SPIKE и BURP в реальном мире компьютерной безопасности, часть 2

В этой второй части из цикла статей мы будем использовать HTTP прокси и узнаем больше о том, как можно использовать этот очень полезный инструмент.

            В предыдущей части серии об использовании HTTP прокси мы осветили некоторые вопросы, такие например, почему прокси так необходимы или почему при работе необходимо иметь запущенный снифер. В этой части в перейдём непосредственно к работе с прокси. Прочтите, чтобы уяснить, как можно использовать этот мощный инструмент.

HTTP прокси часть II.

Отлично!  Мы изучили сопутствующую информацию в части первой, а сейчас настало время «взлома»  web-приложения. В двух словах об инсталляции, которую я здесь использую. У меня есть web-сервер Apache с урезанной версией моего сайта, никаких специальных настроек на сервере не проводилось. SPIKE HTTP прокси запущен  на WindowsXP и всё это работает на виртуальной машине VMware. Нужно также упомянуть, что запустил я SPIKE, перейдя в его директорию и выполнив runme.bat. Сделав это, я ввёл IP адрес web-сервера Apache в строчке URL браузера и получил картину, показанную на иллюстрации ниже:

Рисунок 1

            Не забудьте, что вам нужно сделать некоторые изменения в настройке вашего web-клиента перед запуском SPIKE. Это было описано в первой части на случай, если вы всё же забыли это сделать. Теперь у вас на экране отображается web-сайт, что на видно на скриншоте выше, также мы можем взглянуть на сам SPIKE. Это делается вводом в URL строку браузера http://SPIKE/ Посмотрите ниже, вы должны видеть примерно то же самое у себя.

Рисунок 2

            Во время написания этой статьи я столкнулся, вероятно, с глюком в SPIKE : сайты, которые я проверял при  помощи этого прокси всё еще находились в памяти пользовательского интерфейса. И это после того, как я запустил файл «cleanup.bat», который, в теории, должен был подчистить все старые данные. Как бы то ни было, если вы хотите видеть такой же «чистенький» интерфейс, какой показан на рисунке выше, просто перейдите по ссылке: c:\SPIKEProxy\spkproxy\spikeProxyUI и, находясь там, удалите каталоги вручную командой rmdir /S /Q каталоги_для_удаления

            Однако выходит, что это больше заложенная особенность, а не глюк – при помощи неё вы сможете провести анализ уже загруженного содержимого без подключения к сети.

Ну а теперь, поскольку вышеприведенные шаги выполнены, у нас есть чистое поле для деятельности. Так будет проще, поскольку данные, с которыми вы возможно работали  ранее, не будут вам мешать. Вернёмся к использованию SPIKE. Ещё раз ссылаясь на скриншот выше, зайдём по ссылке «Delve into Dir». После этого вы увидите там три каталога, в них SPIKE хранит информацию, когда она приходит с web-сайта. Давайте заглянем в каталог «img», пользуясь той же ссылкой «Delve into Dir». Вы наверное уже заметили, что мы всё больше и больше погружаемся в данные, к которым обращались на web-сайт с сервером Apache.

В мельчайших подробностях.

 Когда кликните по каталогу, вы увидите пару gif файлов и один с расширением jpeg.

Продолжим и кликнем на верхний bg3.gif при помощи «Delve into Dir» еще разок. После этого появятся несколько других опций.

Рисунок 3

            Сейчас вы увидите то, что я бы назвал сердцем HTTP прокси. У нас теперь есть возможность переписывать запросы и высылать их заново. Кликните на «Print Request Info»  и посмотрите, что же наш браузер отправляет web-серверу при соединении с ним для того чтобы отобразить корневую страницу сайта.

Рисунок 4

            На скриншоте выше мы видим ровно то, что передаётся от клиента серверу. Сверху указаны ip-адрес сервера и порт. SSL не использовался, далее идёт HTTP запрос GET и то, какая информация запрашивается. В этом примере это «bg3.gif» и за ним адрес хоста. Следующее поле это User-Agent – оно определяет тип клиентского браузера. Остальные поля говорят сами за себя, но если вы не уверены в их интерпретации, я бы предложил почитать про HTTP здесь. Есть еще одна вещь на которую стоит обратить внимание – это поле «If-None-Match». Его значение состоит из набора цифр и букв; поле больше известно как ETag и используется при кэшировании. Значение генерируется сервером и применяется для типов данных, таких как gif и им подобных. Таким образом браузер, запрашивая что-либо может обнаружить, что у него в кэше уже есть данная информация. На самом у меня тоже уже есть этот gif-файл и поэтому сервер ответил на запрос HTTP кодом 304 Not modified. Это означает что файл, который есть у меня в кэше, не изменился и на сервере, следовательно не нужно высылать его клиенту еще раз, так как файл может быть взят из кэша на моей локальной машине. Вы можете видеть эту информацию в окне DOS с запущенным для старта SPIKE файлом «runme.bat».

            Response Header:
            HTTP/1.1 304 Not Modified
            Date: Sun, 19 Feb 2006 16:39:55 GMT
            Server: Apache/2.0.54 (Win32)
            Connection: Keep-Alive
            Keep-Alive: timeout=15, max=98
            ETag: "222a-ab-4096dbdf"

Теперь вернёмся назад к тем трём директориям, которые мы видели ранее - “img”,”css” и ”_directory_”. Теперь кликая по “Delve into Dir”, зайдите в “_directory_”. Щелчок на “Print Request Info” и посмотрим, что же у нас здесь. Это стандартный запрос для собственно web-страницы. Теперь нажмите на “rewrite request”. Это, как я уже говроил, один из основных компонентов HTTP прокси. Через него вы сможете изменить практически любую часть оригинального запроса к web-серверу.

Рисунок 5

            Теперь берём и делаем у себя простую модификацию GET запроса, в форме что изображена на рисунке:

            Измените GET на HEAD в секции “Verb”. Теперь спуститесь ниже к “Body args” и введите здесь “having some fun”. Затем просто нажмите “Submit Query”. В выводе tcpdump ниже вы заметите что SPIKE HTTP прокси действительно переписал запрос согласно нашим требованиям. Великолепно! Теперь вы уже на пути к прекрасному миру безопасности web-приложений.  Пока остановимся на этом.

13:38:29.828125 IP (tos 0x0, ttl 128, id 6305, offset 0, flags [DF], proto: TCP
(6), length: 362) 192.168.1.108.1610 > 192.168.1.104.80: P, cksum 0xe1af (correct), 2856622211:2856622533(322) ack 3348334422 win 64240
        0x0000:  4500 016a 18a1 4000 8006 5cc8 c0a8 016c  E..j..@...\....l
        0x0010:  c0a8 0168 064a 0050 aa44 9883 c793 8756  ...h.J.P.D.....V
        0x0020:  5018 faf0 e1af 0000 4845 4144 202f 2048  P.......HEAD./.H
        0x0030:  5454 502f 312e 310d 0a48 6f73 743a 2031  TTP/1.1..Host:.1
        0x0040:  3932 2e31 3638 2e31 2e31 3034 0d0a 5573  92.168.1.104..Us
        0x0050:  6572 2d41 6765 6e74 3a20 4d6f 7a69 6c6c  er-Agent:.Mozill
        0x0060:  612f 342e 3020 2863 6f6d 7061 7469 626c  a/4.0.(compatibl
        0x0070:  653b 204d 5349 4520 352e 303b 2057 696e  e;.MSIE.5.0;.Win
        0x0080:  646f 7773 204e 543b 2042 6f62 290d 0a41  dows.NT;.Bob)..A
        0x0090:  6363 6570 743a 2069 6d61 6765 2f67 6966  ccept:.image/gif
        0x00a0:  2c20 696d 6167 652f 782d 7862 6974 6d61  ,.image/x-xbitma
        0x00b0:  702c 2069 6d61 6765 2f6a 7065 672c 2069  p,.image/jpeg,.i
        0x00c0:  6d61 6765 2f70 6a70 6567 2c20 2a2f 2a0d  mage/pjpeg,.*/*.
        0x00d0:  0a41 6363 6570 742d 4c61 6e67 7561 6765  .Accept-Language
        0x00e0:  3a20 656e 2d75 730d 0a43 6f6e 6e65 6374  :.en-us..Connect
        0x00f0:  696f 6e3a 204b 6565 702d 416c 6976 650d  ion:.Keep-Alive.
        0x0100:  0a49 662d 4d6f 6469 6669 6564 2d53 696e  .If-Modified-Sin
        0x0110:  6365 3a20 5361 742c 2032 3020 4175 6720  ce:.Sat,.20.Aug.
        0x0120:  3230 3035 2032 303a 3235 3a35 3020 474d  2005.20:25:50.GM
        0x0130:  540d 0a49 662d 4e6f 6e65 2d4d 6174 6368  T..If-None-Match
        0x0140:  3a20 0d0a 436f 6e74 656e 742d 4c65 6e67  :...Content-Leng
        0x0150:  7468 3a20 3136 0d0a 0d0a 6861 7669 6e67  th:.16....having
        0x0160:  2b73 6f6d 652b 6675 6e3d                              +some+fun=

В будущем будет ещё несколько статей посвященных SPIKE и BURP. В них я покажу реальный пример использования HTTP прокси для хакинга web-приложений. Надеюсь увидеть вас и впредь. И помните, я всегда приветствую обратную связь с читателями. До встречи!