平台上的信息安全实例Attackdefense.com

...我们生活在一个大事件和小人们的时代
温斯顿·丘吉尔

今天，在著名会议组织者（ Black Hat and Pentes Academy ）的支持下，我们注意到来自资源Attackdefense.com的分析和实验室工作周期中的第一篇文章-该项目使您能够了解攻击各种协议，服务和系统的许多方面。 在大多数情况下，此资源是一个平台，其中包含有关最相关主题的实验室工作。

我们将立即回答在阅读本材料期间可能出现的一些问题：


在本文中，我们简要回顾一下：

• 有关功能和资源的歌词。 它将给我们带来什么。
• 资源提供什么类型的“攻击”。
• 根据我们将描述的实验室工作，有关攻击媒介的材料。
• “测试”实验室之一的解决方案。
• 结论

已计划以下文章：

• 完成一种攻击方向的实线。 （流量分析）
• 我们将为课程准备材料。
• 让我们分析解决实验室工作时出现的主要错误。
• 我们将收集关于该方向的简要理论（主题/婴儿床）
• 我们回答上一篇文章中的问题。

引言

我们追求的目标：培养那些以前没有专门研究该主题但对这个领域有浓厚兴趣的人们对服务研究的兴趣。

一些人和社区已经开始这个话题，但是没有人透露这个资源的潜力。 我们试图提供的，其他人没有提供的。 这些是出现特定漏洞的技术中的解释，这将有助于了解为什么会产生此漏洞以及如何将其关闭，避免或消除。

对于已经形成观点并拥有自己发展方向的更加熟练的人 ，我们建议您使自己熟悉为自己发现新载体的可能性。

对于专业人士，我们为您提供发现新的“夺旗”的机会。 该方向将不作详细审查。 这将保留供独立通过。 （但是，如果有志愿分享他们的成就，成果或原始解决方案的志愿者。我们很高兴将您的想法添加到文章的单独部分。作为附加评论。提到英雄。

载入中

一些统计：

在撰写本文时，实验室的数量已从505-664-700个增加。

实验室分析：网络侦查-植入[理论]

Memcached是一种软件，可实现基于哈希表的数据缓存服务。 使用客户端库，它可以将数据缓存在许多可用服务器的RAM中（有关更多详细信息，请参见wiki或habr.com ）。

该产品的目的是什么？为什么要给予如此关注？
问题在于为了“攻击者”的利益而使用此工具的简单性，因为此应用程序中使用的协议是UDP。 您记得，TCP和UDP协议有什么区别（ 让我提醒您忘记了示例： otvet.mail / Wiki或link ）。 即 UDP使您可以发送帧数据，而不必担心收件人接收它。 最重要的是，通过UDP传输的数据量是通过TCP传输的数据量的许多倍。

但是，这种关注是什么？ 事实是，当通过网络/ Internet访问端口11211的软件时，传入的数据包大小为100 kb。 答案可以多获得1,000-50,000倍。 那些。 发送100 kb将返回100 000 kb。 比率好吗？ 最好的！

但是有什么危险呢？ 你问。 为什么需要此信息？
但是问题是这样的：在不控制流量的本地网络和电信运营商中，可能会发生ip欺骗之类的攻击，即 替换传出IP。 事实证明，现在，犯罪分子不仅可以自我介绍为任何人，而且可以代表他要求任何信息。

事实证明（在图中简要说明）：

1. 使用ip欺骗的攻击者欺骗了他的ip。 在IP“受害者”。
2. 向Memcashed服务器发出请求。 使用更改的IP地址
3. 服务器响应该请求。 但是对上诉的回应已经传达给“受害者”
4. “受害者”收到的响应是请求大小的100倍。

结果，大量的这种请求响应。 根据僵尸计算机的数量，可能会发生Dos或DDos攻击。

可以在这里找到更多详细信息： securitylab ， xakep.ru ， 360totalsecurity

或在Google上搜索。

缓解措施：如何修复Memcached服务器漏洞？
防止Memcached服务器误用作反射器的最简单方法之一是在源端口11211上防火墙，阻止或限制UDP速度。由于Memcached使用INADDR_ANY并默认情况下以UDP支持开头，因此管理员建议如果不使用UDP，请禁用UDP支持。 如果Internet上允许欺骗IP，则Internet服务提供商（ISP）无法轻易阻止通过Memcached进行的攻击。

使用nmap查找服务的示例（不是最合理的方法）
nmap 192.168.1.1 -p 11211 -sU -sS --script memcached-info

在这一系列实验室工作中，您可以熟悉Memcashed服务的简单智能功能。 Metasploit武库中的工具将受到影响。 和标准的Linux系统命令。 没有那么复杂和普通。

实验室分析[实践]

[菜单]

每个实验室工作都有以下菜单项：
1.作业
2.规则
3.任务的答案
4.解决技巧。 （并非总是如此，并非在所有实验室中都如此）
5.阅读参考（仅限En）

[任务]

1.使用nmap查找memcached服务器的版本。
2.使用netcat或telnet查找版本信息。
3.使用可用的nmap脚本查找memcached服务器允许的最大同时传入连接数。
4.使用memcstat查找memcached服务器上的当前项目数。
5.从可用的metasploit模块转储的键值对中找到存储在键“ flag”中的值。
6.使用memcdump查找存在于memcached服务器上的所有键的名称。

[开始]

单击“梯形链接”，将打开一个带有kali linux终端的新窗口



这将是我们与您的主要窗口。 （不是任何虚拟机。已经为您安装并配置了所有内容。实验室的所有脚本都已经在其中。无需下载，搜索，发明任何东西！） 通常（但并非总是），材料，脚本和数据库位于根文件夹中，还是在家

任务1：使用nmap查找memcached服务器的版本。

提示早已给出。 我们使用nmap

 Nmap –p 11211 ipaddress –sV –p .    11211 -sV –    

有关nmap的更多详细信息，请参见本文末尾。 在附加部分中。 材料。 我们将婴儿床放在那里。

结果： 1.5.12（在实验室中，他们写1.5.6的答案-他们知道得更多）

任务2：使用netcat或telnet查找版本信息。
他们没有问多少？



我还没有收到答案。

结果：无法获得结果。

任务3：查找内存缓存服务器允许使用可用nmap脚本的最大并发传入连接数。

提示：谷歌搜索：memcached nmap



我们通过链接发现，已经有一种现成的解决方案来查找有关内存缓存的信息。 由于我们确信已经安装了所有脚本，因此我们尝试：

 Nmap –p 111211 –script memcached-info 182.220.144.3 

结果： 2147

任务4：使用memcstat查找memcached服务器上的当前项目数。

 memcstat –h memcstat --servers=”IP” 

结果： curr_items：10

任务5：从可用metasploit模块重置的成对键值对中找到存储在“ flag”键中的值

 use auxiliary/gather/memcached_extractor show options set rhosts 192.220.144.3 run 

脚本响应：标志“ VALUE标志0 32 \ r \ n25c8dc1c75c9965dff9afd3c8ced2775 \ r \ nEND \ r \ n”
结果： “ VALUE标志0 32 \ r \ n25c8dc1c75c9965dff9afd3c8ced2775 \ r \ nEND \ r \ n”
（25c8dc1c75c9965dff9afd3c8ced2775）原则上是一样。

任务6：使用memcdump查找memcached服务器上所有键的名称。

提示：我们已经认识他们。 在上一个任务中我们的拆分帮助下。 好了，我们仍然可以看到：

 root@attackdefense:~# memcdump 192.220.144.3 

标志，密码，国家，邮政编码，州，城市，地址，昵称，姓氏，名字


结果：标志，密码，国家，邮政编码，州，城市，地址，昵称，姓氏，名字

任务7：使用memcached工具查找存储在“ first_name”键中的值。

您想使用memcached-tool自己尝试

结果：但是答案将是一样的：吉米
你是怎么发现的？ 我们看一下“结果5”中的屏幕截图。

总结一下

1.关于本实验

如我们所见，有几种方法可以解决分配的任务（在问题5、6和7上清晰可见），最重要的是，您的时间取决于解决方案的选择。

不幸的是，我仍然不了解任务2的实质。 但是，可惜，我并没有获得成功（ 或者您可能只需要执行nmap –o ip“地址”或nmap –A“ ip地址。这是另一回事）。

2.关于整个资源。

我们喜欢此资源的地方：


什么不喜欢：

添加。 用料

曼纳普 ：
备忘单 ：
曼努斯·纳马普

PS作者的补充：