تا %60 تخفیف خرید برای 3 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

آموزش کالی لینوکس قسمت 3 : آشنایی با محیط اسکریپت نویسی BASH

در سری مباحث تست نفوذ با کالی به اسکریپت نویسی Bash رسیدیم که در جلسه پیش طی یک سناریو ساده مثالی را برای شما زدیم. در این مقاله نیز ضمن مطرح کردن سناریوی دیگر، سعی میکنیم تا مفهوم این موضوع را بیش از پیش برای شما جا بیاندازیم. با ما همراه باشید.در این سناریو ما لاگی از یک وب سرور Apache در اختیار داریم که در آن شواهدی از یک حمله مشاهده میشود. وظیفه ما اینست که با استفاده از فرمان های Bash ساده، فایل را جستجو کرده و تکه اطلاعات مختلفی مانند شناسایی مهاجمان و تشخیص این که دقیقا بر روی سرور چه اتفاقی افتاده است را از دل لاگ موجود کشف کنیم. برای این منظور ابتدا از دستورات "head" و "wc" استفاده کرده تا بتوانیم با مرور سریعی بر فایل لاگ، ساختار آن را متوجه شویم:

root@kali:~# head access.log
93.241.170.13 - - [22/May/2015:07:09:11  -0500]  "GET  /favicon.ico   HTTP/1.1"  404
506   "-"   "Mozilla/5.0   (Macintosh;  Intel  Mac    OS   X   10_08_3)    AppleWebKit/537.31
(KHTML,  like   Gecko)   chrome/26.0.1410.65   Safari/537.31"
142.96.25.17 -  -   [22/May/2015:07:09:18  -0500]  "GET  /  HTTP/1.1"   200   356   "-"
"Mozilla/5.0 (Macintosh;  Intel  Mac    OS   X   10_08_3)    AppleWebKit/536.29.13  (KHTML, like Gecko)  Version/6.0.4 safari/536.29.13"
root@kali:~#wc  -l  access.log
1788 access.log

توجه داشته باشید که فایل لاگ بصورت کاربر پسند و با فیلدهای مختلف مثل آدرس IP، بازه زمانی، درخواست HTTP و غیره فیلتر شده است که تمامی این فیلدها توسط فاصله از همدیگر جدا شده اند. کار با جستجو در میان درخواست های HTTP ای که توسط تمامی آدرس های IP ذخیره شده در فایل لاگ، بر روی سرور ایجاد شده اند، ادامه میدهیم. خروجی دستور "cat" را در فرمان های "cut" و "sort" هدایت خواهیم کرد. این کار میتواند سرنخی در رابطه تعداد مهاجمان بالقوه دست ما دهد.

root@kali:~# cat access.log | cut -d  " "  -f 1 | sort  -u
194.25.19.29
202.31.272.117
208.65.234.99
....
5.16.23.10
88.11.27.23
93.241.170.13

مشاهده میکنیم که کمتر از ده آدرس IP در فایل لاگ ذخیره شده اند؛ اما عجله نکنید، هنوز هم این آدرس ها بما اطلاعاتی در رابطه با مهاجمان نمیدهند. در مرحله بعد از فرمان های "uniq" و "sort" استفاده میکنیم تا خروجی مان را بیش از پیش پالایش و اطلاعات را بر اساس تعداد مرتبه ای که به سرور دسترسی داشته اند، مرتب کنند.

root@kali:~# cat access.log | cut -d " "  -f 1 | sort | uniq -c | sort -urn
1038  208.68.234.99
  445  186.19.15.24
   89    194.25.19.29
   62    142.96.25.17
   56    93.241.170.13
   37    10.7.0.52
   30    127.0.0.1
   13    5.16.23.10
   10    88.11.27.23
    6     172.16.40.254

میبینید که تعداد کمی آدرس IP باقی ماندند، اما در این بین نیز تمرکز ما بیشتر بر روی آدرس هایی است که بیشترین دسترسی را به سرور داشته اند. برای نمایش و محاسبه منابعی که توسط آدرس IP مورد نظر درخواست شده اند، دستور زیر بترتیب برای هرکمدام از آدرس های مورد نظر میتواند مورد استفاده قرار گیرد:

root@kali:~# cat access.log | grep ‘208.68.234.99’  | cut -d  "\""  -f  2  |  uniq  -c
1038 GET  //admin HTTP/1.1

با مشاهده این خروجی به نظر میرسد که آدرس 208.68.234.99 در تمام 1038 دسترسی اش به سرور تنها به دایرکتوری /admin مراجعه کرده است. اجزاه بدهید تا نگاهی دقیق تر به این موضوع بیاندازیم:

root@kali:~# cat access.log  |  grep ‘208.68.234.99’  |  grep ‘/admin’ | sort -u 
208.68.234.99  -   -   [22/May/2015:07:51:20  -0500]  "GET  //admin HTTP/1.1"  401  742  "-"   "The Forest Lobster"
…
208.68.234.99 -  admin [22/May/2015:07:51:25   -0500]  "GET  //admin  HTTP/1.1"  200  575  "-"  "The Forest Lobster"
…
root@kali:~# cat access.log|grep ‘208.68.234.99’ | grep -v  ‘/admin’
root@kali:~#

همانطور که مشاهده میکنید به نظر میرسد که آدرس 208.68.234.99 علیه وب سرور حمله HTTP Brute force را انجام داده است و بعد از حدود 1038 بار تلاش، به نظر میرسد که تلاشش موفقیت آمیز بوده است؛ چرا که در لاگ پیام HTTP 200 را میبینیم.خوب دوستان مشاهده کردید که در این سناریو هم توانستیم از یک لاگ ساده و درهم، اطلاعات را به نحو مطلوبمان استخراج کنیم و آن را تحلیل کنیم.

مانا و ITPro باشید.

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

نظر شما
برای ارسال نظر باید وارد شوید.
1 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند