HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: Tìm hiểu DotDotPwn Sử dụng DotDotPwn để rà soát lỗ hổng Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực hiện: Ngơ Đức Bình Mã sinh viên: B18DCAT018 Hà Nội 2021 Mục lục DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT DANH MỤC HÌNH ẢNH DANH MỤC BẢNG BIỂU LỜI MỞ ĐẦU Chương Giới thiệu chung 1.1 Giới thiệu kiểm thử xâm nhập 1.1.1 Kiểm thử xâm nhập 1.1.2 Các giai đoạn kiểm thử xâm nhập 1.1.3 Các phương pháp kiểm thử xâm nhập 11 1.1.4 Kiểm thử xâm nhập tường lửa ứng dụng web 12 1.2 Giới thiệu lỗ hổng directory traversal 13 1.2.1 Directory traversal 13 1.2.2 Đọc file tuỳ ý directory traversal 13 1.2.3 Những trở ngại thường gặp khai thác lỗ hổng path traversal 14 1.2.4 Cách phịng chống cơng directory traversal 15 1.3 Giới thiệu Fuzzing 16 1.3.1 Ví dụ đơn giản 16 1.3.2 Lịch sử 17 1.3.3 Triển khai Fuzzer 17 1.3.4 So sánh với phân tích mật mã 17 1.3.5 Các kiểu công 18 1.3.6 Fuzzing ứng dụng 18 1.3.7 Fuzzing giao thức 19 1.3.8 Fuzzing định dạng file 19 1.3.9 Ưu điểm fuzzer 19 1.3.10 Hạn chế fuzzer 19 1.3 Giới thiệu DotDotPwn 20 1.4 Lịch sử hình thành 20 Chương Hướng dẫn cài đặt sử dụng 22 2.1 Cài đặt DotDotPwn 22 2.2 Sử dụng DotDotPwn 22 2.2.1 Khởi động tuỳ chọn 22 2.2.2 Chế độ HTTP 23 2.2.3 Chế độ HTTP URL 24 2.2.4 Chế độ FTP 24 2.2.5 Chế độ TFTP 25 2.2.6 Chế độ PAYLOAD 25 2.2.7 Chế độ STDOUT 25 Chương Bài lab kịch demo 26 3.1 Dùng DotDotPwn để tạo đường dẫn chế độ stdout 26 3.1.1 Yêu cầu 26 3.1.2 Tiến hành 26 3.2 Dùng DotDotPwn để quét chế độ http-url 28 3.2.1 Yêu cầu 28 3.2.2 Tiến hành 28 Chương So sánh, đánh giá 31 4.1 So sánh 31 4.2 Đánh giá 32 Kết luận 33 Tài liệu tham khảo 34 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng Anh/Giải thích Thuật ngữ tiếng Việt/Giải thích Giao diện lập trình ứng dụng API Application Programming Interface CSRF Cross-site Request Forgery DNS Domain Name System Hệ thống phân giải tên miền DoS Denial Of Service Hình thức công từ chối dịch vụ ERP Enterprise Resource Planning Hoạch định nguồn lực doanh nghiệp FTP File Transfer Protocol Giao thức truyền tải tập tin HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn HTTPS Hypertext Transfer Protocol Secure IP Internet Protocol Kỹ thuật công giả mạo chủ thể Giao thức truyền tải siêu văn bảo mật Giao thức Internet Tiêu chuẩn an ninh thông tin bắt PCI DSS Payment Card Industry Data buộc dành cho doanh nghiệp lưu Security Standard trữ, truyền tải xử lý thẻ toán Kiến trúc sử dụng việc giao REST Representational State Transfer tiếp máy khách máy chủ web RPC Remote Procedure Call Cuộc gọi thủ tục từ xa Bộ tiêu chí phát triển Viện SOC System and Organization Controls Kế tốn Cơng chứng Hoa Kỳ (AICPA) SQL Structured Query Language Ngôn ngữ truy vấn liệu Tiêu chuẩn công nghệ bảo mật, SSL Secure Sockets Layer truyền thơng mã hố máy chủ Web server trình duyệt Kỹ thuật cơng u cầu giả mạo SSRF Server Side Request Forgery STDOUT Standard Output Đầu tiêu chuẩn TCP Transmission Control Protocol Giao thức điều khiển truyền vận TFTP Trivial File Transfer Protocol UDP User Datagram Protocol Giao thức liệu người dùng UI User Interface Giao diện người dùng URL Uniform Resource Locator Định vị tài nguyên thống WAF Web Application Firewall Tường lửa ứng dụng web từ phía máy chủ Giao thức truyền tải tập tin tầm thường Lỗi bảo mật cho phép người XSS Cross Site Scripting công chèn đoạn script nguy hiểm vào source code ứng dụng web DANH MỤC HÌNH ẢNH Hình Quy trình kiểm thử xâm nhập Hình Minh hoạ lỗ hổng Directory Traversal 13 Hình Trang web bWAPP 26 Hình Thực thi câu lệnh 27 Hình Nội dung file passwd 28 Hình DotDotPwn tìm lỗ hổng 29 Hình File passwd 30 DANH MỤC BẢNG BIỂU Bảng Lịch sử hình thành 21 Bảng Danh sách tuỳ chọn 23 Bảng So sánh DotDotPwn với vài công cụ khác 32 LỜI MỞ ĐẦU Với phát triển nhanh chóng Internet, ngày có nhiều trang web hệ thống tạo Kèm theo nhu cầu bảo vệ hệ thống mạng ngày tăng cao trở thành vấn đề quan tâm hàng đầu Đa số trang web hay hệ thống tồn một vài lỗ hổng trở thành mục tiêu kẻ công Thiệt hại gây từ kẻ cơng trở nên lớn hệ thống không bảo vệ cách Để đảm bảo hệ thống hay trang web an toàn, người ta tạo kỹ thuật kiểm thử xâm nhập (Penetration Testing) Các kỹ thuật dùng để phát lỗ hổng, rủi ro hay mối đe doạ bảo mật mà hacker khai thác ứng dụng phần mềm, mạng hay ứng dụng web Mục đích kiểm thử xâm nhập xác định kiểm tra tất lỗ hổng bảo mật có phần mềm Một số công cụ dùng để kiểm thử xâm nhập DotDotPwn, có khả tìm kiếm lỗ hổng Traversal Directory Chương Giới thiệu chung 1.1 Giới thiệu kiểm thử xâm nhập 1.1.1 Kiểm thử xâm nhập Kiểm thử xâm nhập (Penetration Testing hay Pentest) q trình mơ cơng tới hệ thống máy tính để tìm lỗ hổng khai thác Trong bảo mật ứng dụng web, kiểm thử xâm nhập web thường dùng để tăng cường bảo mật cho tường lửa ứng dụng web (Web Application Firewall, WAF) Kiểm thử xâm nhập liên quan đến việc cố gắng xâm nhập hệ thống ứng dụng (ví dụ giao diện lập trình ứng dụng (API), server frontend/backend) để tìm lỗ hổng bảo mật Thông tin thu sau kiểm thử dùng để tinh chỉnh sách bảo mật vá lỗ hổng 1.1.2 Các giai đoạn kiểm thử xâm nhập Quy trình kiểm thử xâm nhập gồm giai đoạn Hình Quy trình kiểm thử xâm nhập Giai đoạn 1: Lập kế hoạch trinh sát Giai đoạn bao gồm: • Xác định mục tiêu phạm vi thử nghiệm, bao gồm hệ thống đích phương pháp sử dụng • Thu thập thơng tin (ví dụ mạng tên miền, mail server) để hiểu rõ cách thức hoạt động đối tượng lỗ hổng tiềm ẩn Giai đoạn 2: Rà quét Giai đoạn để hiểu cách ứng dụng phản hồi lại với hành động xâm nhập khác Việc thường làm cách: • Phân tích tĩnh: Kiểm tra code ứng dụng để ước tính cách thức hoạt động Các cơng cụ qt tồn code lần chạy • Phân tích động: Kiểm tra code ứng dụng chạy Đây cách quét thực tế hơn, cung cấp nhìn thực tế hiệu suất ứng dụng Giai đoạn 3: Có quyền truy cập Giai đoạn sử dụng kỹ thuật cơng ứng dụng web, ví dụ cross-site scripting, SQL injection hay backdoor, để tìm lỗ hổng bảo mật mục tiêu Sau người kiểm tra thử khai thác lỗ hổng đó, thường cách leo thang đặc quyền, đánh cắp liệu, chặn lưu lượng truy cập, v.v., để hiểu thiệt hại gây Giai đoạn 4: Duy trì quyền truy cập Mục tiêu giai đoạn để xem liệu lỗ hổng sử dụng để khai thác lâu dài hệ thống hay không – đủ lâu để kẻ cơng truy cập sâu Ý tưởng bắt chước mối đe doạ nâng cao, thường tồn hệ thống hàng tháng để đánh cắp liệu nhạy cảm tổ chức Giai đoạn 5: Phân tích 10 1.3 Giới thiệu DotDotPwn DotDotPwn công cụ fuzzing thông minh cho phép kẻ cơng tìm lỗ hổng tiềm ẩn liên quan đến directory traversal dịch vụ Cơng cụ hoạt động tốt giúp phát lỗi giao thức web server TFTP, HTTP FTP Cơng cụ hữu dụng sử dụng để kiểm thử ứng dụng web Công cụ viết ngôn ngữ Perl 1.4 Lịch sử hình thành Thời gian Phiên 21/8/2010 v1.0 Nội dung Phát hành lần đầu -update để cập nhật liệu Chỉ tìm file boot.ini Windows HTTP/FTP server 2/9/2010 v2.0 (không công khai) Từ công cụ kiểm tra thành fuzzer -O để tìm hệ điều hành -s để phát dịch vụ -d chọn độ sâu -f nhận file -U -P để nhập username, password -t thời gian lần thử -x chọn cổng TCP/UDP khác -b dừng tìm lỗ hổng -q chế độ im lặng 14/10/2010 v2.1 (không công khai) STDOUT module 29/10/2010 v2.1 (ra mắt BugCon Security TFTO module Conferences 2010) -k tìm từ khố để tránh kết sai lệch 20 -p chọn payload 21/7/2011 v3.0beta (demo Campus Party Mexico 2011) 3/8/2011 v3.0beta (ra mắt Black Hat USA 2011) Tạo User-Agent ngẫu nhiên để tránh phát -o để chọn hệ điều hành biết -E tìm file người dùng định nghĩa -r xuất kết quét vào file mong muốn 3/2/2012 v3.0 (ra mắt BugCon Security Conferences 2012) -X áp dụng thuật toán Bisection -M để chọn phương thức mong muốn -e thêm đuôi mở rộng vào cuối chuỗi fuzz 2/8/2013 v3.0.1 Thay đổi HTTP module -C để tiếp tục fuzzing -S để thêm SSL cho chế độ http Chế độ http-url hỗ trợ SSL 9/11/2016 v3.0.2 Sửa lỗi cải thiện Bảng Lịch sử hình thành 21 Chương Hướng dẫn cài đặt sử dụng 2.1 Cài đặt DotDotPwn Các tảng hỗ trợ: Linux, Windows, OS X Các phần mềm/môi trường cần thiết: • Perl • Nmap (dùng cho tính phát hệ điều hành) Thực lệnh tải DotDotPwn từ trang GitHub thức (Linux): $ git clone https://github.com/wireghoul/dotdotpwn.git Hoặc Kali Linux: $ sudo apt install dotdotpwn 2.2 Sử dụng DotDotPwn 2.2.1 Khởi động tuỳ chọn Tại thư mục chứa DotDotPwn, thực lệnh sau để khởi động công cụ: $ /dotdotpwn.pl Các tuỳ chọn: Tuỳ Nội dung chọn -m Chọn chế độ (http, http-url, ftp, tftp, payload, stdout) -h Địa đích -O Phát hệ điều hành -o Hệ điều hành biết -s Phát dịch vụ 22 -d Độ sâu -f Tên file cho trước -E Thêm file -S Sử dụng SSL chế độ HTTP Payload -u URL với phần cần tìm kiếm đánh dấu TRAVERSAL -k Từ khố cần tìm -p Tên file chứa payload cần gửi phần cần dị tìm đánh dấu từ khoá TRAVERSAL -x Cổng để kết nối -t Thời gian nghỉ lần thử (mili giây) -X Sử dụng thuật tốn Bisection để tìm độ sâu xác -e Phần thêm vào cuối chuỗi dị tìm -U Tên đăng nhập -P Mật -M Phương thức dùng chế độ ‘http’ -r Tên file báo cáo -b Ngắt sau tìm lỗ hổng -q Chế độ im lặng -C Tiếp tục không nhận liệu từ máy chủ Bảng Danh sách tuỳ chọn 2.2.2 Chế độ HTTP /dotdotpwn.pl -m http -h 192.168.1.1 -x 8080 -f /etc/hosts -k "localhost" -d -t 200 -s DotDotPwn gửi yêu cầu giây (-t) tới web server (-m) cổng 8080 (-x) cài đặt 192.168.1.1 (-h) Thêm vào đó, công cụ cố lấy file /etc/hosts (-f) để tránh kết sai lệch, công cụ thực kiểm tra phản hồi server để tìm từ khố “localhost”, tồn coi có lỗ hổng Ngồi ra, để lấy thêm thơng tin, cơng cụ 23 lấy banner web server DotDotPwn lưu kết quét vào file tên 192.168.1.1__ thư mục Reports ./dotdotpwn.pl -m http -h 192.168.1.1 -O -X -M POST -e php -E DotDotPwn tiến hành phát hệ điều hành chạy máy mục tiêu (-O) phát được, công cụ dị tìm dựa hệ điều hành Sau đó, tất yêu cầu HTTP tiến hành theo phương thức định sẵn, phương thức POST thay GET (-M) Ở cuối yêu cầu dị tìm, cơng cụ gán thêm php (-e) Tuỳ chọn -E khiến cơng cụ tìm kiếm file khác định nghĩa TraversalEngine.pm (mặc định “config.inc.php” “web.config”) Cuối cùng, công cụ áp dụng thuật toán Bisection (-X) để phát độ sâu lỗ hổng, nên tìm lỗ hổng, thuật tốn cố tìm độ sâu số yêu cầu tối thiểu 2.2.3 Chế độ HTTP URL /dotdotpwn.pl -m http-url -u http://192.168.1.1:10000/unauthenticated/TRAVERSAL -O -k "root:" -r webmin.txt DotDotPwn cố phát hệ điều hành chạy 192.168.1.1 (-O) phát được, công cụ dị tìm dựa hệ điều hành Sau đó, cơng cụ thay phần TRAVERSAL nằm URL cho trước (-u) gửi yêu cầu đến web server cổng 10000 Cuối cùng, để tránh kết sai lệch, công cụ kiểm tra phản hồi server lần để tìm từ khố “root”, tồn coi có lỗ hổng Nếu coi file nhận /etc/password, chắn từ khoá “root” nằm đầu file DotDotPwn lưu kết quét vào file tên webmin.txt nằm thư mục Reports 2.2.4 Chế độ FTP /dotdotpwn.pl -m ftp -h 192.168.1.1 -s -U nitr0us -P n1tr0u5pwnzj00 -o windows q -r ftp_server.txt Trước hết DotDotPwn cố nhận thông điệp biểu ngữ (-s) FTP server (-m), sau đó, cố đăng nhập tên đăng nhập (-U) mật (-P) cho trước trường 24 hợp server không cho phép truy cập ẩn danh Sau xác thực, cơng cụ cố tìm file thơng dụng hệ điều hành Windows (-o) lưu vào thư mục “retrieved_file” Thêm vào đó, DotDotPwn khơng in chi tiết hành động, mà hoạt động im lặng (-q) in dấu hiệu phát lỗ hổng Công cụ lưu kết quét vào vào file ftp_server.txt (-r) thư mục Reports 2.2.5 Chế độ TFTP /dotdotpwn.pl -m tftp -h 192.168.1.1 -b -t -f windows/system32/drivers/etc/hosts DotDotPwn gửi tín hiệu truy cập tới TFTP server (-m) địa 192.166.1.1 (h) mili giây, nghĩa nhanh Sau đó, DotDotPwn hồn thành tìm kiếm tìm lỗ hổng (-b) Phần tìm kiếm nhắm vào file nằm windows/system32/drivers/etc/hosts (-f) DotDotPwn lưu kết quét vào file tên 192.168.1.1__ thư mục Reports 2.2.6 Chế độ PAYLOAD /dotdotpwn.pl -m payload -h 192.168.1.1 -x 10000 -p payload_sample_1.txt -k "root:" -f /etc/passwd Công cụ thay phần TRAVERSAL nằm file payload (-p) với đường dẫn vừa tạo gửi payload tìm kiếm cho TCP server (trong trường hợp Webmin) cổng 10000 (-x) có địa 192.168.1.1 (-h) Cuối cùng, DotDotPwn tìm từ khoá “root:” (-k) phản hồi server, xuất coi có lỗ hổng Chỉ định file cần nhận /etc/passwd (-f), chắn từ khoá “root:” nằm đầu file DotDotPwn lưu kết quét file tên 192.168.1.1__ thư mục Reports 2.2.7 Chế độ STDOUT /dotdotpwn.pl -m stdout -d 25 Công cụ tạo đường dẫn tìm kiếm với độ sâu mức độ DotDotPwn in kết file, nên dùng theo ý muốn, ví dụ thêm đường dẫn vào ứng dụng, pipe, socket, v.v [4] Chương Bài lab kịch demo 3.1 Dùng DotDotPwn để tạo đường dẫn chế độ stdout Video demo: https://drive.google.com/file/d/1YAFJokCCwHFlrUFcWeI0OIYvnELTQlHz/view?usp=sh aring 3.1.1 Yêu cầu • Máy ảo bee-box chạy ứng dụng web bWAPP (https://sourceforge.net/projects/bwapp/files/bee-box/) • Máy kali linux cài đặt DotDotPwn 3.1.2 Tiến hành Chọn mục Directory Traversal – Files bWAPP Hình Trang web bWAPP Từ trang này, thay phần “message.txt” url đường dẫn Mục tiêu tìm đường dẫn đến file quan trọng đó, giả sử file /etc/passwd Trên máy kali linux, chạy DotDotPwn với câu lệnh sau: 26 $ sudo /dotdotpwn.pl -m stdout -f etc/passwd > /tmp/fuzz.txt Câu lệnh tạo đường dẫn dẫn đến file etc/passwd xuất vào file fuzz.txt Chúng ta dùng file làm đường dẫn cho cơng cụ cơng khác Hình Thực thi câu lệnh Tuy nhiên tự chép đường dẫn thử Kết sau thay “message.txt” công cụ với đường dẫn “ / / / / /etc/passwd”, xem nội dung file passwd, Directory Traversal thành công 27 Hình Nội dung file passwd 3.2 Dùng DotDotPwn để quét chế độ http-url Video demo: https://drive.google.com/file/d/1HcpxLZGyF25A1gC639NjTzvAzS6nBHK/view?usp=sharing 3.2.1 Yêu cầu • Máy ảo Kioptrix: 2014 (#5) (https://www.vulnhub.com/entry/kioptrix-20145,62/) • Máy kali linux cài đặt DotDotPwn 3.2.2 Tiến hành Máy ảo Kioptrix 2014 cài đặt pChart 2.1.3 chứa lỗ hổng directory traversal Ứng dụng cho phép thực thi script thử quét đường dẫn Đường dẫn dùng để quét (thay phần IP với IP thực tế): http://192.168.188.130/pChart2.1.3/examples/index.php?Action=View&Script= Khởi động DotDotPwn với câu lệnh: 28 $ /dotdotpwn.pl -m http-url -u http://192.168.188.130/pChart2.1.3/examples/index.php?Action=View\&Script=/TRAVE RSAL -o unix -k "root:" Ở tìm kiếm file có chứa từ khố “root:”, thường file passwd Hình DotDotPwn tìm lỗ hổng Kết quét đường dẫn đến file passwd 29 Hình File passwd 30 Chương So sánh, đánh giá 4.1 So sánh DotDotPwn so với vài công cụ quét lỗ hổng Directory Traversal khác: Tên DotDotPwn DirSearch 0d1n Fuzzapi cơng cụ Tính - Hỗ trợ HTTP, HTTP - Hỗ trợ - Brute force đăng - Kiểm thử URL, FTP, TFTP, url nhập REST API - Phát thư mục - Có giao - Phát SQL diện người Injection lỗ hổng dùng Payload, STDOUT XSS - Phát SSRF - Phát Command injection - Hỗ trợ nạp ANTICSRF token yêu cầu - Hỗ trợ sử dụng proxy ngẫu nhiên yêu cầu - Hỗ trợ ngẫu nhiên useragent yêu cầu - Hỗ trợ kiểm tra keep alive - Tính khác 31 Hệ điều OS X, *NIX, Windows Linux FreeBSD, Linux Linux Go C Ruby hành Ngôn Pearl ngữ Bảng So sánh DotDotPwn với vài công cụ khác 4.2 Đánh giá Về khả tìm kiếm lỗ hổng directory traversal, DotDotPwn linh hoạt với nhiều chế độ khác Ngoài nhờ vào chế độ STDOUT, DotDotPwn tạo danh sách đường dẫn dùng cho công cụ khác DotDotPwn dễ cài đặt, cần Perl Nmap sử dụng nhiều tảng Tuy nhiên người dùng muốn kết tốt phải tự định nghĩa file cần tìm Bên cạnh người sử dụng cần phải có đường dẫn thích hợp kết tốt hay bắt yêu cầu thích hợp cho payload DotDotPwn khơng có chế độ brute force giống vài cơng cụ khác để tìm kiếm lỗ hổng directory traversal, tốc độ quét chậm 32 Kết luận Bài báo cáo trình bày khái niệm tổng quát kiểm thử xâm nhập, lỗ hổng Directory Traversal, fuzzing công cụ DotDotPwn Bài báo cáo hướng dẫn cài đặt sử dụng công cụ DotDotPwn hệ điều hành linux Các cú pháp tuỳ chọn công cụ rõ ràng Thêm vào lab ví dụ hoạt động cơng cụ DotDotPwn việc tìm kiếm lỗ hổng Directory Traversal Cuối cùng, báo cáo tiến hành so sánh đánh giá công cụ DotDotPwn Nhìn chung, DotDotPwn cơng cụ kiểm thử lỗ hổng directory traversal mạnh Tuy nhiên để phát huy tối đa khả người dùng phải tinh chỉnh nhiều, phần phức tạp hệ thống web ngày 33 Tài liệu tham khảo [1] Imperva, "What is Penetration Testing | Step-By-Step Process & Methods | Imperva," [Online] Available: https://www.imperva.com/learn/applicationsecurity/penetration-testing/ [Accessed 23 December 2021] [2] PortSwigger, "What is directory traversal, and how to prevent it? | Web Security Academy," PortSwigger Ltd., [Online] Available: https://portswigger.net/websecurity/file-path-traversal [Accessed 23 December 2121] [3] OWASP, "Fuzzing | OWASP Foundation," OWASP Foundation, Inc., [Online] Available: https://owasp.org/www-community/Fuzzing [Accessed 23 December 2021] [4] wireghoul, "dotdotpwn/EXAMPLES.txt at master · wireghoul/dotdotpwn · GitHub," 10 February 2012 [Online] Available: https://github.com/wireghoul/dotdotpwn/blob/master/EXAMPLES.txt [Accessed 12 December 2021] 34 ... phương pháp sử dụng • Thu thập thơng tin (ví dụ mạng tên miền, mail server) để hiểu rõ cách thức hoạt động đối tượng lỗ hổng tiềm ẩn Giai đoạn 2: Rà quét Giai đoạn để hiểu cách ứng dụng phản hồi... ứng dụng phần mềm, mạng hay ứng dụng web Mục đích kiểm thử xâm nhập xác định kiểm tra tất lỗ hổng bảo mật có phần mềm Một số công cụ dùng để kiểm thử xâm nhập DotDotPwn, có khả tìm kiếm lỗ hổng. .. đoạn sử dụng kỹ thuật công ứng dụng web, ví dụ cross-site scripting, SQL injection hay backdoor, để tìm lỗ hổng bảo mật mục tiêu Sau người kiểm tra thử khai thác lỗ hổng đó, thường cách leo thang