Audit de sécurité avec Backtrack

Transcription

1 Projet M1 en Informatique Auteurs : Encadrant : Rojat Antoine 24 mai 2012

2

3 Sommaire Audit de sécurité 1 Collecte d informations 3 OSINT (open source intelligence) Récolte des adresses et des noms d utilisateurs Extraction de méta-données des documents Techniques non-intrusives de reconnaissance Énumération DNS Passive Fingerprinting Détection du framework Web Reconnaissance active Balayage des ports Banner grabbing Détection de Web Application Firewall (WAF) Identification des vulnérabilités 19 Proxy d interception SQL Injection XSS - Cross-site scripting Inclusion de fichiers Analyse des cookies de sessions Scanneur de vulnérabilités des applications Web Liste des figures 39 Références bibliographiques 40

4 Audit de sécurité Dans le cadre de l industrie de sécurité informatique, l audit de sécurité représente un processus complexe, qui est fait dans les limites strictes d un contrat entre l entreprise qui souhaite auditer ses systèmes d informations et la compagnie de testeurs. Il faut faire une distinction claire entre penetration testing (en français : faire les tests d intrustion) et un audit de sécurité, parce que ce dernier et plus complexe et contient la partie de tests d intrusion dans ses étapes. Selon [?] : Un test d intrusion est une méthode d évaluation de la sécurité d un système de calcul ou d un réseau en simulant une attaque. [...] Le processus implique une analyse active de l application pour toutes faiblesses, failles techniques ou vulnérabilités. Tous les problèmes de sécurité trouvés seront présentés au propriétaire du système, avec une évaluation de leur impact et souvent avec une proposition de mesures d atténuation ou une solution technique. (traduit de l anglais). Un audit de sécurité peut se décomposer en plusieurs étapes : 1. Activités de pre-engagement et définitions des champs d action L étape de début d un audit de sécurité consiste de préciser de manière exacte ce qui doit être testé et comment on peut exécuter ces tests. C est-à-dire on détermine les ressources ciblées de l entreprise (quels réseaux, quelles applications Web) et on spécifie clairement les limites des tests et les actions qu on a le droit d exécuter, sans depasser ce qui est spécifié dans le contrat entre l entreprise et la compagnie de sécurité. À cet stage on peut aussi faire l estimation du temps de l audit de sécurité, définir les modalités de paimenet et prévoir les actions à suivre dans les situations exceptionnelles. 2. Collecte d informations La partie de collecte d informations est le processus de trouver d autant d informations que possible sur l organisation cible, avec le but d utiliser ces informations dans le étapes d identification de vulnérabilités et exploitation des failles. Souvent cette étape est faite du rôle d un adversaire, depuis l extérieur de l entreprise, mais celle-ci peut aussi donne l autorisation de tester les réseaux internes ou de conduire des interviews avec les employées. Dans cette étape on essaie de trouver d informations sur l entreprise et ses partenariats, sur les chefs et les employés liés à la sécurité, sur la présence Internet de ceux-ci, sur l infrastructure de réseau utilisée, sur les applications Web, les services ou les logiciels utilisés ou produits par la société et ainsi de suite. 3. Modélisation des menaces La création d un modèle pour décrire les ressources de l entreprise et les adversaires possibles est une étape très importante pour savoir ce qui devrait être protégé et qui voudrait l attaquer. Premièrement l objectif est de faire une analyse de l entreprise d un point de vue de ses actifs, et ensuite de déterminer les personnes ou les communautés intéressées, même au sein de l entreprise, de faire une analyse de leurs motivations et de leurs capacités de faire une attaque. 4. Identification des vulnérabilités Dans cette étape on fait des tests pour trouver les failles de sécurité des systèmes de l entreprise qui peuvent être exploitées par un adversaire. Il s agit de simuler des attaques pour trouver les vulnérabilités et de voir dans quelles conditions elles peuvent être exploitées. Souvent on utilise des outils qui automatisent le travail, mais on fait aussi des tests manuellement : une vulnérabilité doit être validée, donc il est conseillé d avoir plusieurs confirmations de notre découverte. Pour la valider on peut aussi chercher sur les sites Web qui gérent des bases de données avec des vulnérabilités pour des versions spécifiques des logiciels. 5. Exploitation des failles L exploitation des failles de sécurité peut se faire de manière précise si les vulnérabilités ont été bien déterminées dans l étape précédente. L objectif est de depasser les réstrictions et les contre-mesures mises en place pour mettre en évidence les points d entrée dans les systèmes de l entreprise. Ainsi on peut voir quelles sont les plus importantes vulnérabilités et quelles sont les consequences de leur exploitation. page 1 sur 41

5 6. Maintien de l accès L étape de maintien de l accès se réfère à les actions à faire après la phase d exploitation des failles. Le but est de déterminer la valeur de la machine compromise et de mettre en place les moyens pour maintenir la communication avec cette machine. On peut analyser les préjudices possibles qui peuvent se produire à partir de cette machine et de voir si cela donne accès à d autres routes vers des cibles aussi intéressantes. 7. Élaboration des rapports À la fin du processus formel de l audit de sécurité il faut élaborer des rapports qui seront utiles pour le client, en lui décrivant les objectifs, les méthodes et les résultats de l audit de sécurité. Pour chaque vulnérabilité trouvée il faut préciser les causes et les recommandations pour les améliorer; les failles de sécurité doivent aussi être classées selon leur niveau de risque. Cette liste est inspiré par : une oeuvre de collaboration de plusieurs professionnels de la sécurité qui, malgré son nom, est une bonne ressource pour délimiter un audit de sécurité. Nous allons nous concentrer sur les aspects techniques des étapes de la collecte d informations et identification des vulnérabilités, en illustrant chaque concept avec des exemples d outils qui Backtrack met à notre disposition. page 2 sur 41

6 Collecte d informations La partie de collecte d informations d un audit de sécurité représente la reconnaissance faite avant de démarrer les étapes d identification de vulnérabilités et d exploitation des failles sur la cible. Elle comporte les actions de sélection de la cible, d effectuer une reconnaissance secrète ou par OSINT (open-source intelligence) et HUMINT (human intelligence) sur la cible, et la prise d empreintes des services et systèmes liés à la cible. Nous allons traiter les aspects techniques de ces étapes et faire la reconnaissance d un point de vue externe de l organisation, pour avoir une idée sur comment un adversaire peut la voit. On va voir comment on peut utiliser Backtrack pour trouver d informations par les sources ouvertes de renseignement (OSINT), par les services ouvertes (comme DNS) ou en interagissant directement avec la cible, dans le cadre d une reconnaissance active. Ainsi on aura un grand nombre d informations sur la sur la compagnie et ses employés, sur son présence Internet, sur les services, les logiciels, les applications Web utilisées et les réseaux informatiques avec les machines qui sont attachés à ces réseaux. OSINT (open source intelligence) OSINT (en français le renseignement de sources ouvertes) est une première étape dans la partie de collecte d informations sur la cible de l audit de sécurité, qui consiste à utiliser des informations accessibles au public pour créer un profile de l organisation cible et pour pouvoir découvrir les premiers points d entrée dans le système. La structure organisationnelle, les personnes employées ou liées à l organisation et leurs rôles, leurs numéros de téléphone, leurs adresses physiques et , leur présence en ligne sur les réseaux sociaux et les forums, toutes ces informations peuvent être utilisées pour construire une attaque, par exemple au début des attaques qui utilisent un artifice de l ingénierie sociale. Pour collecter les informations on peut utiliser des moteurs de recherche comme Google (une technique appelée Google hacking ), des services Linux comme whois, dig ou des outils qui automatisent ces actions et en ajoutent d autres, comme celles de la distribution Linux Backtrack5 R2. Dans ce qui suit, on va présenter quelques outils de Backtrack qui peuvent nous aider dans le processus de trouver et extraire des informations sur une cible de sources disponibles publiquement. La plupart des outils qu on va voir dans cette section utilisent ce qu on appelle le Google hacking. Comme décrit dans [ALL08], le moteur de recherche Google permet de faire bien plus que de la simple recherche de mot, de récupérer furtivement des informations sur une cible et cela de manière quasi transparente. Dans la pratique, Google hacking consiste a entrer des requêtes spéciales dans le moteur de recherche, parmi lesquelles : site:uvsq.fr - permet faire la recherche seulement sur les pages d un site passé en argument. cache:uvsq.fr - cherche le site uvsq.fr dans le cache de Google; cette option est surtout utilisée pour visiter discrètement un site. intitle:uvsq - permet de chercher le texte uvsq qui se trouve entre les balises <title></title> d une page HTML. inurl:admin - permet de chercher un site internet dont l URL contient le mot admin. filetype:pdf ou ext:pdf - retourne les pages contenant un lien vers un fichier du type mentionné en argument. Les chaînes des caractères comme inurl:search.php, qui permet de rassembler vite avec Google beaucoup des sites qui utilisent une même fonctionnalité, comme un formulaire de recherche, sont souvent appelées Google dorks, et le processus de trouver et utiliser ces résultats s appelle Google dorking. Récolte des adresses et des noms d utilisateurs Dans l étape de découverte de la présence d une organisation sur Internet, faire la récolte des adresses s est souvent très important, parce que un adversaire peut les utiliser pour faire des attaques brute-force ou pour envoyer des messages spam personnalisés pour le possesseur de l adresse, qui contiennent du code malveillant pour exploiter les vulnérabilités sur son système. En plus, trouver les noms d utilisateur sur les réseaux sociaux en ligne des employés d une entreprise peut donner beaucoup de détails sur leurs intérêts, leur poste de travail, leur localisation et peut conduire à une attaque par l ingénierie sociale. COLLECTE D INFORMATIONS page 3 sur 41

7 TheHarvester TheHarvester est un outil spécialisé pour automatiser les techniques de Google hacking et il étend le concept pour d autres moteurs de recherche comme Bing et Exalead. Il utilise les APIs ou les paramètres GET pour interroger les serveurs de clés publiques PGP, la base de données SHODAN, les réseaux sociaux comme LinkedIn ou les profiles Google. En exécutant l outil TheHarvester sur le nom de domaine prism.uvsq.fr on obtient : root@bt :/ pentest /enumeration/ theharvester#./ theharvester.py d prism.uvsq. fr b google h v TheHarvester Ver. 2.1 ( reborn ) Coded by Christian Martorella Edge Security Research cmartorella@edge security.com [ ] Searching in Google : Searching 0 results... Searching 100 results... [+] s found : stephane. lopes@prism. uvsq. fr devan. sohier@prism. uvsq. fr sana. younes@prism. uvsq. fr roucairog@prism. uvsq. fr [+] Hosts found in search engines : :www. prism. uvsq. fr : cassiopee. prism. uvsq. fr : torquenada. prism. uvsq. fr [+] Proposed SET [] [+] Virtual hosts : ================== :www. prism. uvsq. fr : master i r s. prism. uvsq. fr :www. master secrets. uvsq. fr : bobpp. prism. uvsq. fr : and1. fr [+] Shodan Database search : Searching for : :www. prism. uvsq. fr Searching for : : cassiopee. prism. uvsq. fr Searching for : : bobpp. prism. uvsq. fr Searching for : : and1. fr [+] Shodan r esults : =================== On a déjà une liste avec les adresses s, mais en plus theharvester nous montre aussi les noms d hôtes trouvés dans les résultats Google, et en lui donnant l option -v il fait une résolution DNS et il essaie de trouver les hôtes virtuels sur la même adresse IP. Avec l option -h on interroge la base de données SHODAN. En exécutant l outil avec l option de chercher dans les serveurs de clé PGP, on obtient : root@bt :/ pentest /enumeration/ theharvester#./ theharvester.py d prism.uvsq. fr b pgp [ ] Searching in PGP key server.. [+] s found : antoine. rojat@prism. uvsq. fr hpc@prism. uvsq. fr dntt@prism. uvsq. fr COLLECTE D INFORMATIONS page 4 sur 41

8 On peut spécifier le nom d une entreprise et voir quels sont les profiles LinkedIn qui lui sont associés : root@bt :/ pentest /enumeration/ theharvester#./ theharvester.py d BlueMatrix b linkedin [ ] Searching in Linkedin.. Users from Linkedin : ==================== Tammy Huang China Yogesh Paithankar Samantha Dolan United Kingdom Stephen Mcnally Greater New York City Area Extraction de méta-données des documents On peut faire une recherche avec Google pour localiser différentes ressources d une compagnie sur le Web telles que des documents PDF, Word etc. On pourra les exploiter directement ou en extraire des meta-données qui peuvent fournir des informations telles que l auteur/créateur, le logiciel utilisé et sa version, la date et l heure de création, les normes utilisées, la localisation dans un réseau informatique (imprimante/dossier/répertoire chemin), géo-tagging etc. Pour une image il peuvent même nous donner les coordonnées et les informations de localisation. Une extraction des meta-données est possible en utilisant des outils adaptés présents sur Backtrack comme Metagoofil. Metagoofil C est un outil conçu pour extraire les méta-données de fichiers d extensions.doc,.xls,.ppt,.pdf etc. La puissance de cet outil est qu il fait une recherche des documents publics en ligne grâce à Google. Il montre les résultats sous forme d un rapport sur les informations qu ils contiennent. Ces informations comme des noms de personnes, des dates de créations, des versions de logiciels qui sont facilement accessible, peuvent donner des indications sur le personnel de l entreprise ce qui pourraient très bien servir à un attaquant potentiel. Ci-dessous on exécute l outil metagoofil sur le nom de domaine uvsq.fr (option -d), en lui demandant d explorer les documents avec l extension.doc et. pdf (option -t), en limitant la recherche a 20 documents (option -l), qu il téléchargera par la suite (option -n). Les documents téléchargés seront stockés dans le répertoire resultats scan (option -o) sous forme d une page html resultats.html (option -f). COLLECTE D INFORMATIONS page 5 sur 41

9 :/ pentest /enumeration/google / metagoofil#./ metagoofil.py d uvsq. fr t doc, pdf l 20 n 20 o /root/ Desktop/resultats scan f /root/desktop/resultats. html Metagoofil Ver 2.1 Christian Martorella Edge Security.com cmartorella at edge security.com Blackhat Arsenal Edition [ ] Starting online search... [ ] Searching for doc files, with a limit of 20 Searching 100 results... Results : 101 f i l e s found Starting to download 20 of them : [1/20] /support/websearch /bin/answer. py?answer=186645& form=bb& hl=en Error downloading /support/websearch /bin/answer. py?answer=186645& form=bb& hl=en [2/20] http ://www. physique. uvsq. fr / statuts. doc [ ] Searching for pdf files, with a limit of 20 Searching 100 results... Results : 103 f i l e s found Starting to download 20 of them : [1/20] /support/websearch /bin/answer. py?answer=186645& form=bb& hl=en Error downloading /support/websearch /bin/answer. py?answer=186645& form=bb& hl=en [2/20] http ://www. qualub. uvsq. fr /PDF/ circulaire apprentissage. pdf [+] List of users found : dahoo Stephanie iut rambouillet I ulian Sandu Popa, Karine Zeitouni, Vincent Oria, Dominique Barth, Sandrine Vial [+] List of software found : Microsoft Office Word Microsoft Excel PDFCREATOR Version [+] List of paths and servers found : Normal C:\Mes documents\gdr\documentscientifique\docscient\presentation Abregee. doc C:\Mes Documents\GdR\PRESENTATION Abregee. doc C:\WINDOWS\TEMP\Enregistrement automatiquedepresentation Abregee. asd [+] List of e mails found : yasser. alayli@uvsq. fr sfayad@hotmail. fr j ulien. barjon@cnrs bellevue. fr COLLECTE D INFORMATIONS page 6 sur 41

10 Techniques non-intrusives de reconnaissance Il existe plusieurs méthodes pour trouver des informations en plus d OSINT sans être détecté et sans interagir directement avec la cible. D abord on peut interroger des services ouverts comme DNS, SMTP, SNMP, on peut faire l analyse VPN (Virtual Private Network), on peut intercepter le trafic général entre notre machine et la cible et faire une analyse de paquets pour déduire les services et les systèmes d exploitation avec leurs versions (passive fingerprinting) ou suivre la route des paquets pour découvrir les proxy, les serveurs d equilibrage de charge (load-balancing) ou les systèmes de détection et de prévention d intrusion mis en place. Énumération DNS Cette étape est composée de plusieurs techniques qui, selon [AY09], permettent de collecter les informations suivantes : les noms des serveurs, les noms de domaines sous-domaines utilisés pour les adresses mails et le Web, même la cartographie d un réseau. On peut aussi trouver la localisation de ces serveurs, les adresses IP et les blocs d adresses utilisés, des informations sur le propriétaire d un nom de domaine (adresse mail, numéro de téléphone, etc.) et sur les serveurs de noms associés au domaine. Il existe plusieurs commandes comme whois permettant d interroger les registres fournissant publiquement des informations concernant les noms de domaine et adresses IP, mais aussi des outils performants présents sur Backtrack comme Maltego, DNSenum et fierce qui permettent cela d une manière simple et rapide. DNSenum C est un outil développé en PERL permettant la récupération d informations relatives aux noms de domaine. Un balayage DNSenum comme le montre l exemple suivant, nous donne les informations concernant les noms de domaine, les sous-domaines, les serveurs mail et les blocs IP affectés en utilisant : Le transfert de zone (actuellement il est en général désactivé) permettant à un serveur secondaire (qui a besoin d être autorisé à effectuer cette opération) d interroger le serveur primaire et de récupérer le contenu de sa base de données, mais assez souvent aucune autre restriction n est pas présente. Ceci permet l affichage du contenu d une zone. Les résultats du moteur Google (le scarping ); souvent Google peut détecter et ne pas autoriser la recherche automatisée et c est pour cela qu on remarque que DNSenum n a pas pu récupérer des résultats en utilisant cette technique. Une recherche par force brute pour trouver les noms de sous-domaines, à l aide du fichier dns.txt contenant des mots clés qu on pourra enrichir manuellement ou automatiquement. COLLECTE D INFORMATIONS page 7 sur 41

11 :/ pentest /enumeration/dns/dnsenum#./dnsenum. pl enum f dns. txt r uvsq. fr dnsenum. pl VERSION :1.2.2 Warning : can t load Net :: Whois :: IP module, whois queries disabled. uvsq. fr Host s addresses : uvsq. fr IN A Name Servers : lune. uvsq. fr IN A s o l e i l. uvsq. fr IN A resone. univ rennes1. fr IN A shiva. jussieu. fr IN A Mail (MX) Servers : s o l e i l. uvsq. fr IN A titan. uvsq. fr IN A Trying Zone Transfers and getting Bind Versions : Trying Zone Transfer for uvsq. fr on resone. univ rennes1. fr... AXFR record query failed : NOERROR resone. univ rennes1. fr Bind Version : Trying Zone Transfer for uvsq. fr on lune. uvsq. fr... AXFR record query failed : NOERROR lune. uvsq. fr Bind Version : Bind Trying Zone Transfer for uvsq. fr on shiva. jussieu. fr... AXFR record query failed : REFUSED Unable to obtain Server Version for shiva. jussieu. fr : REFUSED Trying Zone Transfer for uvsq. fr on s o l e i l. uvsq. fr... AXFR record query failed : NOERROR s o l e i l. uvsq. fr Bind Version : Bind Scraping uvsq. fr subdomains from Google : Google search page : 1 Google search page : 2 Google search page : 3 Brute forcing with dns. txt : apps. uvsq. fr IN A ftp. uvsq. fr IN CNAME nova. uvsq. fr IN A uvsq. fr ip blocks : / / /32 COLLECTE D INFORMATIONS page 8 sur 41

12 fierce C est un outil de reconnaissance et de récupération d informations d un nom de domaine. Cet outil scanne les différentes informations récupérables, et ceci par le biais de plusiers techniques : root@bt :/ pentest /enumeration/dns/ f ierce#./ fierce. pl dns uvsq. fr wordlist hosts. txt DNS Servers for uvsq. fr : lune. uvsq. fr s o l e i l. uvsq. fr resone. univ rennes1. fr shiva. jussieu. fr Trying zone transfer f i r s t... Testing lune. uvsq. fr Request timed out or transfer not allowed. Testing s o l e i l. uvsq. fr Request timed out or transfer not allowed. Testing resone. univ rennes1. fr Request timed out or transfer not allowed. Testing shiva. jussieu. fr Request timed out or transfer not allowed. Unsuccessful in zone transfer ( it was worth a shot ) Okay, trying the good old fashioned way... brute force Checking for wildcard DNS... Nope. Good. Now performing 1895 test ( s ) oas. uvsq. fr babaorum. uvsq. fr pc55 dsi 29a. siege. uvsq. fr mandore. csi. uvsq. fr s o l e i l. uvsq. fr nova. uvsq. fr diapason. siege. uvsq. fr metronome. siege. uvsq. fr Subnets found (may want to probe here using nmap or unicornscan ) : : 1 hostnames found : 42 hostnames found : 104 hostnames found : 254 hostnames found : 66 hostnames found. Done with Fierce scan : http ://ha. ckers. org/ f ierce / Found 467 entries. Have a nice day. On remarque qu un balayage fierce est plus intéressant (avec les options utilisés), en effet il a tout d abord vérifié l utilisation du wildcard DNS ce qui nous donne une idée sur l importance des faux résultats (dans l exemple uvsq.fr n utilise pas de wildcard DNS). Les noms de sou-domaine et les adresses IP associées ont été trouvé par le biais d un brute force utilisant le fichier interne hosts.txt, ensuite fierce en trouvant un sous-domaine et l adresse IP qui lui est associée va faire une résolution DNS inverse pour un champs d adresses IP contigus à cette adresse (par défaut 5 au dessus et 5 en dessous de cette adresse initiale), pour trouver d autre sous-domaine possibles. S il trouve un autre nom de sous-domaine, il fera une nouvelle résolution DNS inverse, donc fierce procéde de façon recursive pour trouver un plus grand nombre de noms de sous-domaines. A partir des adresses IP trouvés, les réseaux associés sont affiches avec les statistiques pour chacun afin de pouvoir éventuellement effectuer un balayage de ports avec des outils comme Nmap ou Unicornscan. COLLECTE D INFORMATIONS page 9 sur 41

13 Maltego C est un outil très performant et plus complexe qu un simple logiciel pour faire l énumération DNS, car il permet de trouver facilement, et de manière visuelle, des informations telles que les différentes adresses mail d une personne, des numéros de téléphone qui pourraient lui être associés, les adresses IP et les réseaux, les serveurs DNS et les serveurs mail d une entreprise, la recherche sur les sites comme Twitter et Facebook d un utilisateur, etc. Maltego est proposé sur le site et dispose de plusieurs tutoriels complets sur le site pour sa prise en main, il est pratique et trés performant tout en offrant plusieurs possibilités. Par exemple un scan DNS en utilisant maltego sur uvsq.fr produit le résultat suivant : Figure 1 Scan DNS sous Maltego Passive Fingerprinting La détection active de services ou de systèmes d exploitation se fait en général en envoyant des paquets spécifiques pour différentes situations et en analysant les réponses ou les erreurs envoyées par la machine ciblée (l outil Nmap est le meilleur exemple). Selon le concept de prise d empreinte passive, l adversaire analyse seulement les paquets générés suite à une interaction normale avec la machine hébergeant l application Web, alors il ne risque pas d être détecté par des pare-feu et on peut découvrir des informations intéressantes. p0f L outil le plus utilisé pour le passive fingerprinting est p0f, inclus dans Backtrack. Cependant, il s agit d une ancienne version, donc on télécharge, compile et on lance la derniere version : root@bt : # wget lcamtuf.coredump. cx/p0f3/releases/p0f latest. tgz root@bt : # tar xvzf p0f latest. tgz root@bt : # cd p0f 3.04b/ ;./ build. sh root@bt : / p0f 3.04b#./ p0f # Telechargement # Extraction de l archive # Compilation # Lancement p0f est un sniffer capable de nous dire quel type de système d exploitation est utilisé par la cible, seulement en analysant les paquets TCP SYN reçus quand la machine essaie de réaliser une connexion avec nous ou les paquets COLLECTE D INFORMATIONS page 10 sur 41

14 TCP SYN+ACK, reçus quand c est nous qui essayons d interagir avec la cible. Il faut donc faire les premiers pas du TCP handshake, même si nous ne finissons pas l établissement de la connexion, pour que p0f puisse capturer des paquets. On utilise telnet pour cela : root@bt : # telnet swift.prism.uvsq. fr 80 Trying Connected to swift. prism. uvsq. fr. Escape character is ˆ]. ˆC Connection closed by foreign host. La sortie de p0f nous montre d abord ce qu il peut détecter de nos paquets TCP SYN (syn), le MTU du lien utilisé par le client, et après il nous montre la version du système d exploitation du serveur qu il a trouvé en analysant les paquets TCP SYN ACK (syn+ack) : c est Linux 2.6.x. Il nous affiche aussi la distance en hops (routeurs) entre nous et le serveur,le MTU du lien utilisé parle serveur,et la duréede fonctionnement du client et du serveur( uptime ) :. [ /59337 > /80 ( syn ) ] c lient = /59337 os = Linux 3. x dist = 0 params = tos :0 x04 raw sig = 4:64+0:0:1460:mss 10,4:mss, sok, ts, nop, ws : df, id+:0. [ /59337 > /80 (mtu) ] c lient = /59337 link = Ethernet or modem raw mtu = [ /59337 > /80 ( syn+ack ) ] server = /80 os = Linux 2.6. x dist = 16 params = none raw sig = 4:48+16:0:1452:mss 4,6:mss, sok, ts, nop, ws : df :0. [ /59337 > /80 ( uptime ) ] server = /80 uptime = 145 days 15 hrs 49 min (modulo 198 days ) raw freq = Hz Détection du framework Web Beaucoup d applications Web sont créées en utilisant des frameworks Web ou des systèmes de gestion de contenu (CMS - Content Management System) et d un point de vue de la sécurité il est toujours important de savoir quels logiciels ont été utilisés pour créer l application et surtout quelles sont leurs versions. En trouvant leurs versions on peut chercher sur les sites de vulnérabilités pour trouver des failles spécifiques à ces frameworks. BlindElephant BlindElephant est un outil qui utilise une méthode non-intrusive pour la détection des frameworks Web ou CMS utilisés par un site. En l exécutant avec l option guess il trouve d abord le framework utilisé : root@bt :/ pentest /web/ blindelephant / src / blindelephant# python./ BlindElephant.py www. joomla. org guess Probing... Possible apps : joomla COLLECTE D INFORMATIONS page 11 sur 41

15 Ensuite, BlindElephant possède des chemins vers les fichiers statiques d un tel framework Web et calcule les hachages des fichiers, en les vérifiant avec les valeurs de hachage des fichiers pour les versions du framework qu il connaît. Il fait un choix en se basant sur la probabilité des résultats : root@bt :/ pentest /web/ blindelephant / src / blindelephant# python./ BlindElephant.py www. joomla. org joomla Loaded /pentest /web/ blindelephant / src / blindelephant /dbs/joomla. pkl with 39 versions, 3789 d i fferentiating paths, and 140 version groups. Starting BlindElephant fingerprint for version of joomla at http ://www. joomla. org Hit http ://www. joomla. org/language/en GB/en GB. ini Possible versions based on result : Hit http ://www. joomla. org/ htaccess. txt File produced no match. Error : Retrieved f i l e doesn t match known fin gerprint. c381fa8411b62167fd7c9a06b244df36 Fingerprinting resulted in : Best Guess : COLLECTE D INFORMATIONS page 12 sur 41

16 Reconnaissance active Cette étape consiste à interagir directement avec la cible, en étant surtout intrusive, c est-à-dire on essaie de découvrir des informations en envoyant à la cible des messages spécialement conçus pour détecter les service actifs et leurs versions, les systèmes d exploitation, les systèmes de protéction actifs, etc. Puisque ces messages ne font pas nécessairement partie du trafic normal que la cible reçoit, souvent il existe des systèmes de prévention et de détection d un adversaire qui exécute ce type d actions pour faire le scanning, et il existe aussi des risques juridiques apportés par ce type d actions qu il faut prendre en compte. Balayage des ports Le balayage des ports consiste à faire le scanning des machines pour découvrir les ports ouverts, les services disponibles sur ces ports et leurs versions, et le système d exploitation de la machine. Il existe beaucoup des techniques pour faire cela, et Backtrack met à notre disposition un grand nombre d outils pour aider le testeur de sécurité avec ces opérations. Nmap Nmap est un outil qui réunit la plupart des techniques de balayage des ports et qui offre une interface de commande facile pour réaliser ces opérations. Les résultats obtenus suite à la phase d énumération DNS peuvent être fournies à Nmap, qui peut prendre comme option un fichier d adresses à scanner (avec l option -il) ou il peut lui-même faire une résolution DNS inverse sur une plage d adresses spécifiée en notation CIDR, comme noms d hôtes ou une combinaison des deux, par exemple : root@bt : # nmap sl gide.prism.uvsq. fr/24 Starting Nmap 5.61TEST4 ( http ://nmap. org ) at :07 CEST Stats : 0:00:01 elapsed ; 0 hosts completed (0 up), 0 undergoing Host Discovery P arallel DNS resolution of 256 hosts. Timing : About 52.34% done; ETC: 14:07 (0:00:01 remaining ) Nmap scan report for fr uvsq 02.uvsq. fr ( ) Nmap scan report for g u i l l o t i n. prism. uvsq. fr ( ) Nmap scan report for dracula. prism. uvsq. fr ( ) Nmap scan report for nemesis. prism. uvsq. fr ( ) Nmap scan report for c itronier. prism. uvsq. fr ( ) Nmap scan report for r fermat m1. reseau. uvsq. fr ( ) Nmap scan report for r eu reseau. uvsq. fr ( ) Nmap scan report for r sciences. reseau. uvsq. fr ( ) Nmap scan report for Nmap done: 256 IP addresses (0 hosts up) scanned in 8.58 seconds Avec l option -sl Nmap affiche juste une liste d hôtes du réseau spécifié avec une résolution DNS inverse pour chacun par défaut; il est possible d enlever la résolution avec l option -n. Dans la page de manuel (man) sur Backtrack de Nmap, on trouve un grand nombre d options ainsi que leur contexte d utilisation. Pour illustrer les principales fonctionnalités de Nmap, on va faire un balayage de ports standard, avec les options suivantes : -ss : l option pour faire un balayage de ports de type SYN scan : il envoye des paquets de type TCP SYN aux ports spécifiés et il classifie chaque port selon la réponse reçue (un paquet SYN ACK, RST ou aucune réponse après plusieurs tentatives) en port ouvert ( open ), fermé ( closed ) our filtré ( filtered ) par un pare-feu. Si d autres types de balayage de ports ne sont pas spécifiés, ce type est fait par défaut. -sv: c est l option pour envoyer en plus des paquets spécifiques pour découvrir quel service est actif sur le port trouvé et quelle est sa version, selon la réponse reçue - Nmap contient des fichiers avec plus de 6000 signatures de réponse pour la détection des services et plus de 2600 signatures de réponse pour la détection des systèmes d exploitation. -O : l option pour détecter le système d exploitation sur le même principe comme les services. En plus, si Nmap ne peut pas trouver avec exactitude le système d exploitation, il offre plusieurs choix et son niveau de confiance (en pourcentage) pour chacun. -Pn : avec cette option Nmap il ne va pas envoyer des messages pour découvrir si l hôte spécifié est en ligne (ce qu il fait par défaut avant de chaque balayage). -T4 : on spécifie la vitesse générale du balayage : 4 signifie le mode aggressive. -p : on spécifie les ports qu on veut scanner : par défaut Nmap a une liste de ports connus à qui il envoie ses sondes, mais ici on veut scanner tous les ports disponibles, de 1 à COLLECTE D INFORMATIONS page 13 sur 41

17 : # nmap ss sv O Pn T4 p swift.prism.uvsq. fr Starting Nmap 5.61TEST4 ( http ://nmap. org ) at :35 CEST Nmap scan report for swift. prism. uvsq. fr ( ) Host is up (0.034 s latency ). Not shown : f i l t e r e d ports PORT STATE SERVICE VERSION 20/ tcp closed ftp data 21/ tcp closed ftp 22/ tcp open ssh OpenSSH 5.9p1 Debian 4 ( protocol 2.0) 23/ tcp closed telnet 53/ tcp closed domain 80/ tcp open http Apache httpd / tcp closed pop3 113/ tcp closed ident 143/ tcp closed imap 220/ tcp closed imap3 443/ tcp closed https 585/ tcp closed unknown 873/ tcp closed rsync 993/ tcp closed imaps 995/ tcp closed pop3s 1935/tcp closed rtmp 2401/tcp open http Apache httpd (( Debian )) 5999/tcp open http Apache httpd /tcp closed unknown Device type: general purpose WAP media device router f irewall Running (JUST GUESSING) : Linux 2.6.X 2.4.X (95%), Netgear embedded (89%), Western Digital embedded (89%), Peplink embedded (88%), WatchGuard embedded (88%), D Link embedded (88%), Linksys embedded (88%), Linksys Linux 2.4.X (87%) OS CPE: cpe :/o: linux : kernel : cpe :/o : linux : kernel : cpe :/o : linksys : linux :2.4 cpe :/o : linux : kernel :2.4 Aggressive OS guesses : Linux (95%), Linux (92%), Linux (92%), Linux (92%), Linux (92%), Netgear DG834G WAP or Western Digital WD TV media player (89%), OpenWrt Kamikaze 7.09 ( Linux ) (89%), Smoothwall Express 3.0 ( Linux ) (88%), Peplink Balance 380 router (88%), Linux (88%) No exact OS matches for host (test conditions non ideal ). Service Info : OS: Linux ; CPE: cpe :/o: linux : kernel OS and Service detection performed. Please report any incorrect results at http ://nmap. org/submit/. Nmap done: 1 IP address (1 host up) scanned in seconds On voit que les ports qui n on pas répondu sont appelé filtered - ils sont nombreux : Pour les ports fermés Nmap ne peut pas détecter la version ou le service avec exactitude, mais il offre les noms de services qui sont connus sur ces ports, comme spécifié dans le fichier /etc/services sur le systèmes d exploitation Ubuntu Linux. Pour les ports ouverts on a les services et leurs versions : trois instances du serveur Web Apache, version , sur les ports 80, 2401 et 5999, ainsi que le serveur OpenSSH, version 5.9p1, qui implémente le protocole SSHv2. Le système de service n a pas pu être bien détecté, donc il affiche plusieurs choix. La ligne OS CPE contient les systèmes d exploitation en notation standardisée CPE ( Common Platform Enumeration ). En plus, Nmap met à notre disposition le Nmap Scripting Engine (NSE), qui est un système pour écrire des scripts en langage Lua pour étendre ou compléter les fonctions de base. Il y a plus des 350 scripts qui ont été développé et il sont organisés en 12 catégories : auth, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, vuln. La liste et la documentation officielle se trouvent à : Avec l option script on peut spécifier quelques catégories de scripts à essayer. Dans l exemple suivant, le script broadcast-avahi-dos essaie de découvrir les hôtes dans le réseau local en utilisant le protocole DNS-SD (Service Discovery), et envoye un paquet NULL UDP pour tester s ils sont vulnérables à une attaque Denial of Service (DoS). Le script http enum essaie de traverser les répertoires de l application Web et de découvrir ses fichiers, par exemple robots.txt. La commande pour faire un balayage Nmap en recherchant avec les scripts spécifiquement des vulnérabilités sur les services actifs (et en faisant aussi plus des tests de version) est : COLLECTE D INFORMATIONS page 14 sur 41

18 : # nmap sv script version, vuln p T4 swift.prism.uvsq. fr Starting Nmap 5.61TEST4 ( http ://nmap. org ) at :44 CEST Pre scan script result s : broadcast avahi dos : Discovered hosts : After NULL UDP avahi packet DoS (CVE ). Hosts are a l l up ( not vulnerable ). Nmap scan report for swift. prism. uvsq. fr ( ) Host is up (0.063 s latency ). Not shown : f i l t e r e d ports PORT STATE SERVICE VERSION 20/ tcp closed ftp data 21/ tcp closed ftp 22/ tcp open ssh OpenSSH 5.9p1 Debian 4 ( protocol 2.0) 23/ tcp closed telnet 53/ tcp closed domain 80/ tcp open http Apache httpd http enum: / robots. txt : Robots f i l e /crossdomain. xml : Adobe Flash crossdomain policy 110/ tcp closed pop3 113/ tcp closed ident 143/ tcp closed imap 220/ tcp closed imap3 443/ tcp closed https 585/ tcp closed unknown 873/ tcp closed rsync 993/ tcp closed imaps 995/ tcp closed pop3s 1935/tcp closed rtmp 2401/tcp open http Apache httpd (( Debian )) 5999/tcp open http Apache httpd http enum: / robots. txt : Robots f i l e /kusabax/manage page. php : Kusabax Image Board 46015/tcp closed unknown Service Info : OS: Linux ; CPE: cpe :/o: linux : kernel Service detection performed. Please report any incorrect results at http ://nmap. org/submit/. Nmap done: 1 IP address (1 host up) scanned in seconds Les méthodes de scanner les machines montrées jusqu à maintenant sont intrusives, c est-à-dire elles communiquent directement avec la cible, et elles envoient beaucoup des paquets spécifiques pour découvrir ses services, ses vulnérabilités etc., qui peuvent être détectés par les pare-feu. Nmap possède plusieurs options pour masquer l opération de balayage - en tenant compte du fait que le balayage de ports est illégale dans certains pays et alors apparaître dans les journaux des paquets des pare-feu est indésirable. Une présentation excellente des techniques pour dépasser les vérifications des pare-feu et des exemples pour se défendre contre Nmap se trouve dans le chapitre 10 Detecting and Subverting Firewalls and Intrusion Detection Systems et le chapitre 11 Defenses Against Nmap du guide officiel Nmap Network Scanning [Lyo08]. Néanmoins, il existe une autre façon de faire les balayages de ports et de préserver notre anonymat en même temps. Il faut d abord installer le logiciel Tor, qui n est pas compris par défaut dans la suite des outils de la distribution Backtrack - le guide d installation se trouve à pour Backtrack 5 R2 le champ DISTRIBUTION doit être remplacé par lucid. Tor met à notre disposition un réseau de serveurs proxy qui obscurcit la route de nos paquets par des moyens cryptographiques. On vérifie que Tor a été bien installé : root@bt : # netstat tulnp grep tcp tcp : : LISTEN 1083/ postgres tcp : : LISTEN 828/ postgres tcp : : LISTEN 1101/ tor et on observer qu il est actif sur le port Ensuite, dans Backtrack 5 R2 on a l outil proxychains qui envoie les paquets générés de la commande qu il prend comme paramètre au serveur proxy configuré. Par défaut la configuration estdéjàmiseenplacepourtor,doncilnousrestejuste d exécuterunbalayagedeportsenutilisantproxychains: COLLECTE D INFORMATIONS page 15 sur 41

19 : # proxychains nmap Pn n sv version all ProxyChains 3.1 ( http :// proxychains. sf. net ) Starting Nmap 5.61TEST4 ( http ://nmap. org ) at :07 CEST S c h a i n <> :9050 <><> :22 <><> OK S c h a i n <> :9050 <><> :80 <><> OK S c h a i n <> :9050 <><> :2401 <><> OK S c h a i n <> :9050 <><> :5999 <><> OK S c h a i n <> :9050 <><> :80 <><> OK S c h a i n <> :9050 <><> :5999 <><> OK S c h a i n <> :9050 <><> :2401 <><> OK S c h a i n <> :9050 <><> :5999 <><> OK S c h a i n <> :9050 <><> :2401 <><> OK Nmap scan report for Host is up (0.088 s latency ). Not shown : 984 f i l t e r e d ports PORT STATE SERVICE VERSION 20/ tcp closed ftp data 21/ tcp closed ftp 22/ tcp open ssh OpenSSH 5.9p1 Debian 4 ( protocol 2.0) 23/ tcp closed telnet 53/ tcp closed domain 80/ tcp open http Apache httpd / tcp closed pop3 113/ tcp closed ident 143/ tcp closed imap 443/ tcp closed https 873/ tcp closed rsync 993/ tcp closed imaps 995/ tcp closed pop3s 1935/tcp closed rtmp 2401/tcp open http Apache httpd (( Debian )) 5999/tcp open http Apache httpd Service Info : Host : swift. prism. uvsq. fr ; OS: Linux ; CPE: cpe :/o: linux : kernel Service detection performed. Please report any incorrect results at http ://nmap. org/submit/. Nmap done: 1 IP address (1 host up) scanned in seconds La limitation de cette méthode est que Tor anonymise seulement les paquets TCP, rien de plus, donc pour préserver notre anonymat il faut utiliser l option -Pn pour désactiver l envoie par défaut des paquets ICMP pour découvrir si l hôte est actif, et l option -n pour ne pas faire la résolution DNS inverse, qui pourrait envoyer des paquets UDP. On voit qu on a les mêmes résultats comme avant, mais en plus on voit que proxychains a fonctionné bien (les lignes S-chain ). On a utilise l option version-all pour faire tous les tests, même les plus agressifs, pour découvrir les services et leurs versions, parce que le risque d être détecté par un pare-feu n existe plus. Banner grabbing La méthode de récupération de bannières applicatives (banner grabbing) est souvent utilisé pour trouver la version des systèmes d exploitation ou des services réseau actifs sur les serveurs HTTP, SMTP, SSH, FTP, etc. HTTSquash HTTSquash est un outil minimale pour faire les banner grabbing des serveurs Web. On a déjà vu les versions du serveurs HTTP trouvés avec Nmap sur la machine , mais il vaut mieux vérifier avec HTTSquash pour voir quels sont les en-têtes HTTP en fait. Dans l exemple suivant on voit que cette fois les serveurs sur les ports 80 et 5999 disent qu ils utilisent Happstack/6.0.3, tandis que avec Nmap on a obtenu Apache : COLLECTE D INFORMATIONS page 16 sur 41

20 :/ pentest / scanners/httsquash#./ httsquash r swift. prism. uvsq. fr p 80 FOUND: HTTP/ OK Date : Sun, 06 May :46:53 GMT Server : Happstack /6.0.3 Content Type : text /html ; charset=utf 8 Vary : Accept Encoding Transfer Encoding : chunked root@bt :/ pentest / scanners/httsquash#./ httsquash r swift. prism. uvsq. fr p 2401 FOUND: HTTP/ Found Date : Sun, 06 May :46:49 GMT Server : Apache / ( Debian ) Location : https :// cas dev. uvsq. fr / login? service=http%3a%2f%2fsw ift. prism. uvsq. fr%3a2401%2f Vary : Accept Encoding Content Length : 345 Content Type : text /html ; charset=iso root@bt :/ pentest / scanners/httsquash#./ httsquash r swift. prism. uvsq. fr p 5999 FOUND: HTTP/ OK Date : Sun, 06 May :46:51 GMT Server : Happstack /6.0.3 Content Type : text /html ; charset=utf 8 Vary : Accept Encoding Transfer Encoding : chunked Avec HTTSquash on peut aussi scanner une plage d adresses IP pour voir quels type de serveurs Web sont utilisés; donc, sur la liste des adresses IP trouvée au début avec Nmap on exécute : root@bt :/ pentest / scanners/httsquash#./ httsquash r p 80 FOUND: HTTP/ OK Cache control : no cache Content Type : application /octet stream HTTP/ OK Connection : close Content Length : 181 Content Type : text /html FOUND: HTTP/ OK Date : Sun, 06 May :54:33 GMT Server : Apache / ( Debian ) DAV/2 SVN/1.5.6 PHP/ with Suhosin Patch mod ssl / OpenSSL/0.9.8 k Last Modified : Fri, 13 Mar :17:00 GMT ETag: 4ba f1300 Accept Ranges : bytes Content Length : 19 Content Type : text /html Détection de Web Application Firewall (WAF) Alors que lespare-feu surune machine ne filtrent le trafic de réseauqu en se basantsurun ensemblede règlesfixes, sans analyser le contenu des paquets, les pare-feu pour les application Web fonctionne à un niveau supérieur, et peuvent analyser les requêtes HTTP reçues - pour accepter seulement ceux qui ne correspondent pas aux attaques XSS ou SQL injection par exemple, peuvent détecter un balayage de ports qui précède une attaque et enregistrer même le contenu des requêtes reçus etc. À l heure actuelle un pare-feu d application Web peut être déployé sur un serveur Web, intégré dans l application, ou sur un proxy inverse qui gére une plage des serveurs Web. Il existe aussi l option d installer un tel pare-feu distribué, ils sont appelées dwaf, distributed WAF et ils consistent de plusieurs composants qui peuvent exister dans les différentes regions d un réseau, ou d utiliser un service cloud - plusieurs entreprises mettent à disposition des WAF virtuels, cloud-based WAFs, dont la seule modification pour le client est d acheminer leur trafic vers les serveurs de l entreprise. waffit Sous Backtrack 5 il existe plusieurs outils pour la détection des pare-feu, mais pour les pare-feu d applications Web on COLLECTE D INFORMATIONS page 17 sur 41