Технология определения удаленного сервера HTTP Print
Зачастую для поднятие прав на удаленном сервере нам приходится сканировать на открытые порты с целью получения названий деменов и их версий
и нахождения актуального эксплоита для нужной версии того или иного сервиса.Как правило,грамотные администраторы подделывают банеры с целью запутать хакера.В таких случаях версию приходится определять либо вслепую подбирая всевозможные poc,либо используя спецификацию демонов определять номер ветки продукта.
Одной из самых уязвимой частей компьютера,доступного из сети является серверное обеспечение.Именно с него и может начинаться взлом.Очень важно знать полную информацию об этом демоне.Технология,позволяю щая определять подлинный банер HTTPD называется HTTP Print.Впервые вплотную к описанию Fingerprint подошел Fydor (небезызвестый автор NMAP),описавший свой труд в статье "Remote OS detection via TCP/IP Stack Fingerprinting".Примерно на том же подходе и основывается HTTP Print - определение сервера с помощью их специфичной обработки протокола HTTP.
0x00 . Simple Banner Grab
Самый простой способ - посылка GET запроса на получение содержимого index страницы.
Apache 1.3.33 :
PHP код:
HTTP/1.1 200 OKT
Server: Apache/1.3.33 (Unix)
IIS 5.0 :
PHP код:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Netscape Enterprise :
PHP код:
HTTP/1.1 200 OK
Server: Netscape-Enterprise/4.1
Естествено,такой метод надежным не является,так как грамотному системному администратор не составит труда изменить выдаваемый банер.В таких open-source приложениях вроде Apache можно перекомпилировать часть кода с выдаваемой версией демона,IIS или Netscape Enterprise придется патчить любым HEX - редактором.Более ленивые предпочитают использовать дополнительные надстройки на HTTPD ( одной из таких утилит является ServerMask ).
После патчинга получаем примерно такие заголовки
Apache 1.3.33 :
PHP код:
HTTP/1.1 200 OK
Server: Some-Fucking-WEBSERVER/1.0
IIS 5.0 :
PHP код:
HTTP/1.1 200 OK
Server: Yes we are using ServerMask
Как мы видим,полагаться на такой метод нельзя,можно оставить кучу следов на целевой машине,что заставить администратора проявиться бдительность.
0x01 . Начинаем думать
Первое что приходит в голову - искать разницу в ответах хттп-демонов на различные нестандартные запросы.И правда - буквально через 5 минут всевозможных тестов находим лазейку :
Apache 1.3.33 :
PHP код:
HTTP/1.1 200 OK
Date: Tue, 05 Sep 2006 19:47:15 GMT
Server: Apache/1.3.33 (Unix)
IIS 5.0 :
PHP код:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://iis.example.com/Default.htm
Date: Tue, 05 Sep 2006 19:47:15 GMT
Netscape Enterprise :
PHP код:
HTTP/1.1 200 OK
Server: Netscape-Enterprise/4.1
Date: Tue, 05 Sep 2006 19:47:15 GMT
Смотрим на порядок строк Date и Server выдаваемого банера.В случае с Apache на первом месте идет дата,далее имя демона,у IIS эти строки разделены параметром Content-Location,у Netscape,в отличие от Апача,сначала идет сервер,потом дата.Вполне неплохой способ,не правда ли?
0x02. Альтернативные методы
Роем дальше.В RFC по хттп запросам есть описание метода OPTIONS,который с потрохами выдает всю информацию о сервере.Обычно этот запрос используют прокси для определения доступных запросов с целью информировать юзера об возможной или невозможной передачи данных.
OPTIONS * HTTP/1.1
PHP код:
HTTP/1.1 200 OK
Server: Apache/1.3.33 (Unix)
Allow: GET, HEAD, OPTIONS, TRACE
OPTIONS / HTTP/1.1
PHP код:
HTTP/1.1 200 OK
Server: Apache/1.3.33 (Unix)
Allow: GET, HEAD, OPTIONS, TRACE
Nginx вообще выдаст себя по ответу
PHP код:
400 Bad Request
nginx/0.3.33
Почему мы можем ориентироваться на эти данные?Да потому что мало кто задумывается о смене запросов,отличных от GET \ POST.
Пробуем явно запрещенные методы вроде
DELETE
Apache :
PHP код:
HTTP/1.1 405 Method Not Allowed
Server: Apache/1.3.23
IIS 5.0 :
PHP код:
HTTP/1.1 403 Forbidden
Server: Microsoft-IIS/5.0
Netscape :
PHP код:
HTTP/1.1 401 Unauthorized
Server: Netscape-Enterprise/4.1
Апач не поддерживает такой вид запросов,для применения такого рода запросов в нетскейпе и иис надо иметь достаточно прав.
Экспереметируем с изменением версий протоколов
GET / HTTP/4.0
Apache :
PHP код:
HTTP/1.1 400 Bad Request
Server: Apache/1.3.23
IIS 5.0 :
PHP код:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Netscape :
PHP код:
GET / HTTP/3.0
HTTP/1.1 505 HTTP Version Not Supported
Разница видна даже невооруженным глазом.
Пробуем отправить POST нулевой длины.Только Apache вернет 200 Ok,в остальных случаях будет Bad Request.
PHP код:
POST / HTTP/1.0
Host: cup.su
Content-length: 0
PHP код:
HTTP/1.1 200 OK
Server: Apache/1.3.33 (Unix)
Интересен запрос вида
JUNKMETHOD.
JUNKMETHOD / HTTP/1.0
Host: cup.su
Nginx легко можно обнаружить по свойственному ему признаку - выдавать 502 Bad Gateway на все нестандартные запросы.
0x03 Подводим итоги.[/b]
Server Field Ordering DELETE Method Improper HTTP version Improper protocol
Apache/1.3.23 Date, Server 405 400 200
Microsoft-IIS/5.0 Server, Date 403 200 400
Netscape Server, Date 401 505 no header
*При написании статьи я использовал следующие материалы
Самый подробный материал по HTTP-PRINT,собствено вся статья состоит из перевода этого документа + мои добавки
http://net-square.com/httprint/httprint_paper.html
NMAP OS Fingerprint - лучше руководство от Федора по REMOTE OS FINGERPRINT
http://www.insecure.org/nmap/nmap-fingerprinting-article.html
После прочтения RFC авторы решили поэксперементировать с различными запросами
http://www.ietf.org/rfc/rfc2616.txt
HMAP web server fingerprinter
http://wwwcsif.cs.ucdavis.edu/~leed/hmap/
Утилита,поддерживающая все возможные технологии HTTP fingerprint`а
http://net-square.com/httprint/httprint_win32_301.zip
Технология HTTP Fingerprint
Похожие темы
Комбинированный вид
