Comment pirater un serveur Web

Table des matières:

Anonim

Les clients se tournent généralement vers Internet pour obtenir des informations et acheter des produits et services. À cette fin, la plupart des organisations ont des sites Web. La plupart des sites stockent des informations précieuses telles que les numéros de carte de crédit, adresse e - mail et mots de passe, etc . Cela en a fait des cibles pour les attaquants. Les sites Web dégradés peuvent également être utilisés pour communiquer des idéologies religieuses ou politiques, etc.

Dans ce tutoriel, nous vous présenterons les techniques de piratage des serveurs Web et comment vous pouvez protéger les serveurs contre de telles attaques.

Dans ce tutoriel, vous apprendrez:

  • Vulnérabilités du serveur Web
  • Types de serveurs Web
  • Types d'attaques contre les serveurs Web
  • Effets d'attaques réussies
  • Outils d'attaque de serveur Web
  • Comment éviter les attaques sur le serveur Web
  • Activité de piratage: pirater un serveur Web

Vulnérabilités du serveur Web

Un serveur Web est un programme qui stocke des fichiers (généralement des pages Web) et les rend accessibles via le réseau ou Internet . Un serveur Web nécessite à la fois du matériel et des logiciels. Les attaquants ciblent généralement les exploits dans le logiciel pour obtenir une entrée autorisée sur le serveur. Examinons certaines des vulnérabilités courantes dont les attaquants profitent.

  • Paramètres par défaut - Ces paramètres tels que l'ID utilisateur et les mots de passe par défaut peuvent être facilement devinés par les attaquants. Les paramètres par défaut peuvent également permettre d'effectuer certaines tâches telles que l'exécution de commandes sur le serveur qui pourraient être exploitées.
  • Mauvaise configuration des systèmes d'exploitation et des réseaux - certaines configurations telles que permettre aux utilisateurs d'exécuter des commandes sur le serveur peuvent être dangereuses si l'utilisateur n'a pas un bon mot de passe.
  • Bogues dans le système d'exploitation et les serveurs Web - les bogues découverts dans le système d'exploitation ou le logiciel du serveur Web peuvent également être exploités pour obtenir un accès non autorisé au système.

En plus des vulnérabilités de serveur Web mentionnées ci-dessus, les éléments suivants peuvent également entraîner un accès non autorisé

  • Absence de politique et de procédures de sécurité - l'absence de politique et de procédures de sécurité telles que la mise à jour du logiciel antivirus, la correction du système d'exploitation et du logiciel de serveur Web peut créer des trous de sécurité pour les attaquants.

Types de serveurs Web

Voici une liste des serveurs Web courants

  • Apache - Il s'agit du serveur Web couramment utilisé sur Internet. Il est multiplateforme, mais il est généralement installé sur Linux. La plupart des sites Web PHP sont hébergés sur des serveurs Apache.
  • Internet Information Services (IIS) - Il est développé par Microsoft. Il fonctionne sous Windows et est le deuxième serveur Web le plus utilisé sur Internet. La plupart des sites Web asp et aspx sont hébergés sur des serveurs IIS.
  • Apache Tomcat - La plupart des sites Web de pages de serveur Java (JSP) sont hébergés sur ce type de serveur Web.
  • Autres serveurs Web - Ceux-ci incluent le serveur Web de Novell et les serveurs Lotus Domino d'IBM.

Types d'attaques contre les serveurs Web

Attaques par traversée de répertoire - Ce type d'attaque exploite les bogues du serveur Web pour obtenir un accès non autorisé à des fichiers et des dossiers qui ne sont pas du domaine public. Une fois que l'attaquant a obtenu l'accès, il peut télécharger des informations sensibles, exécuter des commandes sur le serveur ou installer des logiciels malveillants.

  • Attaques par déni de service - Avec ce type d'attaque, le serveur Web peut planter ou devenir indisponible pour les utilisateurs légitimes.
  • Détournement du système de noms de domaine - Avec ce type d'attaquant, le paramètre DNS est modifié pour pointer vers le serveur Web de l'attaquant. Tout le trafic censé être envoyé au serveur Web est redirigé vers le mauvais.
  • Reniflage - Les données non chiffrées envoyées sur le réseau peuvent être interceptées et utilisées pour obtenir un accès non autorisé au serveur Web.
  • Phishing - Avec ce type d'attaque, l'attaque usurpe l'identité des sites Web et dirige le trafic vers le faux site Web. Les utilisateurs sans méfiance peuvent être amenés à soumettre des données sensibles telles que les informations de connexion, les numéros de carte de crédit, etc.
  • Pharming - Avec ce type d'attaque, l'attaquant compromet les serveurs DNS (Domain Name System) ou sur l'ordinateur de l'utilisateur afin que le trafic soit dirigé vers un site malveillant.
  • Defacement - Avec ce type d'attaque, l'attaquant remplace le site Web de l'organisation par une page différente qui contient le nom du pirate, des images et peut inclure une musique de fond et des messages.

Effets d'attaques réussies

  • La réputation d'une organisation peut être ruinée si l'attaquant modifie le contenu du site Web et inclut des informations malveillantes ou des liens vers un site Web pornographique
  • Le serveur Web peut être utilisé pour installer des logiciels malveillants sur les utilisateurs qui visitent le site Web compromis . Le logiciel malveillant téléchargé sur l'ordinateur du visiteur peut être un virus, un cheval de Troie ou un botnet, etc.
  • Les données utilisateur compromises peuvent être utilisées pour des activités frauduleuses pouvant entraîner des pertes commerciales ou des poursuites de la part des utilisateurs qui ont confié leurs coordonnées à l'organisation

Outils d'attaque de serveur Web

Certains des outils d'attaque de serveur Web courants incluent:

  • Metasploit - il s'agit d'un outil open source pour développer, tester et utiliser du code d'exploitation. Il peut être utilisé pour découvrir les vulnérabilités des serveurs Web et écrire des exploits qui peuvent être utilisés pour compromettre le serveur.
  • MPack - il s'agit d'un outil d'exploitation Web. Il a été écrit en PHP et est soutenu par MySQL comme moteur de base de données. Une fois qu'un serveur Web a été compromis à l'aide de MPack, tout le trafic vers celui-ci est redirigé vers des sites de téléchargement malveillants.
  • Zeus - cet outil peut être utilisé pour transformer un ordinateur compromis en bot ou en zombie. Un bot est un ordinateur compromis qui est utilisé pour effectuer des attaques basées sur Internet. Un botnet est un ensemble d'ordinateurs compromis. Le botnet peut alors être utilisé dans une attaque par déni de service ou l'envoi de spams.
  • Neosplit - cet outil peut être utilisé pour installer des programmes, supprimer des programmes, les répliquer, etc.

Comment éviter les attaques sur le serveur Web

Une organisation peut adopter la politique suivante pour se protéger contre les attaques de serveurs Web.

  • Gestion des correctifs - cela implique l'installation de correctifs pour sécuriser le serveur. Un correctif est une mise à jour qui corrige un bogue dans le logiciel. Les correctifs peuvent être appliqués au système d'exploitation et au système de serveur Web.
  • Installation et configuration sécurisées du système d'exploitation
  • Installation et configuration sécurisées du logiciel serveur Web
  • Système d'analyse des vulnérabilités - il s'agit notamment d'outils tels que Snort, NMap, Scanner Access Now Easy (SANE)
  • Les pare-feu peuvent être utilisés pour arrêter les attaques DoS simples en bloquant tout le trafic provenant des adresses IP source identifiées de l'attaquant.
  • Un logiciel antivirus peut être utilisé pour supprimer les logiciels malveillants sur le serveur
  • Désactivation de l'administration à distance
  • Les comptes par défaut et les comptes inutilisés doivent être supprimés du système
  • Les ports et paramètres par défaut (comme FTP au port 21) doivent être modifiés en port et paramètres personnalisés (port FTP à 5069)

Activité de piratage: pirater un serveur Web

Dans ce scénario pratique, nous allons examiner l'anatomie d'une attaque de serveur Web. Nous supposerons que nous ciblons www.techpanda.org. Nous n'allons pas le pirater car c'est illégal. Nous n'utiliserons le domaine qu'à des fins éducatives.

Ce dont nous aurons besoin

  • Une cible www.techpanda.org
  • Moteur de recherche Bing
  • Outils d'injection SQL
  • PHP Shell, nous utiliserons dk shell http://sourceforge.net/projects/icfdkshell/

La collecte d'informations

Nous devrons obtenir l'adresse IP de notre cible et trouver d'autres sites Web partageant la même adresse IP.

Nous utiliserons un outil en ligne pour trouver l'adresse IP de la cible et d'autres sites Web partageant l'adresse IP

  • Entrez l'URL https://www.yougetsignal.com/tools/web-sites-on-web-server/ dans votre navigateur Web
  • Entrez www.techpanda.org comme cible
  • Cliquez sur le bouton Vérifier
  • Vous obtiendrez les résultats suivants

Sur la base des résultats ci-dessus, l'adresse IP de la cible est 69.195.124.112

Nous avons également découvert qu'il y avait 403 domaines sur le même serveur Web.

Notre prochaine étape consiste à analyser les autres sites Web à la recherche de vulnérabilités d'injection SQL. Remarque: si nous pouvons trouver un SQL vulnérable sur la cible, nous l'exploiterons directement sans considérer d'autres sites Web.

  • Entrez l'URL www.bing.com dans votre navigateur Web. Cela ne fonctionnera qu'avec Bing, donc n'utilisez pas d'autres moteurs de recherche tels que google ou yahoo
  • Entrez la requête de recherche suivante

ip: 69.195.124.112 .php? id =

ICI,

  • "Ip: 69.195.124.112" limite la recherche à tous les sites Web hébergés sur le serveur Web avec l'adresse IP 69.195.124.112
  • La recherche «.php? Id =» des variables URL GET utilisait un paramètre pour les instructions SQL.

Vous obtiendrez les résultats suivants

Comme vous pouvez le voir à partir des résultats ci-dessus, tous les sites Web utilisant des variables GET comme paramètres pour l'injection SQL ont été répertoriés.

La prochaine étape logique consisterait à analyser les sites Web répertoriés à la recherche de vulnérabilités d'injection SQL. Vous pouvez le faire à l'aide de l'injection SQL manuelle ou utiliser les outils répertoriés dans cet article sur l'injection SQL.

Télécharger le shell PHP

Nous n'analyserons aucun des sites Web répertoriés, car cela est illégal. Supposons que nous ayons réussi à nous connecter à l'un d'eux. Vous devrez télécharger le shell PHP que vous avez téléchargé depuis http://sourceforge.net/projects/icfdkshell/

  • Ouvrez l'URL où vous avez téléchargé le fichier dk.php.
  • Vous obtiendrez la fenêtre suivante
  • Cliquez sur l'URL du lien symbolique pour accéder aux fichiers du domaine cible.

Une fois que vous avez accès aux fichiers, vous pouvez obtenir les informations de connexion à la base de données et faire tout ce que vous voulez, comme la défiguration, le téléchargement de données telles que des e-mails, etc.

Résumé

  • Le serveur Web a stocké des informations précieuses et sont accessibles au domaine public. Cela en fait des cibles pour les attaquants.
  • Les serveurs Web couramment utilisés incluent Apache et Internet Information Service IIS
  • Les attaques contre les serveurs Web tirent parti des bogues et des erreurs de configuration dans le système d'exploitation, les serveurs Web et les réseaux
  • Les outils de piratage de serveurs Web populaires incluent Neosploit, MPack et ZeuS.
  • Une bonne politique de sécurité peut réduire les chances d'être attaqué