Writeups: Slow Crawl

 الـ Writeup الثاني

بعنوان: Slow Crawl

 

الزحف البطيء (Slow Crawl) :
قصدت هنا بالزحف البطيء (Slow Crawl) هي عملية التحرك نحو الهدف دون ان يشعر ، هذه الحركة الخفية التي تحدث خلف الهدف دون اتاحة له ادنى فرصة او شك في ذلك ، تقنيات الزحف البطيء كثيرة جدا وغالبا يستخدمها اغلب الهاكرز حول العالم ولكن القليل منهم يعي جيدا ماذا تفعل، هذه التقنية يتم استخدامها على اهداف معينة هي تقريبا تعرف بي Passive وليس Active ولاغراض كثيرة نذكر منها الأتي:

•  صفحات فرعية.
  

•  نقاط انتهاء EndPoints. 

• مسارات مخفية.
•   ملفات مخفية.

•  استعلامات قد تكون منطقية عبر المتقح 'parameters’.

•  نطاقات فرعية.

غالبا قيام المختبر او المخترق بعمل قائمة من اسماء وملفات ونحوه ومحاولة ايجاد  ماذكر اعلاه ولكن الخطأ الذي يقع فيه الجميع هي الطريقة العشوائية والسريعة عند اقتناص مثل هذه الانواع ،وسيصادف اخطاء كثيرة وردود فعل غير حقيقية اما من الخادم فحسب او من خوادم لخدمات فرعية او تتبع طرف ثالث في القضية (ساقوم ان شاء الله في هذه المقالة بتوضيح وشرح مع الأمثلة والادلة احدى الطرق المتبعة) في عملية مانسميه بالزحف البطيء ،ولكن دعوني اولا اوضح لكم ان ماذكر اعلاه توجد امثلة كثيرة له ومنتشرة على مستوى الانترنت.

 

ولذالك دعوني اضيف شيئًا جديدًا كعملية زحف بطيء ولكن هنا ننفذها على مايعرف برؤوس الطلب 'Request Headers’ ،في البداية جميع ما ساقوم بنشره من صور يوجد فيديو كامل لهذه العملية وكل عملية مجزأة في فيديو مستقل لزيادة التوضيح.

 

نشاهد الصورة التالية هنا اقوم بمحاولة التخمين وايجاد رؤوس مخفية لشركة ميكروسوفت مثلا علما اني سبق وجدت مشكلة مشابهة في سيرفرات GitLab و Github

 في الوضع التقليدي يقوم المختبر او الهاكرز هنا باستخدام Burp يسند قائمة List باغلب الاسماء للرؤوس محاولا عبر اللاحقة Intruder ان يكتشف هل هناك رؤوس مخفية او لم يتم تعيينها من قبل المطورين او ارباك للخادم اثناء تلقيه اكثر من راس وهكذا ، والحقيقة الكثير من هؤلاء متبعي الوضع التقليدي والاقل من ذالك ، سيصادف توقف الخادم او ظهور رقم كود معين واحد لأغلب الطلبات مثلا 403 او 404 او 200 ظنا منه انه قام بذالك الفعل بشكل صحيح وانتهى من تخمين اغلب الرؤوس ، وهو لا يعلم ان جميع ماقام به في مهب الريح ناهيك ان هناك وضع متطور في ايجاد وحتى تخمين رؤوس خاصة اكثر وتحتاج لوقت وصبر اكبر (سنتعرف عليه في الدروس القادمة) ، في الحقيقة ماظهر امامنا في الصورة اعلاه بعد استخدامنا لاداة "Burp" وكذالك انترودر ماهو الا مايريده الهدف ان يظهر امامنا هنا
باختصار شديد وان صح لنا التعبير قمنا بايقاظ جدار الحماية للهدف وعرف من سلوكنا  المشبوه اننا نقوم بتجربة انواع للرؤوس في محاولة منا لدارسة الهدف وقام بحظرنا تماما وايقاف جميع تحركاتنا ، شاهدوا الفيديو التالي لاثبات ذلك.

حسنًا لماذا تحديدًا (الزحف البطيء) ؟.

باختصار شديد الزحف البطيء يمكننا من التالي :

•  التحكم بالوقت ونستطيع حتى في الوضع المتقدم تحديد عدد الطلبات في الدقيقة وحتى الثانية 
•  التوغل اكثر في قلب الهدف ومعرفة ردود الفعل الغريبة والمربكة
• السلوك الشرعي والطبيعي المتعارف عليه بالنسبة للخادم من جانب نحن العميل
•  ضمان الردود من قبل الخادم حقيقية لازيف فيها
•  امكانية استخدام بروكسيات في المنتصف بكل اريحة كذالك تكثيف اكثر من طلب حتى مع بروكسي واحد مزور (سنقوم بشرحه ان شاء الله في الوضع المتقدم)

اذا لتبدا يارفاق

سنقوم اولا باستخدام برمجية Bash Script ستكون بالصيغة التالية:
 

(في الدروس المتقدمة سنتعلم برمجة وانشاء مثل هذه الادوات الخاصة بنا بلغة الباش والاوامر)

for header in $(cat /home/h4x0r/targets/lists/HH2.txt); do echo -e; echo '======================================================'; echo $header; echo '======================================================'; echo $header >> results.txt; echo -e ; copy as curl command bash -H "$header"': Test123' >> results.txt; sleep 20; done

لاحظوا هنا مسار القائمة Lists كذالك لاحظوا اين نضع امر اللاحقة CURL المنسوخ من Burp" وكذالك نلاحظ اسنادنا للقيمة Test123 للمتغير $header ، ولاحظوا كذالك هنا اننا نخبر الآلة السبات او الانتظار 20 ثانية قبل ارسال الطلب التالي ، (نستطيع ان نقلص المدة حتى ملي في  الثانية seconds ولكن من واقع تجربة هذا التوقيت هو الممتاز والذي غالبا يكون في النهج الطبيعي ولن يعترضه اي جدار ناري اضافة لذالك ان غالبا قائمة الرؤوس للطلب تكون محصورة وقليلة العدد حتى مع الرؤوس الخاصة).

سيصح كود الأمر النهائي بعد نسخ الطلب من "burp" كامر curl كالتالي:

for header in $(cat /home/h4x0r/targets/lists/HH2.txt); do echo -e; echo '======================================================'; echo $header; echo '======================================================'; echo $header >> results.txt; echo -e ; curl -i -s -k -X $'GET' \

    -H $'Host: www[.]microsoft[.]com' -H $'Sec-Ch-Ua: \"(Not(A:Brand\";v=\"8\", \"Chromium\";v=\"99\"' -H $'Sec-Ch-Ua-Mobile: ?0' -H $'Sec-Ch-Ua-Platform: \"Linux\"' -H $'Upgrade-Insecure-Requests: 1' -H $'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36' -H $'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9' -H $'Sec-Fetch-Site: none' -H $'Sec-Fetch-Mode: navigate' -H $'Sec-Fetch-User: ?1' -H $'Sec-Fetch-Dest: document' -H $'Accept-Encoding: gzip, deflate' -H $'Accept-Language: en-US,en;q=0.9' -H $'Connection: close' \

    $'hxxps://www.microsoft.com/en-sa' -H "$header"': Test123' >> results.txt; sleep 5; done

(الرجاء ازالة القوسين [] حول النقطة كذالك x في hxxp وضعتها لعدم ضهور الرابط في الارشفة وتتبع Google) ، وبعد تطبيق الامر بنجاح قارنوا النتائج بين استخدامنا Burp والكود الخاص بنا شاهدوا الصور التالية.

 

 

 

 

 

 

 

 كما نلاحظ فرق كبير بين النتائج:
عموما دعونا نوضح،  الهجوم الاول المتبع بسرعة الارساليات والطلبات نلاحظ هنا ان الخادم للهدف بعد اكثر من طلب قام بالرد علينا فقط بالرقم 403 تقريبا هو هنا قام بعمل حظر للهجمة،  اخواني هذا الحظر يتم ليس بالضرورة من اول هجوم قد يتم حظرك في المرة الاولى وقدم يتم حظرك في اقل من اختبار راسين او ثلاثة على حسب التطبيق وهناك تطبيقات او خوادم فكما قلت لكم مجرد ان توقظ الجدار الناري لن يتركك مهما عاودت الكرة حتى مع اي بي مختلف، واترك لكم التجربة والحكم.

واضافة لذالك قد تستطيع اقتناص الراس عبر  ولكن لن تستطيع تجربة بايلود واستغلال مع هذا الراس لانه بكل بساطة عند استخدامك لقائمة استغلالات ونفترض هنا SQLI وغيرها يتم حظرك فورا لكن مع الزحف البطيء لن يحصل ذالك لانه ببساطة سيقرا الخادم انه طلب جديد وراس جديد بين كل 20 ثانية وهكذا ، ونلاحظ ايظا من خلال الشرح والصور اعلاه اننا قمنا باصطياد راسين لهما تاثير على الخادم وفي الرد المقابل حصلنا على الكود 403 وهذا قطعا يشير ان هذه الراسين لها استخدامات ومآرب اخرى لدى الهدف واستطعنا هنا ايظا عرض خادم وسائط بروكسي اى طرف ثالث تستخدمه ميكروسوفت في ادارة محتوى الموقع هنا وهو تابع لسيرفرات او خوادم akamai شاهدوا الصور ادناه :

في البداية نقوم بفلترة المخرجات لنتائج الهجوم كما في الصورة الأتيه:

• cat results.txt | grep --color -ia 'HTTP/2'

• cat results.txt | grep --color -ia 'HTTP/2 1'

• cat results.txt | grep --color -ia 'HTTP/2 3'

• cat results.txt | grep --color -ia 'HTTP/2 4'

• cat results.txt | grep --color -ia 'HTTP/2 5'

بعد فلترة الخرج لحالة الكود ننظر الطول

cat results.txt | grep --color -ia 'Content-Length:'

وهكذا في محاولة لمقارنة كل شي والنتائج، والان البحث عن النتيجة المختلفة شاهدوا الصور.

 

 

 

 

 

 

 

 

واخيرا شاهدوا الفرق في النتائج ومادا حصلنا عليه من رؤوس مخفية وحقيقية للهدف وقارنوا بينها وبين نتائج .Burp

 

 

 

 

  

 

 

 

 

النهاية

طبعا للدرس بقية يجب ان تكون سلسة دروس في تكملة تخص طرق محاولة استغلال مثل هذه النتائج والاخطاء ،  ان شاء الله في اجازة العمل القادمة علما اني وجدت خطأً خاص في شركة Github ، وتم اصلاح المشكلة على الفور سنتطرق لذالك ان شاء الله في تقرير مفصل
اترككم مع الصور والفيديوهات للتطبيق العملي والاستزادة.

دمتم بأمان الله: H4x0r