در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

تست نفوذ با لینوکس کالی ::: محیط و اسکریپت نویسی Bash - بخش دوم

سلام به دوستان عزیز ITPro ای و علاقه‌مندان به مباحث امنیت شبکه. در سری مباحث تست نفوذ با کالی به اسکریپت نویسی Bash رسیدیم که در جلسه پیش طی یک سناریو ساده مثالی را برای شما زدیم. در این مقاله نیز ضمن مطرح کردن سناریوی دیگر، سعی میکنیم تا مفهوم این موضوع را بیش از پیش برای شما جا بیاندازیم. با ما همراه باشید.

در این سناریو ما لاگی از یک وب سرور Apache در اختیار داریم که در آن شواهدی از یک حمله مشاهده میشود. وظیفه ما اینست که با استفاده از فرمان های Bash ساده، فایل را جستجو کرده و تکه اطلاعات مختلفی مانند شناسایی مهاجمان و تشخیص این که دقیقا بر روی سرور چه اتفاقی افتاده است را از دل لاگ موجود کشف کنیم. برای این منظور ابتدا از دستورات "head" و "wc" استفاده کرده تا بتوانیم با مرور سریعی بر فایل لاگ، ساختار آن را متوجه شویم:

root@kali:~# head access.log
93.241.170.13 - - [22/May/2015:07:09:11  -0500]  "GET  /favicon.ico   HTTP/1.1"  404
506   "-"   "Mozilla/5.0   (Macintosh;  Intel  Mac    OS   X   10_08_3)    AppleWebKit/537.31
(KHTML,  like   Gecko)   chrome/26.0.1410.65   Safari/537.31"
142.96.25.17 -  -   [22/May/2015:07:09:18  -0500]  "GET  /  HTTP/1.1"   200   356   "-"
"Mozilla/5.0 (Macintosh;  Intel  Mac    OS   X   10_08_3)    AppleWebKit/536.29.13  (KHTML, like Gecko)  Version/6.0.4 safari/536.29.13"
root@kali:~#wc  -l  access.log
1788 access.log

توجه داشته باشید که فایل لاگ بصورت کاربر پسند و با فیلدهای مختلف مثل آدرس IP، بازه زمانی، درخواست HTTP و غیره فیلتر شده است که تمامی این فیلدها توسط فاصله از همدیگر جدا شده اند. کار با جستجو در میان درخواست های HTTP ای که توسط تمامی آدرس های IP ذخیره شده در فایل لاگ، بر روی سرور ایجاد شده اند، ادامه میدهیم. خروجی دستور "cat" را در فرمان های "cut" و "sort" هدایت خواهیم کرد. این کار میتواند سرنخی در رابطه تعداد مهاجمان بالقوه دست ما دهد.

root@kali:~# cat access.log | cut -d  " "  -f 1 | sort  -u
194.25.19.29
202.31.272.117
208.65.234.99
....
5.16.23.10
88.11.27.23
93.241.170.13

مشاهده میکنیم که کمتر از ده آدرس IP در فایل لاگ ذخیره شده اند؛ اما عجله نکنید، هنوز هم این آدرس ها بما اطلاعاتی در رابطه با مهاجمان نمیدهند. در مرحله بعد از فرمان های "uniq" و "sort" استفاده میکنیم تا خروجی مان را بیش از پیش پالایش و اطلاعات را بر اساس تعداد مرتبه ای که به سرور دسترسی داشته اند، مرتب کنند.

root@kali:~# cat access.log | cut -d " "  -f 1 | sort | uniq -c | sort -urn
1038  208.68.234.99
  445  186.19.15.24
   89    194.25.19.29
   62    142.96.25.17
   56    93.241.170.13
   37    10.7.0.52
   30    127.0.0.1
   13    5.16.23.10
   10    88.11.27.23
    6     172.16.40.254

میبینید که تعداد کمی آدرس IP باقی ماندند، اما در این بین نیز تمرکز ما بیشتر بر روی آدرس هایی است که بیشترین دسترسی را به سرور داشته اند. برای نمایش و محاسبه منابعی که توسط آدرس IP مورد نظر درخواست شده اند، دستور زیر بترتیب برای هرکمدام از آدرس های مورد نظر میتواند مورد استفاده قرار گیرد:

root@kali:~# cat access.log | grep ‘208.68.234.99’  | cut -d  "\""  -f  2  |  uniq  -c
1038 GET  //admin HTTP/1.1

با مشاهده این خروجی به نظر میرسد که آدرس 208.68.234.99 در تمام 1038 دسترسی اش به سرور تنها به دایرکتوری /admin مراجعه کرده است. اجزاه بدهید تا نگاهی دقیق تر به این موضوع بیاندازیم:

root@kali:~# cat access.log  |  grep ‘208.68.234.99’  |  grep ‘/admin’ | sort -u 
208.68.234.99  -   -   [22/May/2015:07:51:20  -0500]  "GET  //admin HTTP/1.1"  401  742  "-"   "The Forest Lobster"
…
208.68.234.99 -  admin [22/May/2015:07:51:25   -0500]  "GET  //admin  HTTP/1.1"  200  575  "-"  "The Forest Lobster"
…
root@kali:~# cat access.log|grep ‘208.68.234.99’ | grep -v  ‘/admin’
root@kali:~#

همانطور که مشاهده میکنید به نظر میرسد که آدرس 208.68.234.99 علیه وب سرور حمله HTTP Brute force را انجام داده است و بعد از حدود 1038 بار تلاش، به نظر میرسد که تلاشش موفقیت آمیز بوده است؛ چرا که در لاگ پیام HTTP 200 را میبینیم.

خوب دوستان مشاهده کردید که در این سناریو هم توانستیم از یک لاگ ساده و درهم، اطلاعات را به نحو مطلوبمان استخراج کنیم و آن را تحلیل کنیم.

مانا و ITPro باشید.

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#آموزش_تست_نفوذ #آموزش_لینوکس_کالی #امنیت_اطلاعات_و_ارتباطات #آموزش_bash_shell #لینوکس_کالی_چیست؟ #آموزش_امنیت_شبکه #آموزش_bash_scripting #اسکریپت_نویسی_bash #آموزش_تست_نفوذ_با_کالی
عنوان
1 تست نفوذ با لینوکس کالی ::: مدیریت و اجرای سرویس‌ها رایگان
2 تست نفوذ با لینوکس کالی ::: محیط و اسکریپت نویسی Bash - بخش اول رایگان
3 تست نفوذ با لینوکس کالی ::: محیط و اسکریپت نویسی Bash - بخش دوم رایگان
4 تست نفوذ با لینوکس کالی ::: معرفی ابزار Netcat - بخش اول رایگان
5 تست نفوذ با لینوکس کالی ::: بایند کردن Shell توسط ابزار Netcat رایگان
6 تست نفوذ با لینوکس کالی ::: معرفی ابزار Ncat رایگان
7 تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark رایگان
زمان و قیمت کل 0″ 0
1 نظر
Reza_s

عالی بود....

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....