ВХ02. Сбор информации 2

whstksn

Информации на прошлом этапе было собрано достаточно. Теперь мы будем активно работать с сайтом. Много следить в логах, использовать кул-хацкерские программы, сканерочки, парсерки и прочие веселые программки.

Общая схема того, что мы будем делать на данном этапе такая:

cxema1

Ничего страшного, все довольно просто. Мы пойдем по списку:

  • Определение CMS
  • Определение тем, плагинов, модулей, компонентов
  • Поиск уязвимостей в CMS и плагинах
  • Сканирование директорий
  • Краулер
  • Обход mod_rewrite (и аналогов этого модуля)
  • Сбор параметров (Get, Post, Cookie, Headers)

Поиск и эксплуатацию уязвимостей оставим для следущих уроков, а пока мы занимаемся исключительно сбором информации.

Активный сбор информации.

1. Определение CMS. Пробуем определить используемую CMS (или CMSки, ведь никто не запрещает использовать несколько CMS на одном домене). Если используется распространенный движок, то определить это можно с вероятностью в 99%.

Если вам в лом самим определять CMS, можете воспользоваться сервисами:

  • http://2ip.ru/cms/
  • http://itrack.ru/whatcms/
  • http://builtwith.com/
  • http://w3techs.com/sites

Можно использовать плагин для браузера - wappalyzer.
Очень удобно, сразу видно движок, язык, js-фреймворки и т.д.:
wapallayzerОпределяет больше двух сотен движков. Плагин не всегда работает точно. Например, попробуйте зайти с включенным плагином wappalayzer на эту страничку - http://krober.biz/misc/crazywappalayzer.php Если вас интересует, как этот плагин определяет движки, посмотрите исходник:
https://github.com/ElbertF/Wappalyzer/blob/master/drivers/bookmarklet/js/apps.js
Вы поймете, что анализируются:

  • http-заголовки (в том числе cookie)
  • meta-теги
  • подключаемые скрипты (<script src='blabla'>)
  • пути к файлам (картинкам, таблицам стилей и т.д.)
  • комментарии в html-коде
  • прочее (по регуляркам) в html-коде ("Powered by ...", "MegaSuperCMS")
  • URL (/index.php?showtopic=666 - явно сатанинский форум, /?p=1488 - нс-бложик)

Для точного определения CMS нужно также проверять:

robots.txt - в данном текстовике указаны папки и файлы которые нужно/не нужно индексировать. Файл либо лежит в корне сайта, либо его вообще нет. Выглядит примерно так:
robotstxtНаметанный глаз мигом определит WordPress. Ненаметанный метнется по адресу /wp-login.php и опять таки определит WordPress.

Админ-панель - Определить адрес админки можно внимательно изучив файл robots.txt или проверив все распространенные пути к админкам (руками или софтом - об этом чуть далее). К примеру, вход в админку Joomla!:

joomla

Joomla 1.5

  • Joomla.  http://target.com/administrator
  • WordPress.  http://target.com/wp-admin/
  • Drupal.  http://target.com/user
  • DLE.  http://target.com/admin.php
  • Любая другая CMS - http://google.com/?q=найти+админку+cmsname

Файлы и Папки. CMS можно определить по наличию/отсутствию некоторых файлов и папок. Например, в большинстве CMS есть файлы с названиями типа Changelog.htm, readme.txt, config.example и подобными. Скачиваем распространенные движки, изучаем структуру файлов и папок, пробуем найти интересные файлы/папки на изучаемом сайте.
Таким способом можно очень точно определить используемый движок и его версию.

Просто потренируйтесь - устанавливайте разные движки, ставьте разные шаблоны, плагины. После небольшой практики, вы сможете определять движок взглянув одним (прищуренным) глазом на главную страницу.

В результате, после выполнения всех вышеописанных проверок, возможны 3 варианта:

  • CMS определена, исходники можно изучить.
  • CMS определена, но нет возможности изучить исходники.
  • CMS не определена.

2. Определение тем/плагинов/модулей/компонентов. Если мы работаем с одной из распространненых CMS, то мы можем проверить еще и модули/плаигны. Для этого можно быстренько набыдлокодить свой убер-скрипт либо воспользоваться существующим софтом (к примеру для скана плагинов WP):

wpsan

Разумеется, этот пункт относится только к популярным движкам (wp, joomla, drupal и подобным), а не студийным поделкам сумрачных гениев.

3. Ищем уязвимости в CMS. Первым делом идем на bug-трекеры. Чекаем CMS  на сайтах:

  • http://1337day.com/
  • http://exploit-db.com/
  • http://securityfocus.com/
  • http://securiteam.com/
  • http://osvdb.org/
  • http://cxsecurity.com/exploit/
  • http://packetstormsecurity.com/files/tags/exploit/
  • http://cve.mitre.org/

Стоит особенно отметить 1337day (наследник милворма):

1337

И exploit-db:

expdb

Если сплойт не пашет, то внимательно изучите исходник, есть шанс, что в сплойте допущена ошибка (по старой хэккерной традиции). Также очень часто бывает, что исходники движка нельзя найти, а сплойт под движок - легко.

Если ничего в паблике не нашлось, идем на страницы разработчиков и внимательно читаем changelog. Какие ошибки были исправлены, когда, обязательно обращаем внимание на патчи связанные с безопасностью.

4. Сканер директорий. После того как мы узнали CMS (или не узнали), мы натравливаем на сайт сканер директорий - DirBuster.

dirbuster

DirBuster многопоточен, кроссплатформенен, красив и умен. Скачать можно по ссылке - http://sourceforge.net/projects/dirbuster/. Благодаря сканеру директорий, мы можем найти:

  • WYSIWIG-редакторы
  • файловые менеджеры
  • phpmyadmin (и аналоги)
  • скрипты статистики
  • старые версии скриптов (index.php.old и т.д.)
  • бекапы
  • многое другое

Обыкновенно, сторонние скрипты подключают "as is", не беспокоясь о возможных уязвимостях. В общем никогда не забывайте пользоваться сканером директорий, даже если CMS определена и плагины успешно найдены. Может быть в забытой кодерами папке "/upload_old/new1/new11/new1111/old/upload.php" вас ждет форма заливки файлов без проверки на расширения и прочие условности.

5. Сбор параметров. После того как мы просканировали директории и файлы, необходимо узнать все точки входа.

Образно говоря, если бы мы грабили квартиру, то сначала проверили бы все двери, окна, замки, затем выбрали самую уязвимую цель (открытая форточка, фанерная дверь, китайский замок), затем мы бы начали использовать отмычки(или другой инструмент), чтобы попасть внутрь.

В хаке сайтов все то же самое - находим все точки входа в приложение (Get, post, cookie, заголовки приложения), затем ищем уязвимые параметры и пытаемся их экплуатировать (только если домушник пихает отмычки в замок, мы пихаем кавычки и скобки в формочки или строку браузера).

Для автоматизированного сбора страниц прекрасно подойдет Burp Suite (шикарная утилита, с которой вы скоро не будете расставаться).

  • Скачать burp-suite - http://portswigger.net/burp/
  • Справка по burp-suite - http://h4s-team.ru/bs/index/index.html

В обязательном порядке установите и ознакомьтесь со справкой. Это настоящий швейцарский нож для веб-приложений. И одна из его возможностей как раз позволяет собрать все страницы и все формы с сайта:

burp

Запускаем спайдер, и он парсит все страницы со скоростью бешеной курицы, с горящими перьями.

Но не стоит скидывать со счетов и ручной анализ.

6. Обход mod_rewrite. Сейчас все повернулись на всяких seo-фишках. И многие юзают mod_rewrite (и подобные вещи), что сделать из некрасивой ссылки вида:
http://www.target.com/index.php?id=8787&did=content&sid=87&order=11
Получать такие ссылки:
http://www.target.com/content/8787/
К счастью, у нас не будет возникать проблем со сбором Post и Сookie параметров. Итак, чтобы обойти ЧПУ (человеко-подобный урл) нам нужно:
1. Узнать имя скрипта.
2. Узнать параметры скрипта.
3. Узнать принимаемые параметром значения.

Я бы конечно с радостью расписал все что нужно делать, но лучше всего написали тут - http://www.securitylab.ru/analytics/399778.php. Правда скрипт, упоминаемый в статье, уже удалили или перенесли. Но мы его заботливо сохранили для будущих поколений:

Возможно, что сейчас информация про обход mod_rewrite кажется для вас лишней. Если будет нужно - вернетесь к данному материалу позже. А пока просто отметьте для себя, что можно успешно ломать сайты и с ЧПУ.

В принципе со сбором информации мы закончили. Если на прошлом этапи мы собирали общую информацию, то тут мы занимались исключительно веб-приложением. Узнали CMS, модули, искали сплоиты, просканировали директории и файлы, собрали все точки входа.