مثيلات أمن المعلومات على النظام الأساسي attackdefense.com

... نحن نعيش في عصر الأحداث الكبيرة والشعب الصغير
... ونستون تشرشل

نلفت انتباهكم اليوم إلى المقالة الأولى من دورة التحليل والأعمال المختبرية الواردة من resource attackdefense.com بدعم من منظم المؤتمرات المعروف ( Black Hat and Pentes Academy ) - وهو مشروع يتيح لك فهم العديد من جوانب الهجمات على البروتوكولات والخدمات والأنظمة المختلفة. بالنسبة للجزء الأكبر ، هذا المورد هو عبارة عن منصة مع العمل المختبري على المواضيع الأكثر صلة.

سنرد على الفور على بعض الأسئلة التي قد تظهر أثناء قراءة هذه المادة:


في هذه المقالة ، نراجع باختصار:

• كلمات عن الميزات والموارد. وماذا سوف يعطينا.
• ما هي أنواع "الهجمات" التي يقدمها المورد.
• مواد على ناقل الهجوم وفقًا للعمل المخبري الذي سنصفه.
• حل أحد مختبرات "الاختبار".
• الاستنتاجات

المقالات التالية مخططة:

• أكمل الخط الكامل لنوع الهجوم. (تحليل المرور)
• سنقوم بإعداد المواد للدورة.
• دعونا نحلل الأخطاء الرئيسية التي تنشأ عند حل العمل المخبري.
• سنجمع نظرية مختصرة في هذا الاتجاه (أطروحات / أسرة)
• نحن نجيب على الأسئلة في المقال السابق.

مقدمة

الهدف الذي نسعى لتحقيقه: تطوير الاهتمام بدراسة الخدمات لأولئك الذين لم يكرسوا من قبل لهذا الموضوع ، ولكن لديهم اهتمام كبير في هذا المجال.

بدأ بعض الأشخاص والمجتمعات بالفعل هذا الموضوع ، لكن لم يكشف أحد عن إمكانات المورد. ما نحاول تقديمه ، ما لا يفعله الآخرون. هذه تفسيرات في التقنيات التي نشأت فيها ثغرة أمنية معينة ، مما سيساعد على فهم سبب نشوء الثغرة الأمنية وكيف يمكن إغلاقه أو تجنبه أو مواجهته.

بالنسبة للأشخاص الأكثر مهارة الذين شكلوا آرائهم بالفعل ولديهم اتجاه التنمية الخاص بهم ، نقترح أن تتعرف على إمكانية اكتشاف متجهات جديدة لنفسك.

للمحترفين ، نحن نقدم لك لاكتشاف الجديد "Capture the Flag". لن يتم إعطاء هذا الاتجاه مراجعة مفصلة. سيبقى هذا لمرور مستقل. (لكن ، إذا كان هناك متطوعون يرغبون في مشاركة إنجازاتهم أو نتائجهم أو حلولهم الأصلية. سنكون سعداء بإضافة أفكارك إلى قسم منفصل من المقالات. كمراجعة إضافية. مع ذكر الأبطال.

تحميل

بعض الإحصاءات:

في وقت كتابة هذا التقرير ، زاد عدد المختبرات من 505 إلى 664 - 700 قطعة.

تحليل معملي: إعادة ضبط الشبكة - Memcashed [نظرية]

Memcached عبارة عن برنامج يقوم بتنفيذ خدمة تخزين بيانات مستندة إلى جدول التجزئة. باستخدام مكتبة العميل ، يسمح لك بتخزين البيانات في ذاكرة الوصول العشوائي للعديد من الخوادم المتاحة (انظر wiki أو habr.com لمزيد من التفاصيل ).

ما هي الفائدة من هذا المنتج ، لماذا هذا الاهتمام؟
تكمن المشكلة في بساطة استخدام هذه الأداة في مصلحة "المهاجمين" لأن البروتوكول المستخدم في هذا التطبيق هو UDP. كما تتذكر ، ما هو الفرق بين بروتوكولي TCP و UDP ( دعني أذكركم الذين نسوا المثال: otvet.mail / Wiki أو link ). أي يتيح لك UDP إرسال بيانات الإطار دون القلق بشأن تلقيها من قبل المرسل إليه. والأهم من ذلك ، أن كمية البيانات المرسلة عبر UDP أكبر بعدة مرات من خلال TCP.

ولكن ما هو هذا الاهتمام؟ والحقيقة هي أنه عند الوصول إلى هذا البرنامج من خلال شبكة / إنترنت إلى منفذ 11211 بحجم حزمة واردة من 100 كيلو بايت. يمكن الحصول على الجواب في 1،000-50،000 مرة أكثر. تلك. المرسلة 100 كيلو بايت سيعود 100 000 كيلو بايت. نسبة جيدة؟ الأفضل!

ولكن ما هو الخطر؟ أنت تسأل. لماذا هذه المعلومات مطلوبة؟
ولكن المشكلة تكمن في ذلك: في الشبكات المحلية ومشغلي الاتصالات الذين لا يتحكمون في حركة المرور ، يمكن شن هجوم مثل خداع بروتوكول الإنترنت ، أي استبدال الملكية الفكرية الصادرة. اتضح الآن أنه لا يمكن للذكور أن يقدم نفسه فقط كأي شخص ، ولكن أيضًا نيابة عنه سيطلب أي معلومات.

وهنا اتضح هذا (موضح بإيجاز في الصورة):

1. أحد المهاجمين باستخدام IP spoofing spoofs له ip. على الملكية الفكرية "الضحية".
2. يجعل طلب إلى خادم Memcashed. مع تغيير عنوان IP
3. يستجيب الخادم للطلب. لكن الرد على النداء يرسل بالفعل إلى "الضحية"
4. تتلقى "الضحية" استجابة 100 مرة حجم الطلب.

ونتيجة لذلك ، هناك عدد كبير من هذه الردود على الطلب. قد يحدث هجوم Dos أو DDos اعتمادًا على عدد آلات zombie.

يمكن العثور على مزيد من التفاصيل هنا: securitylab ، xakep.ru ، 360totalsecurity

أو ابحث على جوجل.

التخفيف: كيفية إصلاح نقاط ضعف خادم Memcached؟
واحدة من أسهل الطرق لمنع إساءة استخدام خوادم Memcached لأن العاكسات هي جدار حماية أو حظر أو تقييد سرعات UDP على منفذ المصدر 11211. نظرًا لأن Memcached يستخدم INADDR_ANY ويبدأ بدعم UDP افتراضيًا ، يوصي المسؤولون بتعطيل دعم UDP إذا لم يستخدموه. لا يمكن إيقاف أي هجوم عبر Memcached بسهولة بواسطة مزودي خدمة الإنترنت (ISP) إذا تم السماح بانتحال عنوان IP على الإنترنت.

مثال على إيجاد خدمة باستخدام nmap (وليس الطريقة الأكثر عقلانية)
nmap 192.168.1.1 -p 11211 -sU -sS --script memcached-info

في دورة التمرين المعملي هذه ، ستكون قادرًا على التعرف على وظائف الاستخبارات البسيطة لخدمة Memcashed. حيث تتأثر الأدوات من ترسانة Metasploit. وأوامر نظام لينكس القياسية. ليس ذلك معقدا وعادية.

التحليل المعملي [الممارسة]

[القائمة]

يحتوي كل عمل مختبر على عناصر قائمة:
1. الاحالة
2. القواعد
3. إجابات لهذه المهمة
4. نصائح للحل. (ليس دائمًا وليس في جميع المختبرات)
5. مراجع للقراءة (بالإنجليزية فقط)

[الاحالة]

1. ابحث عن إصدار خادم memcached باستخدام nmap.
2. ابحث عن معلومات الإصدار باستخدام netcat أو telnet.
3. العثور على الحد الأقصى لعدد الاتصالات الواردة في وقت واحد المسموح بها من قبل خادم memcached استخدام البرامج النصية المتاحة nmap.
4. ابحث عن عدد العناصر الحالية على الخادم memcached باستخدام memcstat.
5. ابحث عن القيمة المخزنة في "علم" المفتاح من أزواج قيمة المفتاح التي تم إلقاؤها بواسطة وحدة metasploit المتاحة.
6. ابحث عن اسم جميع المفاتيح الموجودة على الخادم memcached باستخدام memcdump.

[ابدأ]

انقر على "رابط Lad" وستفتح نافذة جديدة مع محطة kali linux



ستكون هذه النافذة الرئيسية معك. (ليس أي أجهزة افتراضية. لقد تم بالفعل تثبيت كل شيء وتهيئته لك. جميع البرامج النصية للمختبر موجودة بالفعل في الداخل. ليست هناك حاجة للتنزيل والبحث عن وابتكار أي شيء!) كقاعدة (ولكن ليس دائمًا) تكون المواد والبرامج النصية وقواعد البيانات في مجلد الجذر ، أو في المنزل.

المهمة 1: ابحث عن إصدار خادم memcached باستخدام nmap.

تلميح معين بالفعل في وقت سابق. نستخدم nmap

 Nmap –p 11211 ipaddress –sV –p .    11211 -sV –    

يمكن العثور على مزيد من التفاصيل حول nmap في نهاية المقالة. في قسم إضافات. المواد سنضع أسرة هناك.

النتيجة: 1.5.12 (الإجابة في المختبر يكتبون 1.5.6 - يعرفون أفضل)

المهمة 2: ابحث عن معلومات الإصدار باستخدام netcat أو telnet.
كم لم يطلبوا:



لم أتلق إجابة

النتيجة: فشل في الحصول على النتيجة.

المهمة 3: ابحث عن الحد الأقصى لعدد الاتصالات الواردة المتزامنة التي يسمح بها الخادم memcached لاستخدام البرامج النصية nmap المتاحة.

تلميح: google search: memcached nmap



نتبع الروابط ونرى أن هناك بالفعل حلًا جاهزًا للعثور على معلومات حول memcache. نظرًا لأننا تأكدنا من تثبيت جميع البرامج النصية بالفعل ، فإننا نحاول:

 Nmap –p 111211 –script memcached-info 182.220.144.3 

النتيجة: 2147

المهمة 4: ابحث عن عدد العناصر الحالية على الخادم memcached باستخدام memcstat.

 memcstat –h memcstat --servers=”IP” 

النتيجة: curr_items: 10

المهمة 5: ابحث عن القيمة المخزنة في مفتاح "العلم" من أزواج قيم المفاتيح المعاد تعيينها بواسطة وحدة metasploit المتاحة

 use auxiliary/gather/memcached_extractor show options set rhosts 192.220.144.3 run 

استجابة البرنامج النصي: إشارة "VALUE flag 0 32 \ r \ n25c8dc1c75c9965dff9afd3c8ced2775 \ r \ nEND \ r \ n"
النتيجة: "VALUE flag 0 32 \ r \ n25c8dc1c75c9965dff9afd3c8ced2775 \ r \ nEND \ r \ n"
(25c8dc1c75c9965dff9afd3c8ced2775) من حيث المبدأ ، نفس الشيء.

المهمة 6: ابحث عن اسم كل المفاتيح على الخادم memcached باستخدام memcdump.

تلميح: نحن نعرفهم بالفعل. مع مساعدة من metasplit لدينا في المهمة السابقة. حسنًا ، ما زلنا نرى:

 root@attackdefense:~# memcdump 192.220.144.3 

العلم ، كلمة المرور ، البلد ، الرمز البريدي ، الولاية ، المدينة ، العنوان ، اللقب ، الاسم الأخير ، الاسم الأول


النتيجة: العلم ، كلمة المرور ، البلد ، الرمز البريدي ، الولاية ، المدينة ، العنوان ، الاسم المستعار ، اسم العائلة ، الاسم الأول

المهمة 7: ابحث عن القيمة المخزنة في مفتاح "first_name" باستخدام الأداة memcached.

تريد تجربتها بنفسك باستخدام الأداة memcached

النتيجة: ولكن الإجابة ستكون هي نفسها: جيمي
كيف عرفت ذلك؟ ننظر إلى لقطة شاشة من "النتيجة 5".

لتلخيص

1. بخصوص هذا المعمل

كما رأينا ، هناك عدة طرق لحل المهام المعينة (مرئية بوضوح في الأسئلة 5 و 6 و 7) ، والأهم من ذلك ، يعتمد وقتك على اختيار الحل.

لسوء الحظ ، ما زلت لم أفهم جوهر المهمة رقم 2. لكن للأسف ، لم أحقق النجاح ( أو ربما كان عليك فقط أن تفعل كل شيء مثل nmap –o ip "address" أو nmap -A "IP address. لكن هذه قصة أخرى).

2. فيما يتعلق المورد بأكمله.

ما أحببنا هذا المورد:


ما لم يعجبه:

أضف المواد

رجل nmap :
ورقة الغش :
رجل روس nmap

ملاحظة من المؤلفين: