurus/ftpmap
3| cd ftpmap/
4| autoreconf
5|
./configure
6| make
7| sudo make install
По материалам сайта WebWare.biz
315
Тестирование на проникновение с помощью Kali Linux 2.0Использование FTP-Map 1| ftpmap -s [host] [OPTIONS]...
1|
Опции:
2|
--scan, -S
- Начать FTP сканирование.
3|
--server, -s
перейти в каталог файлов 
Скачать 24.11 Mb.