Что такое CTF? И как искать уязвимости в web структуре?

  Всем привет! В этой статье я вас кратко ознакомлю с CTF и приведу 2 простых примера с решением тасков на поиск уязвимости в web структуре и 1 пример захвата флага. На кушетке мы будем оперировать задания с ИИ, Брутфорс аутентификации в web приложении и pwn (оно же own) флага из сервера жертвы.

  CTF (Capture The Flag) - соревнование по этичному хакингу. Основная цель соревнований: найти уязвимость и забрать флаг. Обучение и участие в CTF проходит на ИСКЛЮЧИТЕЛЬНО учебных машинах в ИСКЛЮЧИТЕЛЬНО научных целях. Направления CTF разнообразные и каждый может найти свое. Небольшой пример направлений в CTF: Reverse Engeneering, Криптография, Стеганография, Форензика (aka Кибер Криминалистика), Web и многие другие. Подобные соревнования дают несоизмеримый и бесценный опыт, как в сфере ИБ, так и ИТ.

  И так, не буду долго томить и сразу перейдем к делу!

1. Атака на ИИ.

  Первый, самый простой, пример рассмотрим на площадке Portswigger, они же создатели BurpSuite. Заголовок нашего задания «Exploiting LLM APIs with excessive agency». Вкратце, Large Language Models (LLM) это всем знакомый ассистент, которого вы могли встретить на многих сайтах. Обычно они помогают искать информации об интересующем вас продукте, иногда даже можно запросить сбросить пароль, отправкой письма на почту. Но это подвергает их веб-атакам LLM, которые используют доступ к модели данных, API (Application Programming Interface) или пользовательской информации, к которой злоумышленник не может получить прямой доступ.

  Ознакомимся с нашей задачей перед атакой:

  Задача проста - удалить пользователя carlos с помощью LLM атаки! Нажимаем на «Access The Lab» и переходим на сайт-жертву.

  Покопавшись на сайте, можем понять, что это интернет-магазин, позволяющий зайти как пользователь и, что самое главное, есть раздел «Live chat» с ИИ ассистентом. Соответсвенно переходим именно туда и зададим ему несколько вопросов.

< >

  Работает ассистент безотказно. Еще и поддерживает русский язык, поэтому просьбу на удаление пользователя напишем на родном нам языке.

  Успех! Однако ИИ не всегда может идти по заранее заданному мною пути, поэтому можете представиться, как администратор и попросить удалить пользователя carlos. И не смотря на то, что мы тут не захватываем флаг, быть полезным и интересным заданию ничего не мешает.

2. Брутфорс.

  Второй пример имеет уязвимость для грубой атаки (aka Bruteforce). Брутфорс может использоваться в различных задачах: начиная от перебора логина и пароля жертвы по заранее заданомму списку, заканчивая перебором возможных путей и поддоменов в URL строке сайта с таким же подходящим для данной задачи списком. Однако Брут - дело тонкое, просто запустить сам перебор и ждать положительного ответа не стоит. Как минимум, на это можно потратить десятки безуспешных часов при неаккуратном использовании. Данный заголовок задания гласит «Username enumeration via subtly different responses». Вдобавок нам дают 2 списка с предполагаемыми значениями логина и пароля жертвы. Звучит заманчиво, перейдем же к делу!

  Задача такова: с помощью уязвимости к брутфорсу нужно зайти на аккаунт жертвы. Помимо этого, нам даются списки с логином и паролем для перебора. Для данного задания, нам будет необходим инструмент BurpSuite, о котором я упоминал раньше. К счастью, нам не потребуются платные услуги данного инструмента, поэтому воспользуемся обычной версией BurpSuite Community Edition. После установки переходим в раздел «Proxy» и открываем браузер по кнопке «Open browser» и заходим на наш сайт с уязвимостью. Так же можно использовать данные услуги на любом удобном вам браузере с помощью расширения для браузера FoxyProxy, но это оставлю для следующих статей.

< >

  Включаем функцию Intercept (Перехват), нажав на кнопку «Intercept is off», чтобы просматривать каждый наш запрос на сервер сайта и его ответ. В нашей задаче будут встречаться только 2 запроса POST и GET. POST - отправление наших данных на сервер. GET - запрос на получение от сервера определенного контента. Чтобы отправлять соответствующие запросы, нажимаем на кнопку «Forward». Значение ping означает, вашу отправку запроса на сервер. Значение pong означает ответ от сервера.

  Продолжим! Отправляем намеренно неправильный логин и пароль. Перенаправляем данный запрос на Repeater, нажатием на ПКМ и выбором соответствующего пункта (так же можно использовать горячие клавиши Ctrl+R/Cmd+R) и отправляем дальше запрос кнопкой «Forward», пока не увидим ответ от сервера с принятыми значениями для аутентификации.

< >

  Как и ожидалось, ответ от сервера отрицательный, но это однозначно может помочь. Во-первых, копируем фразу «Invalid username or password.». Во-вторых, в разделе Repeater отправляем несколько раз запрос кнопкой «Send», дабы проверить наличие ограничений на количество попыток входа в систему и проверить, как отвечает сервер на запросы; Ограничений нет, и ответы таковы: Status code (Код состояния) - 200, Content-Length (Длина контента обозначает количество символов в ответе) - имеет разные значения от 3200. Отправляем запрос в раздел Intruder (ПКМ Intruder/Ctrl+I/Cmd+I) и переходим туда. Добавляем знак § в значении username, выделив наш логин и нажав на кнопку «Add §». Это позволит перечислять значения для username из списка, чтобы сразу найти правильный логин, а после уже перебирать для него пароль (сократит это время для атаки в разы). Переходим во вкладку«Payloads» и вставляем список Username. После переходим на вкладку «Settings», добавляем в список «Grep - Match» значение «Invalid username or password.». Наконец-то, начинаем атаку кнопкой «Start attack»!

< >

  Используя фильтр по добавленному значению «Invalid username or password.» находим отличие в запросе по логину application, а значит будем подбирать пароль именно для этого пользователя.

  Но сперва стоит объяснить «Как это все работает?». Обратившись к заголовку задания, работа будет связана с правильным перечислением логина. Самая главная задача при переборе пароля или логина - искать различие в ответах сервера. В основном различаться ответ может в коде состояния, во времени ответа от сервера, в длине котента. Однако код состояния и время ответа сервера ничем не примечательны, а в длине контент вечно меняется. То есть, все запросы разнятся, чтобы просто так не вытянуть нужный нам логин. Для этого и добавляем в список сообщение об ошибке, на случай, если для правильного логина ошибка иная.

  Далее очищаем наши знаки § кнопкой «Clear §». Пишем верный логин и добавляем § для значения в password. Меняем список в Payloads и продолжаем атаку!

< >

  Есть! Применив фильтр для кода состояния, видим статус 302. Введем наши значения предполагаемого пароля и логина в форму аутентификации и очередной успех!!!

3. PWN.

  Данное задание будет решаться на macOS и Kali Linux, а главным нашим инструментом будет терминал. На случай, если у вас нет встроенного дистрибутива Kali Linux, пользователям macOS и Windows советую скачать виртуальную машину с образом Kali Linux (ссылки ниже).

  Задание имеет интересное название «Meow». По тегам можно +- понять «что нас ждет?», но лучше упомяну об этой теме позже. При стандартной работе в Hack The Box (HTB) сначала нужно установить VPN (Virtual Private Network) соединение TCP (Transmission Control Protocol) или UDP (User Datagram Protocol) протокола с сервером. Вы можете использовать какой угодно, но я больше предпочитаю TCP. Прежде чем устанавливать соединение, нужно скачать один из предпочитаемых вами вариантов. Подключиться можно с помощью приложения OpenVPN Connect или терминала командой «openvpn». После подключения нажимаем на кнопку «Spawn Machine» и видим IP (Internet Protocol) адрес.

< >