Hoe een webserver te hacken

Inhoudsopgave:

Anonim

Klanten gaan meestal naar internet om informatie te krijgen en producten en diensten te kopen. Daartoe hebben de meeste organisaties websites. De meeste websites slaan waardevolle informatie op, zoals creditcardnummers, e-mailadres en wachtwoorden, enz . Dit heeft hen tot doelwit gemaakt voor aanvallers. Onleesbare websites kunnen ook worden gebruikt om religieuze of politieke ideologieën enz. Over te brengen.

In deze zelfstudie laten we u kennismaken met hacktechnieken voor webservers en hoe u servers tegen dergelijke aanvallen kunt beschermen.

In deze tutorial leer je:

  • Kwetsbaarheden op de webserver
  • Soorten webservers
  • Soorten aanvallen op webservers
  • Effecten van succesvolle aanvallen
  • Hulpprogramma's voor aanvallen via de webserver
  • Hoe aanvallen op de webserver te voorkomen
  • Hacking-activiteit: een webserver hacken

Kwetsbaarheden op de webserver

Een webserver is een programma dat bestanden (meestal webpagina's) opslaat en toegankelijk maakt via het netwerk of internet . Een webserver vereist zowel hardware als software. Aanvallers richten zich meestal op de exploits in de software om geautoriseerde toegang tot de server te krijgen. Laten we eens kijken naar enkele veelvoorkomende kwetsbaarheden waarvan aanvallers profiteren.

  • Standaardinstellingen - Deze instellingen, zoals standaard gebruikers-ID en wachtwoorden, kunnen gemakkelijk worden geraden door de aanvallers. Met standaardinstellingen kunnen ook bepaalde taken worden uitgevoerd, zoals het uitvoeren van opdrachten op de server die kunnen worden misbruikt.
  • Verkeerde configuratie van besturingssystemen en netwerken - bepaalde configuraties, zoals het toestaan ​​van gebruikers om opdrachten op de server uit te voeren, kunnen gevaarlijk zijn als de gebruiker geen goed wachtwoord heeft.
  • Bugs in het besturingssysteem en webservers - ontdekte bugs in het besturingssysteem of webserversoftware kunnen ook worden misbruikt om ongeautoriseerde toegang tot het systeem te krijgen.

Naast de bovengenoemde kwetsbaarheden van de webserver, kan het volgende ook leiden tot ongeautoriseerde toegang

  • Gebrek aan beveiligingsbeleid en -procedures - het ontbreken van een beveiligingsbeleid en -procedures zoals het bijwerken van antivirussoftware, het patchen van het besturingssysteem en webserversoftware kunnen beveiligingslekken creëren voor aanvallers.

Soorten webservers

Het volgende is een lijst met de algemene webservers

  • Apache - Dit is de meest gebruikte webserver op internet. Het is platformonafhankelijk, maar wordt meestal op Linux geïnstalleerd. De meeste PHP-websites worden gehost op Apache-servers.
  • Internet Information Services (IIS) - Het is ontwikkeld door Microsoft. Het draait op Windows en is de op een na meest gebruikte webserver op internet. De meeste asp- en aspx-websites worden gehost op IIS-servers.
  • Apache Tomcat - De meeste Java-serverpagina's (JSP) -websites worden op dit type webserver gehost.
  • Andere webservers - Dit zijn onder meer de webserver van Novell en de Lotus Domino-servers van IBM.

Soorten aanvallen op webservers

Directory-traversal-aanvallen - Dit type aanvallen maakt gebruik van bugs in de webserver om ongeautoriseerde toegang te krijgen tot bestanden en mappen die zich niet in het publieke domein bevinden. Zodra de aanvaller toegang heeft gekregen, kan hij gevoelige informatie downloaden, opdrachten op de server uitvoeren of schadelijke software installeren.

  • Denial of Service-aanvallen - Bij dit type aanval kan de webserver crashen of onbeschikbaar worden voor de legitieme gebruikers.
  • Domain Name System Hijacking - Bij dit type aanvaller wordt de DNS-instelling gewijzigd om naar de webserver van de aanvaller te verwijzen. Al het verkeer dat naar de webserver had moeten worden gestuurd, wordt omgeleid naar de verkeerde.
  • Snuiven - versleutelde gegevens die worden verzonden via het netwerk kunnen worden onderschept en gebruikt om onbevoegde toegang tot de web server.
  • Phishing - Bij dit type aanval imiteert de aanval de websites en leidt het verkeer naar de nepwebsite. Nietsvermoedende gebruikers kunnen worden misleid om gevoelige gegevens in te dienen, zoals inloggegevens, creditcardnummers, enz.
  • Pharming - Bij dit type aanval compromitteert de aanvaller de DNS-servers (Domain Name System) of op de computer van de gebruiker, zodat het verkeer naar een kwaadwillende site wordt geleid.
  • Defacement - Bij dit type aanval vervangt de aanvaller de website van de organisatie door een andere pagina die de naam van de hacker, afbeeldingen en mogelijk achtergrondmuziek en berichten bevat.

Effecten van succesvolle aanvallen

  • De reputatie van een organisatie kan worden geruïneerd als de aanvaller de inhoud van de website bewerkt en schadelijke informatie of links naar een pornowebsite opneemt
  • De webserver kan worden gebruikt om kwaadaardige software te installeren op gebruikers die de gecompromitteerde website bezoeken . De kwaadaardige software die op de computer van de bezoeker wordt gedownload, kan een virus, Trojaans paard of Botnet-software zijn, enz.
  • Gecompromitteerde gebruikersgegevens kunnen worden gebruikt voor frauduleuze activiteiten die kunnen leiden tot zakelijk verlies of rechtszaken van de gebruikers die hun gegevens aan de organisatie hebben toevertrouwd

Hulpprogramma's voor aanvallen via de webserver

Enkele van de gebruikelijke aanvalstools voor webservers zijn;

  • Metasploit - dit is een open source-tool voor het ontwikkelen, testen en gebruiken van exploitcode. Het kan worden gebruikt om kwetsbaarheden in webservers te ontdekken en exploits te schrijven die kunnen worden gebruikt om de server in gevaar te brengen.
  • MPack - dit is een hulpmiddel voor webexploitatie. Het is geschreven in PHP en wordt ondersteund door MySQL als database-engine. Zodra een webserver is gecompromitteerd met MPack, wordt al het verkeer ernaar omgeleid naar kwaadwillende downloadwebsites.
  • Zeus - deze tool kan worden gebruikt om een ​​gecompromitteerde computer in een bot of zombie te veranderen. Een bot is een gecompromitteerde computer die wordt gebruikt om aanvallen op internet uit te voeren. Een botnet is een verzameling gecompromitteerde computers. Het botnet kan vervolgens worden gebruikt bij een denial of service-aanval of het verzenden van spam-mails.
  • Neosplit - deze tool kan worden gebruikt om programma's te installeren, programma's te verwijderen, te repliceren, enz.

Hoe aanvallen op de webserver te voorkomen

Een organisatie kan het volgende beleid toepassen om zichzelf te beschermen tegen webserveraanvallen.

  • Patchbeheer - dit omvat het installeren van patches om de server te helpen beveiligen. Een patch is een update die een bug in de software oplost. De patches kunnen worden toegepast op het besturingssysteem en het webserversysteem.
  • Veilige installatie en configuratie van het besturingssysteem
  • Veilige installatie en configuratie van de webserversoftware
  • Systeem voor het scannen van kwetsbaarheden - deze omvatten tools zoals Snort, NMap, Scanner Access Now Easy (SANE)
  • Firewalls kunnen worden gebruikt om eenvoudige DoS-aanvallen te stoppen door al het verkeer te blokkeren dat binnenkomt om de bron-IP-adressen van de aanvaller te identificeren.
  • Antivirussoftware kan worden gebruikt om schadelijke software van de server te verwijderen
  • Beheer op afstand uitschakelen
  • Standaardaccounts en ongebruikte accounts moeten uit het systeem worden verwijderd
  • Standaardpoorten en instellingen (zoals FTP op poort 21) moeten worden gewijzigd in aangepaste poort en instellingen (FTP-poort op 5069)

Hacking-activiteit: een webserver hacken

In dit praktische scenario gaan we kijken naar de anatomie van een webserveraanval. We gaan ervan uit dat we ons richten op www.techpanda.org. We gaan het niet echt hacken, omdat dit illegaal is. We zullen het domein alleen gebruiken voor educatieve doeleinden.

Wat hebben we nodig

  • Een doelwit www.techpanda.org
  • Bing-zoekmachine
  • Hulpprogramma's voor SQL-injectie
  • PHP Shell, we zullen dk shell gebruiken http://sourceforge.net/projects/icfdkshell/

Informatie verzamelen

We moeten het IP-adres van ons doelwit krijgen en andere websites zoeken die hetzelfde IP-adres delen.

We zullen een online tool gebruiken om het IP-adres van het doelwit te vinden en andere websites die het IP-adres delen

  • Voer de URL https://www.yougetsignal.com/tools/web-sites-on-web-server/ in uw webbrowser in
  • Voer www.techpanda.org in als het doelwit
  • Klik op de knop Controleren
  • U krijgt de volgende resultaten

Op basis van de bovenstaande resultaten is het IP-adres van het doel 69.195.124.112

We ontdekten ook dat er 403 domeinen op dezelfde webserver staan.

Onze volgende stap is om de andere websites te scannen op kwetsbaarheden voor SQL-injectie. Opmerking: als we een SQL kunnen vinden die kwetsbaar is op het doel, dan zouden we deze direct misbruiken zonder rekening te houden met andere websites.

  • Voer de URL www.bing.com in uw webbrowser in. Dit werkt alleen met Bing, dus gebruik geen andere zoekmachines zoals Google of Yahoo
  • Voer de volgende zoekopdracht in

ip: 69.195.124.112 .php? id =

HIER,

  • "Ip: 69.195.124.112" beperkt de zoekopdracht tot alle websites die op de webserver worden gehost met IP-adres 69.195.124.112
  • “.Php? Id =” zoeken naar URL GET-variabelen gebruikten een parameter voor SQL-instructies.

U krijgt de volgende resultaten

Zoals u kunt zien aan de hand van de bovenstaande resultaten, zijn alle websites die GET-variabelen gebruiken als parameters voor SQL-injectie weergegeven.

De volgende logische stap zou zijn om de vermelde websites te scannen op kwetsbaarheden voor SQL Injection. U kunt dit doen met handmatige SQL-injectie of met de tools die in dit artikel over SQL-injectie worden vermeld.

Het uploaden van de PHP-shell

We zullen geen van de vermelde websites scannen omdat dit illegaal is. Laten we aannemen dat we erin zijn geslaagd om in te loggen op een van hen. U moet de PHP-shell uploaden die u hebt gedownload van http://sourceforge.net/projects/icfdkshell/

  • Open de URL waar u het dk.php-bestand heeft geüpload.
  • U krijgt het volgende venster
  • Als u op de Symlink-URL klikt, krijgt u toegang tot de bestanden in het doeldomein.

Zodra u toegang heeft tot de bestanden, kunt u inloggegevens voor de database krijgen en doen wat u maar wilt, zoals defacement, het downloaden van gegevens zoals e-mails, enz.

Overzicht

  • Webserver heeft waardevolle informatie opgeslagen en is toegankelijk voor het publieke domein. Dit maakt ze het doelwit van aanvallers.
  • De veelgebruikte webservers zijn onder meer Apache en Internet Information Service IIS
  • Aanvallen op webservers profiteren van de bugs en verkeerde configuratie in het besturingssysteem, webservers en netwerken
  • Populaire tools voor het hacken van webservers zijn Neosploit, MPack en ZeuS.
  • Een goed beveiligingsbeleid kan de kans op een aanval verkleinen