Blog

Information Gathering für Webseiten / Webserver

Information Gathering (IG) ist eine Disziplin zur Analyse eines Ziels, um Schwachstellen oder mögliche Angriffsflächen ausfindig zu machen. IG ist Bestandteil eines Penetrationstests und gleichzeitig eine Vorgehensart zur Vorbereitung eines Angriffes.

Welche Möglichkeiten bieten sich an, um mit frei zugänglichen Werkzeugen Ziele zu untersuchen?

Beispiele:

http://toolbar.netcraft.com/site_report – Mit Netcraft kannst Du umfangreiche Informationen über ein Ziel herausfinden.

http://www.yougetsignal.com/tools/web-sites-on-web-server/ – Yougetsignal.com bietet ebenfalls umfangreiche Informationen zu einem Zielserver.

http://centralops.net/co/ – Auch über Centralops kann ein Domaindossier angelegt werden.

https://www.net.princeton.edu/traceroute.html – Über das Angebot der Princeton Universität kann bspw. der Pfad zum Ziel verfolgt werden. Die IP-Adressen zwischendurch sind auch interessante Ziele. Hacker können auch als Wegelagerer arbeiten, statt direkt Systeme anzugreifen.

http://dnscheck.pingdom.com/ – Um öffentliche DNS-Infos abzufragen, bietet sich dieser Service an.

Mit Hilfe von Anbietern von Sicherheitssoftware kann ein Ziel dahingehend untersucht werden, ob es bereits infiziert ist. Ein Angreifer kann so vielleicht eine bereits vorhandene Sicherheitslücke ausnutzen, sollte der Vorgänger sie nicht hinter sich geschlossen haben:

http://www.mcafee.com/us/threat-center.aspx

http://www.siteadvisor.com/sites/kowabit.de

https://safeweb.norton.com/report/show?url=kowabit.de

https://www.virustotal.com/#url

 

Nach diesen ersten Informationen bietet es sich an bspw. mit Hilfe von Google Hacks genauer nach genutzten Systemen und Versionen zu suchen.

Beispiele:

Google als Werkzeug:

Du kannst direkt per Google-Suche nach Schwachstellen recherchieren. Im Grunde nur die Suche nach entsprechend gespeicherten Google-Einträgen:

site:kowabit.de “Fatal Error”
site:kowabit.de “Invalid SQL statement”
site:kowabit.de “Microsoft JET Database Engine”

site:kowabit.de ODBC
site:kowabit.de OleDbException

[ Alternativ kann man sich auch einer entsprechenden Software bedienen: Google Diggity (auch andere Suchanbieter und Optionen möglich)

http://www.bishopfox.com/resources/tools/google-hacking-diggity/attack-tools/ ]

In Google die direkte Suche nach Dateien, die Informationen auswerfen, wie:

phpinfo.php
robots.txt

sitemap.xml

Oder gezielt nach Ordnern suchen:

/admin
/administrator
/cache

/installation
/install
/plugins
/secret
/tmp

Beliebt bei WordPress-Angriffen:

/wp
/wp-admin

Alternativ die Suche mit Hilfe von Scripten (Habe ich nur einmal vor langer Zeit getestet.)

Genutztes Tool: SQID SQL Injection digger http://sqid.rubyforge.org/

$ ruby sqid2.rb -m g -q “filetype:XXXX site:kowabit.de” -s 0 -r 1000

-m = Operate in mode MODE:

g – google – Google Suchmodus (und -q)
(Statt g , auch u – url – URL prüfen ; p – page – Einzelseite prüfen ; c – crawl – Ganze Webseite untersuchen)

-s = START = Erstes Ergebnis
-r = RESULTS = Anzahl anzuzeigender Ergebnisse

Datentypen (filetype) XXXX bspw.:

asp
aspx
cgi
py
php
jsp

Weiteres Werkzeug: XSSscan.py
 https://packetstormsecurity.com/unix/scanners/xssscan.py.txt (oder: https://packetstormsecurity.com/files/58853/XSSscan.py.txt.html)

$ python XSSscan.py -s https://www.kowabit.de -a ‘XSSscan’ -w kowabitscan.txt

-s = spezielle Seite scannen
(Statt -s bspw: -g = um Google zu nutzen und mehr Hosts zu scannen)
-a = Alarmmeldung ändern
-w = Infos in Datei schreiben

 

Auf diesem Weg und mit diesen und ähnlichen Werkzeugen kann ein Hacker (oder Du) Informationen über ein System herausarbeiten.

Wenn wir dieses Vorgehen mit dem Ausspionieren eines Hauses vergleichen, tun wir folgendes:

1. Fenster und Türen prüfen
2. Fenstertypen und Türentypen prüfen
3. Hersteller der Fenster und Türen prüfen, und welche Probleme die Fenster und Türen hatten
4. Türenschlösser und Fensterverriegelungen prüfen auf Hersteller, Version, Fehler und Probleme
5. Bewohner und Abläufe feststellen
6.

Ob digital oder in der realen Welt: Es gibt keine Sicherheit! Es gibt nur Fehler, die von anderen Personen ausgenutzt werden. 🙂

Tagged , , , , , , , , , , , , , , ,