|
Несмотря на то, что все больше трафика подвергается
исследованию и ограничению, администраторы в основном
забывают про главный порт в их сети - 80-ый.
Пользователи, как и админы, постоянно бороздят просторы
Инета, как в рабочих целях так и в не очень. Так или
иначе, но большинству компаний нужно присутствие в Сети,
а это требует своего веб-сервера, размещенного у
провайдера или внутри собственной сети. С каждым новы
червем, багом, уязвимостью, найденной в IIS или Apache,
администраторы стараются все больше и больше закрыть
свой сервер от любопытных взглядов, внедряют IDS
(Intrusion Detection Systems) и IPS (Intrusion
Prevention Systems). Однако все это не 100% защита и ее
всегда можно обойти, о чем и будет рассказано в этой
статье.
Зачем нам HTTP туннелинг?
Ничего нового в самом туннелинге, конечно, нет.
Вероятно самым известным его применением является IPSec,
может быть SSH. Не все обеспечивают удаленный доступ
через IPSec или SSH, но если такой существует, то с
определенной вероятностью можно сказать, что на сервер
на котором они используются пробиться будет довольно
трудно. Посмотрим на сеть с другой стороны... Веб-сервер
- вот превосходная мишень для атаки. Именно с такого
сервера можно начать свое путешествие вглубь сети, даже
не взирая на то, если он защищен файрволом. Тут нам на
помощь и приходит HTTP туннелинг. Опасаясь различных
напастей админы внедряют все новые и новые системы
защиты, как на пути между инетом и сервером, так и на
сервере самом. В таких условиях использование HTTP
вероятно единственный способ обмануть их.
HTTP туннелинг позволяет клиенту инкапсулировать
трафик в HTTP заголовки. Затем трафик направляется к
серверу на другом конце канала и там пакеты программой
обрабатываются обратно, извлекаются данные из
заголовков, и только потом уже редиректятся к своей
конечной цели. По такой схеме можно передавать как UDP,
так и ТСР данные, это обусловлено самой природой
туннелирования.
Сейчас существует только две программы для HTTP
туннелирования. Одна с открытым кодом, другая продается
за деньги. Первая это GNU HTTPtunnel, вторая - HTTP Tunnel. Обе выполняют одну задачу
- передачу информации через HTTP.
HTTPtunnel в примере
Программу можно использовать для доступа к тем
портам, которые в нормальном состоянии недоступны.
Посмотрите на рисунок, слева атакующий, целевая система
- справа.
Роутер, допустим, имеет такие настройки:
inbound:
permit tcp any host WWW port 80
permit
tcp any host WWW port 443
permit tcp any host
DNS/SMTP port 25
permit udp any host DNS/SMTP
port 53
outbound:
permit ip any
any
Файрвол отстроен так:
inbound:
permit ip host DNS/SMTP host SSH eq
22
permit ip host DNS/SMTP host SSH eq
80
permit ip host DNS/SMTP host SSH eq
443
outbound:
permit ip any
any
Не обращайте внимание на некоторое упрощение схемы,
она достаточная для демонстрации. Представим, что
атакующему удалось взломать WWW сервер с IIS (ведь это
не так трудно представить? :)) и получить доступ к
командной строке. Хакер загружает скомпилированную
версию HTTP tunnel сервера (hts). Синтаксис командной
строки выглядит так:
hts.exe -F (SRC PORT) (TARGET):(DST PORT)
(SRC PORT) - порт который будет
форвардится
(TARGET) - IP адрес хоста на который
будут посылаться данные
(DST PORT) - целевой порт,
который будет принимать трафик.
В таком виде когда клиент посылает информацию на SRC
PORT и она будет пересылаться на DST PORT компьютера
TARGET. С установленным hts сервером атакующий стартует
клиента на своей системе и передает трафик на SRC PORT
сервера. Синтаксис клиента таков:
htc -F (SRC PORT) (TARGET):(DST PORT)
Все не более сложно: клиент слушает на SRC PORT и
передает на DST PORT компьютеру TARGET.
Вернемся к нашим баранам. Вот рисунок, иллюстрирующий
дальнейшее развитие ситуации: атакующий установил hts на
WWW и запустил клиента htc на своей системе.
Процесс hts слушает на 80 порту, в примере он
перенаправляет данные к 23 порту DNS/SMTP сервера.
Атакующий соединяется с 1025 портом на своей машине -
htc инкапсулирует трафик в HTTP заголовки - пересылает
на WWW на 80 порт - сервер принимает пакеты и вырезает
из них полезную информацию - передает на DNS/SMTP на 23
порт. Вот и выход - хотя телнетовский порт на прямую не
открыт, к нему мы достучались в обход и теперь с ним
можно делать практически все, что душе угодно.
Другая возможность - указать hts на удаленном сервере
на finger port (79) на SMTP/DNS машине и вывести список
всех пользователей системы. Дальше уже дело техники -
можно подбирать пароли к логинам брутфорсом, можно через
переполнение буфера в sadmind, в общем получить доступ к
серваку за роутером достаточно реально. Завоевав
SMTP/DNS можно и его использовать для дальнейшего
разворачивания атаки. Например, можно мониторить
соединения и определить потенциальные службы и
компьютеры, которые работают за файрволом, в
корпоративной сети за демилитаризованной зоной.
Обнаружив хост с SSH сервером можно использовать
SMTP/DNS и полученные данные о логинах/паролях для
соединения с новой целью...
Итак, становится ясно, что с использование HTTP
туннелинга можно обойти многие ограничения, налагаемые
администраторами. Это довольно удобный инструмент о
котором не следует забывать как защитникам, так и
нападающим :).
| _3963_3919_little.png)
_1079_1080_1078_little.png)
Навигация
ISRAland - РЕКЛАМА
