ΑρχικήrapidalertΕπιτυχημένη επίθεση μέσω του Singularlogic Application Server

Επιτυχημένη επίθεση μέσω του Singularlogic Application Server

Singularlogic Application Server: Η μηχανογράφηση μίας επιχείρησης είναι και η ραχοκοκκαλιά της. Η διαχείριση των πελατών,προμηθευτών,αποθήκης κτλ είναι άμεσα συνδεδεμένη και εξαρτώμενη με το πρόγραμμα που διαχειρίζεται όλη αυτή την βάση στον Server της εταιρίας.

Πως θα σας φαινόταν αν σας έλεγα πως ο επιτιθέμενος μπορεί να έχει άμεση πρόσβαση στον κεντρικό υπολογιστή σας και να κατεβάσει ή να δει τα αρχεία σας χωρίς να χρειαστεί να ξέρει κανέναν κωδικό!

Να κατεβάσει την βάση δεδομένων της εταιρείας σας και να την επεξεργαστεί.Στη συνέχεια θα σας δείξω πως ο υπολογιστής που έχει εγκατεστημένο το πρόγραμμα της SingularLogic λειτουργεί ως WebServer από default.

Πρώτα όμως θα σας πω μερικά πράγματα σχετικά με την εφαρμογή.Singularlogic Application Server

Κατά την εγκατάσταση των εφαρμογών Next (Eurofasma,Manager) έχετε την επιλογή εγκατάστασης είτε για πλήρη, είτε για τον σταθμό εργασίας. H πλήρης εγκατάσταση σημαίνει ότι ο υπολογιστής είναι και ο server με ότι αυτό συνεπάγεται.

Εγκαθιστά τov application server όπου είναι υπεύθυνος επικοινωνίας και μεταφοράς δεδομένων με τους σταθμούς εργασίας. Αυτομάτως με την εγκατάσταση του application server ανοίγει και η πόρτα 401 που στις περισσότερες περιπτώσεις είναι ανοιχτή στο router και στο firewall. Τώρα αφού γνωρίζουμε μερικά πράγματα για την εφαρμογή θα προσπαθήσουμε να την εκμεταλλευτούμε για να μπούμε στον server μίας εταιρείας ή αν είμαστε μέρος αυτού του δικτύου η δουλειά μας θα είναι λίγο πιο εύκολη.Singularlogic Application Server databreach_large

1ος Τρόπος – Μέρος του δικτύου (π.χ αν είναι υπάλληλος της εταιρίας)

Δεν χρειάζεται να είσαι χακερ ούτε τεχνικός για να καταλάβεις το client-server κομμάτι της εφαρμογής.Το μόνο που χρειάζεται να ξέρεις ή να μπορείς να καταλάβεις ποιος είναι ο αριθμός της πόρτας που χρησιμοποιείται.

Στο Client κομμάτι στο πεδίο του server αναγράφετε και η IP του υπολογιστή που έχει εγκατεστημένο τον application server.Η IP αυτή μπορεί να είναι και external αν βρισκόμαστε εκτός του τοπικού δικτύου της εταιρίας.Singularlogic Application Server port_number

Στην αρχή καθώς έψαχνα και προσπαθούσα να καταλάβω την λειτουργία του application server χρησιμοποίησα το NETCAT. Μπορείτε να καταλάβετε τα ερωτηματικά μου καθώς το NC μου επέστρεψε την παρακάτω εικόνα.

Singularlogic Application Server nc

Αφού δούλεψε με το NC θα μπορεί να δουλέψει και με τον browser μου σκέφτηκα.firefox

Μπορούσα να περιηγηθώ στον Server, να ανοίξω αρχεία ή να τα κατεβάσω χωρίς να χρειαστεί να ξέρω το username ή το password!! Στην δική μου περίπτωση ο Server είναι ένα virtual machine. Αφού ο επιτιθέμενος ξέρει κάποια πράγματα για το πρόγραμμα τότε σίγουρα ξέρει και που βρίσκεται η βάση δεδομένων.

download_database Singularlogic Application Server

2ος Τρόπος – Port Forward with Metasploit

Αυτή την φορά θα επιτεθούμε στον Server έναν λίγο πιο πολύπλοκο τρόπο γιατί αυτή την φορά δεν βρισκόμαστε στο ίδιο τοπικό δίκτυο.

Ένας υπάλληλος αρκεί να κάνει το λάθος για πετύχουμε τον σκοπό μας.

Στο blog μου περιγράφω με περισσότερες λεπτομέρειες για το πως μπορούμε να δημιουργήσουμε ένα exe αρχείο που η δουλειά του είναι να δημιουργήσει έναν δίαυλο επικοινωνίας ανάμεσα στον επιτιθέμενο και στο θύμα (http://pentestlibrary.blogspot.gr/2016/07/antivirus-bypass-using-python.html).

Αφού δημιουργήσουμε το αρχείο μας αρκεί ένα και μόνο χτύπημα για να φτάσουμε στον Server μέσω του υπολογιστή που εκτέλεσε το αρχείο μας χρησιμοποιώντας και το port forwarding του Metasploit.port_forward Singularlogic Application Server

Μόλις το αρχείο μας εκτελεστεί και μπούμε στον meterpreter τότε θα ρίξουμε μία ματιά στο δίκτυο χρησιμοποιώντας το arp_scanner script.meterpreter

Αφού εντοπίσουμε ποιος είναι ο server μας τότε κάνουμε port forwarding.Θέλουμε τα δεδομένα να μεταφέρονται σε εμας μέσα από τον υπολογιστή που ήδη έχουμε απευθείας πρόσβαση.H πόρτα 8000 είναι αυτή που ακούει στον υπολογιστή του επιτιθέμενουport_forward2

Τώρα μπορείτε να κάνετε και ένα scan με το NMAPnmap

Τώρα αφού δεν έχουμε απευθείας πρόσβαση στον Server αλλά έχουμε ήδη πρόσβαση σε άλλο υπολογιστή του δικτύου και επίσης έχουμε κάνει port forward τα δεδομένα θα μεταφέρονται σε εμάς ως εξήςport_forward3

 

H Singularlogic είναι μία πολύ μεγάλη εταιρεία για τα ελληνικά δεδομένα και με ένα πολύ μεγάλο πελατολόγιο.

Οι εφαρμογές αυτές είναι πολύ γνωστές στους μηχανογράφους και στους λογιστές.

Ο application server υπάρχει σχεδόν σε όλες τους τις εφαρμογές όπου αυτό σημαίνει πιθανά πρόβλημα επιτυχημένης επίθεσης μέσω αυτού. Δεν κατάλαβα γιατί ο application server θα πρέπει να κάνει τον υπολογιστή να λειτουργεί σαν web server. Αφού δέχεται GET requests θα έπρεπε να ελέγχει καλύτερα από που δέχεται αυτά τα Requests και αν το Token είναι σωστό(κάτι τέτοιο σαν ασφάλεια δεν υπάρχει).

secnews.gr

Script>Alert
Script>Alerthttps://www.secnews.gr
We are all Edward Snowden.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS