🌪️ 🚃 🧙🏾 IDS बायपास का विश्लेषण पॉजिटिव हैक डेज 9 में हुआ 📷 👩🏼‍⚕️ 😪

पॉजिटिव हैक डेज़ 2019 अंतरराष्ट्रीय मंच ने पहली आईडीएस बायपास प्रतियोगिता की मेजबानी की। प्रतिभागियों को पांच नोड्स के एक नेटवर्क सेगमेंट की जांच करनी थी, फिर या तो सेवा की भेद्यता का फायदा उठाया, या निर्दिष्ट शर्त को पूरा किया (उदाहरण के लिए, एक विशिष्ट HTTP प्रतिक्रिया भेजें) और इस तरह झंडा प्राप्त करें। एक शोषण खोजना आसान था, लेकिन आईडीएस ने कार्य को जटिल कर दिया: सिस्टम प्रतिभागियों और नोड्स के बीच खड़ा था और प्रत्येक नेटवर्क पैकेट की जांच की। हमलावरों ने डैशबोर्ड पर देखा कि क्या हस्ताक्षर ने उनके कनेक्शन को अवरुद्ध कर दिया है। नीचे मैं आपको स्वयं कार्यों के बारे में विस्तार से बताऊंगा और उनके समाधान का विश्लेषण करूंगा।

100.64.0.11 - स्ट्रट्स

कार्य हल करने वालों की संख्या में पहला नोड स्ट्रट्स था। Nmap पोर्ट को स्कैन करने के बाद, हम अपाचे स्ट्रट्स सर्विस को पोर्ट 8080 पर पाते हैं।

# nmap -Pn -sV -p1-10000 100.64.0.11 631/tcp open ipp CUPS 2.1 8005/tcp open mxi? 8009/tcp open ajp13 Apache Jserv (Protocol v1.3) 8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1

2017 में अपाचे स्ट्रट्स के लिए भेद्यता की मृत्यु हो गई: ओजीएनएल इंजेक्शन का उपयोग करके, एक हमलावर प्राधिकरण के बिना स्ट्रट्स पर किसी भी कोड को निष्पादित कर सकता है। एक शोषण है, उदाहरण के लिए, GitHub पर, लेकिन IDS पकड़ा गया है:

[Drop] [**] [1:1001:1] Apache Struts2 OGNL inj in header (CVE-2017-5638) [**]

हस्ताक्षर कोड स्वयं प्रतिभागियों के लिए उपलब्ध नहीं है, लेकिन लॉग में संदेश से आप इसके संचालन के तंत्र को समझ सकते हैं। इस मामले में, हस्ताक्षर ने HTTP में एक OGNL इंजेक्शन का पता लगाया:

 GET /showcase.action HTTP/1.1 Accept-Encoding: identity Host: 100.64.0.11:8080 Content-Type: %{(#_='multipart/form-data')...

यदि हम आईडीएस के व्यवहार की जांच करते हैं, तो यह स्पष्ट हो जाएगा कि यह सामग्री-प्रकार हेडर की शुरुआत में संयोजन% {को पकड़ता है। कई समाधान हैं:

प्रतिभागी @empty_jack ने फ़ुज़रिंग के लिए अपने शब्दकोश के साथ वर्ण {{के संयोजन को तोड़ने की कोशिश की और इस प्रकार लाइन-टाइप:% $ {के साथ एक समाधान आया।
HTTP रिक्वेस्ट को Fuzz करें। सदस्य @ c00lhax0r ने पाया कि हेडर की शुरुआत में अशक्त चरित्र आईडीएस को भी बायपास करेगा: सामग्री-प्रकार: \ 0 $ {।
CVE-2017-5638 के लिए अधिकांश कारनामे एक प्रतिशत प्रतीक के साथ एक इंजेक्शन करते हैं। लेकिन इस और पिछले Apache Struts कमजोरियों के कुछ शोधकर्ता लिखते हैं कि इंजेक्शन% और $ दोनों के साथ शुरू हो सकता है। इस प्रकार, $ {का संयोजन आईडीएस हस्ताक्षर को बायपास करेगा और सिस्टम पर कोड निष्पादित करेगा। इस तरह के निर्णय की शुरुआत में कल्पना की गई थी।

यह कार्य सबसे आसान था, यह आठ प्रतिभागियों द्वारा तय किया गया था।

100.64.0.10 - सोलर

पोर्ट 8983 में जावा में लिखा अपाचे सोलर सर्वर था।

 $ nmap -Pn -sV -p1-10000 100.64.0.10 22/tcp open ssh (protocol 2.0) 8983/tcp open http Jetty

Apache Solr 5.3.0 के लिए एक शोषण आसान है - CVE-2019-0192 । एक हमलावर एक संग्रह में एक RMI सर्वर का पता खराब कर सकता है। ऑपरेशन के लिए ysoserial फ्रेमवर्क की आवश्यकता होती है, जो जावा ऑब्जेक्ट्स (गैजेट्स) की चेन जेनरेट करता है और उन्हें विभिन्न तरीकों से डिलीवर करता है। उदाहरण के लिए, JRMP सर्वर से।

बेशक, माथे में माथे के शोषण का उपयोग करते हुए, प्रतिभागियों को आईडीएस हस्ताक्षर ट्रिगर होते दिखाई देंगे:

[Drop] [**] [1:10002700:3001] ATTACK [PTsecurity] Java Object Deserialization RCE POP Chain (ysoserial Jdk7u21) [**]

Jdk7u21 केवल तीस भारों में से एक है, और उनकी पसंद कमजोर सेवा में उपयोग किए जाने वाले पुस्तकालयों पर निर्भर करती है। Jdk7u21 गैजेट श्रृंखला जावा डेवलपमेंट किट संस्करण 7u21 से केवल मानक कक्षाओं का उपयोग करती है, और CommonsCollections1 श्रृंखला में व्यापक रूप से उपयोग किए गए अपाचे कॉमन कलेक्शंस 3.1 से कक्षाएं शामिल हैं।

हमलावर सोलर संग्रह में आरएमआई सर्वर के पते को अपने स्वयं के साथ बदल देता है, और फिर जेआरएमपी सर्वर शुरू करता है। सोलर एक पते पर एक वस्तु का अनुरोध करता है और एक दुर्भावनापूर्ण जावा ऑब्जेक्ट प्राप्त करता है। इसके डीरियलाइज़ेशन के बाद, कोड को सर्वर पर निष्पादित किया जाता है।

हस्ताक्षर क्रमबद्ध जावा ऑब्जेक्ट में कक्षाओं के अनुक्रम पर आग लगाते हैं। यह हमलावर की मशीन से प्रेषित होता है और ट्रैफ़िक इस तरह से शुरू होता है:

इस समस्या का हल सरल था। हस्ताक्षर स्पष्ट रूप से Jdk7u21 को संदर्भित करता है। इसके चारों ओर जाने के लिए, आपको गैजेट्स की अन्य श्रृंखलाओं को आज़माना होगा। उदाहरण के लिए, CommonsCollections में से एक। आईडीएस में अन्य श्रृंखलाओं के लिए कोई हस्ताक्षर नहीं थे। प्रतिभागी सिस्टम पर एक शेल प्राप्त करेगा और ध्वज को पढ़ेगा। पांच प्रतिभागियों ने टास्क पूरा किया।

100.64.0.12 - एसएएमआर

प्रतियोगिता के सबसे कठिन और दिलचस्प कार्यों में से एक। यह एक विंडोज मशीन है जिसमें एक खुला 445 वां पोर्ट है। झंडे को सिस्टम के दो उपयोगकर्ताओं के नाम में विभाजित किया गया है, और कार्य को पूरा करने के लिए विंडोज नोड पर सभी उपयोगकर्ताओं की सूची प्राप्त करना आवश्यक था।

बेशक, MS17-010 और अन्य कारनामों ने इस मशीन पर काम नहीं किया। उदाहरण के लिए, उपयोगकर्ताओं को एनमैप या इंपेकेट फ्रेमवर्क से स्क्रिप्ट की गणना कर सकते हैं:

 $ python samrdump.py 100.64.0.12 Impacket v0.9.15 - Copyright 2002-2016 Core Security Technologies [*] Retrieving endpoint list from 100.64.0.12 [*] Trying protocol 445/SMB… Found domain(s): . SAMR . Builtin [*] Looking up users in domain SAMR [-] The NETBIOS connection with the remote host timed out. [*] No entries received.

दोनों परिदृश्य पोर्ट 445 पर मशीन से DCERPC अनुरोध करते हैं। लेकिन सब कुछ इतना सरल नहीं है: कुछ पैकेट आईडीएस द्वारा अवरुद्ध होते हैं, और इस समय दो हस्ताक्षर ट्रिगर होते हैं:

[**] [1:2001:2] SAMR DCERPC Bind [**]
[Drop] [**] [1:2002:2] SAMR EnumDomainUsers Request [**]

पहले एक एसएएमआर सेवा के लिए एक कनेक्शन का पता लगाता है और केवल एक ध्वज के साथ टीसीपी कनेक्शन को चिह्नित करता है। और दूसरा SAMR सेवा के लिए EnumDomainUsers अनुरोध द्वारा ट्रिगर किया गया है। इस सेवा के उपयोगकर्ताओं को प्राप्त करने के अन्य तरीके हैं: QueryDisplayInfo, QueryDisplayInfo2, QueryDisplayInfo3। उन सभी को भी हस्ताक्षरों द्वारा अवरुद्ध किया गया था।

DCERPC प्रोटोकॉल और विंडोज सेवाएं दूरस्थ साइट प्रबंधन के लिए जबरदस्त अवसर प्रदान करती हैं। इस प्रोटोकॉल का उपयोग सबसे प्रसिद्ध उपकरण जैसे PsExec या BloodHound द्वारा किया जाता है। एसएएमआर सेवा, यानी एसएएम रिमोट प्रोटोकॉल, आपको उपयोगकर्ताओं की सूची सहित मेजबान पर खातों के साथ काम करने की अनुमति देता है।

EnumDomainUser Impacket अनुरोध करने के लिए निम्न कार्य करता है:

SAMR सेवा के लिए एक DCERPC कनेक्शन SMB पर स्थापित किया गया है, और आगे के सभी अनुरोध इस सेवा के संदर्भ में चलते हैं। स्क्रीनशॉट से हस्ताक्षर पहले और आखिरी पैकेट पर काम करते हैं।

मैंने असाइनमेंट के दो सुराग दिए:

आपके प्रयासों के कारण IDS 2 अलर्ट उत्पन्न करते हैं। पहले देखो।
इस प्रोटोकॉल के लिए कौन से कनेक्शन की आज्ञा है?

यह DCERPC प्रोटोकॉल और कनेक्शन स्थापित करने के तरीके के बारे में है। उपलब्ध PDUs की सूची में, Bind और Alter Context कमांड संदर्भ को जोड़ने और बदलने के लिए जिम्मेदार हैं, और दूसरा कनेक्शन को तोड़ने के बिना वर्तमान संदर्भ को बदलने की अनुमति देता है।

इसे हल करने के लिए, समड्र स्क्रिप्ट के तर्क को फिर से लिखना आवश्यक था:

उदाहरण के लिए, UUID 3919286a-b10c-11d0-9ba8-00c04fd92ef5 के साथ एक अन्य सेवा के लिए बाइंड करें।
SAMR पर स्विच करने के लिए Alter Context का उपयोग करें।
EnumDomainUsers में अनुरोध भेजें।

परिवर्तन तीन लाइनों पर फिट होते हैं:

 < dce.bind(samr.MSRPC_UUID_SAMR) --- > dce.bind(uuid.uuidtup_to_bin(("3919286a-b10c-11d0-9ba8-00c04fd92ef5", "0.0"))) > dce.alter_ctx(samr.MSRPC_UUID_SAMR) > dce._ctx = 1

प्रतियोगिता के विजेता @ psih1337 द्वारा एक वैकल्पिक समाधान प्रस्तावित किया गया था। EnumDomainUsers क्वेरी ने नाम से नहीं, बल्कि SID (सुरक्षा आईडी) द्वारा उपयोगकर्ताओं की एक सूची वापस लौटा दी। SID एक यादृच्छिक संख्या नहीं है। उदाहरण के लिए, LocalSystem खाते में SID S-1-5-18 है, और मैन्युअल रूप से बनाए गए उपयोगकर्ताओं के लिए, यह 1000 से शुरू होता है।

इस प्रकार, 1000 से 2000 तक बीज को मैन्युअल रूप से सॉर्ट करना, सिस्टम में वांछित खातों को खोजने की बहुत संभावना है। वे 1008 और 1009 sids के तहत पाए गए।

इस कार्य के समाधान के लिए विंडोज इन्फ्रास्ट्रक्चर पर शोध करने में डीसीईआरपीसी प्रोटोकॉल और अनुभव की समझ की आवश्यकता है। @ psih1337 केवल एक ही था जिसने इसे तय किया।

100.64.0.13 - DNSCAT

पोर्ट 80 पर एक आईपी पते के लिए एक फार्म के साथ एक वेब पेज है।

यदि आप अपना आईपी निर्दिष्ट करते हैं, तो UDP पोर्ट 53 पर आता है:

 17:40:45.501553 IP 100.64.0.13.38730 > 100.64.0.187: 61936+ CNAME? dnscat.d2bc039ce800000000d6eae8eae3bf81fd84d1695f5888aba8dcec06d071.a73b3f0561ca4906d268214f4b70da1bdb50f75739ae0577139096732bf8.0d0a987ce23408bac15426a22e. (173) 17:40:45.501639 IP 100.64.0.187 > 100.64.0.13: ICMP 100.64.0.187 udp port domain unreachable, length 209 17:40:46.520457 IP 100.64.0.13.38730 > 100.64.0.187: 21842+ TXT? dnscat.7f4e039ce800000000d6eae8eae3bf81fd84d1695f5888aba8dcec06d071.a73b3f0561ca4906d268214f4b70da1bdb50f75739ae0577139096732bf8.0d0a987ce23408bac15426a22e. (173) 17:40:46.520546 IP 100.64.0.187 > 100.64.0.13: ICMP 100.64.0.187 udp port domain unreachable, length 209

स्पष्ट रूप से, यह DNSCAT है, जो DNS सुरंगों के लिए एक उपकरण है। प्रपत्र में आईपी पते को निर्दिष्ट करने के बाद, एक DNSCAT क्लाइंट इसके लिए एक कनेक्शन स्थापित करने की कोशिश करता है। यदि यह सफल होता है, तो सर्वर (यानी, प्रतिभागी) प्रतिस्पर्धी मशीन पर एक शेल प्राप्त करेगा और ध्वज को बाहर निकाल देगा।

बेशक, अगर हम सिर्फ DNSCAT सर्वर बढ़ाते हैं और कनेक्शन को स्वीकार करने की कोशिश करते हैं, तो हम असफल होंगे:

[Drop] [**] [1:4001:1] 'dnscat' string found in DNS response [**]

हमारे सर्वर से ट्रैफ़िक में dnscat लाइन पर IDS हस्ताक्षर चालू है - यह संदेश में स्पष्ट रूप से कहा गया है। ट्रैफ़िक को बाधित या एन्क्रिप्ट करना भी काम नहीं करेगा।

क्लाइंट कोड को देखते हुए, हम पाते हैं कि इसमें चेक पर्याप्त सख्त नहीं हैं। अर्थात, अनुक्रिया में dnscat लाइन बिल्कुल नहीं दिखाई दे सकती है! यह केवल इसे कोड से हटाने या नेटसेड उपयोगिता के साथ मक्खी पर प्रतिस्थापित करने के लिए बनी हुई है। तुरंत बदलना बहुत आसान है, लेकिन मैं अभी भी सर्वर कोड के लिए एक पैच दूंगा:

 diff -r dnscat2/server/libs/dnser.rb dnscat2_bypass/server/libs/dnser.rb < segments << unpack("a#{len}") > segments << [unpack("a#{len}")[0].upcase] < name.split(/\./).each do |segment| > name.upcase.split(/\./).each do |segment| diff -r dnscat2/server/tunnel_drivers/driver_dns.rb dnscat2_bypass/server/tunnel_drivers/driver_dns.rb < response = (response == "" ? "dnscat" : ("dnscat." + response)) > response = (response == "" ? "dnsCat" : ("dnsCat." + response))

प्रतियोगिता में इस असाइनमेंट के लिए पांच समाधान थे।

100.64.0.14 - POST

इस प्रतियोगिता वाहन से ध्वज किसी को नहीं मिला।

हम एक आईपी पते के साथ एक परिचित रूप देखते हैं। कोई हमें एक नए मैलवेयर के परीक्षण में भाग लेने के लिए प्रदान करता है। इसके नवाचारों में अज्ञात तरीके से आईडीएस को दरकिनार किया गया है। झंडे के लिए, आपको बस इसे HTTP हेडर "सर्वर: एनजी 1 एनएक्स" के जवाब में भेजना होगा। यह गर्म होगा।

जैसा कि अपेक्षित था: हमें अपने आईपी के लिए एक जीईटी अनुरोध मिलता है और एक प्रतिक्रिया भेजनी होती है जो आईडीएस द्वारा अवरुद्ध होती है।

[Drop] [**] [1:5002:1] 'ng1nx' Server header found. Malware shall not pass [**]

एक संकेत है:

कभी-कभी, कठिन दिखने वाले कार्य सबसे सरल होते हैं। यदि कुछ भी कमजोर नहीं लगता है, तो शायद आप अपनी नाक के नीचे कुछ याद कर रहे हैं?

हमारी नाक के सामने कुछ कमजोर है आईडीएस। प्रतिक्रिया पृष्ठ से, आप पा सकते हैं कि हमारे पास एक सुरीकाटा आईडी है।

"Suricata IDS बायपास" क्वेरी पर पहला लिंक CVE-2018-6794 की ओर जाता है। यदि टीसीपी संचार (टीसीपी हैंडशेक) के सामान्य पाठ्यक्रम का उल्लंघन किया जाता है और प्रक्रिया पूरी होने से पहले डेटा भेजा जाता है तो यह भेद्यता पैकेट निरीक्षण को बायपास करने की अनुमति देता है। यह इस तरह दिखता है:

 Client -> [SYN] [Seq=0 Ack=0] -> Evil Server # 1/2 Client <- [SYN, ACK] [Seq=0 Ack=1] <- Evil Server # 2/2 Client <- [PSH, ACK] [Seq=1 Ack=1] <- Evil Server # Data here Client <- [FIN, ACK] [Seq=83 Ack=1] <- Evil Server Client -> [ACK] [Seq=1 Ack=84] -> Evil Server # 3/2 Client -> [PSH, ACK] [Seq=1 Ack= 4] -> Evil Server

शोषण डाउनलोड करें, लाइन को "एनजी 1 एनएक्स" में बदलें, कर्नेल आरएसटी पैकेज बंद करें और चलाएं।

जैसा कि पहले ही उल्लेख किया गया है, किसी ने इस मशीन से झंडे प्राप्त नहीं किए, हालांकि प्रतिभागियों के एक जोड़े एक समाधान के करीब थे।

निष्कर्ष

प्रतियोगिता में पंजीकृत 49 प्रतिभागियों, 12 ने कम से कम एक ध्वज पारित किया। यह दिलचस्प है कि प्रतिस्पर्धी कार्यों में एक साथ कई समाधान हो सकते हैं, विशेष रूप से एसएमबी और डीसीईआरपीसी प्रोटोकॉल के साथ कार्य। हो सकता है कि कुछ कार्यों को पूरा करने के लिए आपके अपने विचार हों?

पुरस्कार विजेता स्थानों:

पहली जगह: @ psih1337
दूसरा स्थान: @ webr0ck
तीसरा स्थान: @empty_jack

हस्ताक्षर प्रतिक्रिया आँकड़े:

सभी प्रतिभागियों को धन्यवाद! अगले साल विभिन्न कठिनाई स्तरों के और भी अधिक कार्य होंगे।

किरिल शिपुलिन, सकारात्मक टेक्नोलॉजीज द्वारा पोस्ट किया गया