книги хакеры / журнал хакер / 205_Optimized

Как уже было сказано, сегодня мы будем заниматься расширением функционала Nmap за счет написания собственных скриптов. Любой взлом/пентест обычно начинается с разведки и сбора данных. Одним из первых проверяется наличие на исследуемом хосте открытых портов и идентификация работающих сервисов. Лучшего инструмента для сбора такой информации, чем Nmap, пожалуй, нет. Следующим шагом после сканирования обычно бывает либо поиск сплоита под найденный уязвимый сервис, либо подбор пары логин:пароль с помощью метода грубой силы.

Допустим, ты активно используешь брутфорсер THC-Hydra для подбора паролей нескольких сервисов (например, HTTP-Basic, SSH, MySQL). В таком случае приходится натравливать гидру на каждый сервис отдельно, нужно запоминать особенности сервисов и необходимые для запуска гидры флаги. А если появится необходимость брутить намного больше, чем пять сервисов?.. Почему бы не автоматизировать это?

Поэтому давай напишем простенький скрипт, который будет автоматизировать процесс запуска Hydra для подбора логинов/паролей к одному сервису (например, PostgreSQL). Для этого нам понадобятся следующие инструменты:

•Nmap;

•THC-Hydra;

•любой текстовый редактор.

Если у тебя еще не установлен Nmap и/или Hydra, немедленно исправь это:

$ sudo apt-get install nmap hydra

О’кей, начнем. Скрипты для Nmap представляют собой обычные текстовые файлы с расширением *.nse. Поэтому открывай свой любимый текстовый редактор и создавай новый файл. Я буду использовать Vim:

$ vim hydra.nse

СТРУКТУРА NSE-СКРИПТА

Перед тем как перейти к написанию, надо сказать, что все скрипты имеют определенную структуру. Помимо самого кода, автоматизирующего те или иные действия, в нем присутствует описание скрипта (для чего предназначен и как использовать), информация об авторе, лицензии, зависимость от других скриптов, категории, к которым относится скрипт, и так далее. Давай подробней рассмотрим каждую из этих частей.

мы будем задавать путь до файла с логинами (lpath) и до файла с паролями (ppath). Аргументы необязательны: по умолчанию будем искать файлы с именами login.txt и password.txt в текущей директории.

КАТЕГОРИИ, В КОТОРЫХ НАХОДИТСЯ СКРИПТ (CATEGORIES)

При написании NSE-скрипта можно указать его категорию (или несколько категорий). Это бывает полезно, когда пользователь Nmap хочет использовать не конкретный скрипт, а набор скриптов, находящихся в одной категории. Пример некоторых категорий:

•auth — категория, в которой скрипты определяют аутентификационные данные целевого хоста;

•brute — категория, скрипты которой помогают определить логины и пароли для различных сервисов;

•default — категория, которая содержит основные скрипты. Есть некоторые критерии, определяющие принадлежность скрипта к данной категории: скорость сканирования, полезность, надежность, конфиденциальность, наглядный вывод;

•malware — категория, помогающая определять вредоносные программы.

Например, если необходимо запустить все скрипты из категории auth, то команда будет выглядеть следующим образом:

$ nmap --script=auth example.com

В таком случае скрипты этой категории будут по очереди запускаться для указанного хоста. Наш скрипт относится к категории brute. Добавим следующую строку в файл:

ИНФОРМАЦИЯ ОБ АВТОРЕ (AUTHOR)

Каждый скрипт содержит информацию об его авторе. В моем случае:

(LICENSE)

Nmap приветствует все разработки пользователей и призывает делиться ими, в том числе NSE-скриптами. При указании лицензии ты подтверждаешь право делиться скриптом с сообществом. Стандартная лицензия Nmap выглядит следующим образом:

Добавим также и эту строку в наш скрипт.

ЗАВИСИМОСТИ ОТ ДРУГИХ СКРИПТОВ (DEPENDENCIES)

Эта область содержит названия NSE-скриптов, которые должны быть выполнены перед началом работы данного скрипта для получения необходимой информации. Например,

В нашем случае такая возможность не понадобится, поэтому добавлять dependencies мы не будем.

ХОСТ И ПОРТ (HOST & PORT)

Nmap должен знать, для каких сервисов и на каких портах запускать скрипт. Для этого есть специальные правила:

•prerule() — скрипт выполняется один раз перед сканированием любого хоста, используется для некоторых операций с сетью;

•hostrule(host) — скрипт выполняется для каждого хоста из таблицы, которую принимает в качестве аргумента;

•portrule(host, port) — скрипт выполняется для каждого хоста и для каждого порта из таблиц, которые принимает в качестве аргументов;

•postrule() — скрипт выполняется один раз после сканирования любого хоста. В основном используется для обработки полученных результатов, подведения статистики и подобного.

Для формирования таких правил есть библиотеки. В нашем скрипте необходимо только указать номер порта (5432) и имя сервиса (postgresql), и тогда он будет работать лишь для данного порта и сервиса. Существует довольно популярная библиотека shortport, встроенная в NSE, в которую включены различные методы. Мы будем использовать метод port_or_service (ports, services,

protos — имена протоколов (например, udp), states — состояния.

Этот метод возвращает true в том случае, если в данный момент анализируется сервис, находящийся на одном из портов из списка ports или соответствующий какому-нибудь сервису из списка services, кроме того, проверяется протокол и состояние на соответствие, иначе возвращается false.

Чтобы наш скрипт работал с PostgreSQL, нужно добавить номер порта и название сервиса:

ПОДКЛЮЧЕНИЕ БИБЛИОТЕК

Отвлечемся на секунду от структуры скрипта и рассмотрим, как происходит подключение внешних библиотек, к функциональности которых нам потребуется обращаться.

Как и в любом языке, для того чтобы использовать переменные, нужно их сначала объявить и проинициализировать. В Lua все просто: все переменные объявляются через local <имя_переменной>. Но прежде всего нам необходимо подключить библиотеки. В Lua такая возможность реализуется с помощью ключевого слова require. Добавим в самое начало нашего скрипта:

Таким образом мы подключили следующие библиотеки:

•nmap — библиотека NSE, содержит внешние функции и структуры данных Nmap;

•shortport — библиотека NSE, содержит функции для указания сервисов, портов и так далее, для которых будет запускаться скрипт;

•stdnse — библиотека NSE, содержит стандартные NSE-функции;

•string — библиотека Lua, содержит функции для работы со строками;

•table — библиотека Lua для создания и модификации таблиц (ассоциативных массивов);

•tab — библиотека NSE для работы с таблицей Nmap для вывода результата.

это значение, используя условие:

Заодно мы указали количество потоков для распараллеливания для этого сервиса (переменная task).

Теперь создадим таблицу, в которую будем складывать результаты брутфорса (логины и пароли), и добавим в нее значения первой строки (названия столбцов):

В первой строке таблицы мы указали имена столбцов. На следующем шаге проверим, открыт ли порт, и сформируем строку с нужными флагами для запуска гидры:

Флаги при запуске гидры:

•-L (-l) <файл_с_логинами> (<один_логин>)

•-P (-p) <файл_с_паролями> (<один_пароль>)

•t <количество_потоков> (по дефолту 16)

•-e ns — дополнительная проверка: n — проверка на пустой пароль, s — в качестве пароля проверяется логин

•-s <номер_порта>