Технология HTTP Fingerprint

[gemaglabin]

Технология определения удаленного сервера HTTP Print​

Зачастую для поднятие прав на удаленном сервере нам приходится сканировать на открытые порты с целью получения названий деменов и их версий
и нахождения актуального эксплоита для нужной версии того или иного сервиса.Как правило,грамотные администраторы подделывают банеры с целью запутать хакера.В таких случаях версию приходится определять либо вслепую подбирая всевозможные poc,либо используя спецификацию демонов определять номер ветки продукта.

Одной из самых уязвимой частей компьютера,доступного из сети является серверное обеспечение.Именно с него и может начинаться взлом.Очень важно знать полную информацию об этом демоне.Технология,позволяющая определять подлинный банер HTTPD называется HTTP Print.Впервые вплотную к описанию Fingerprint подошел Fydor (небезызвестый автор NMAP),описавший свой труд в статье "Remote OS detection via TCP/IP Stack Fingerprinting".Примерно на том же подходе и основывается HTTP Print - определение сервера с помощью их специфичной обработки протокола HTTP.

0x00 . Simple Banner Grab

Самый простой способ - посылка GET запроса на получение содержимого index страницы.

Apache 1.3.33 :

HTTP/1.1 200 OKT
Server: Apache/1.3.33 (Unix)

IIS 5.0 :

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0

Netscape Enterprise :

HTTP/1.1 200 OK
Server: Netscape-Enterprise/4.1

Естествено,такой метод надежным не является,так как грамотному системному администратор не составит труда изменить выдаваемый банер.В таких open-source приложениях вроде Apache можно перекомпилировать часть кода с выдаваемой версией демона,IIS или Netscape Enterprise придется патчить любым HEX - редактором.Более ленивые предпочитают использовать дополнительные надстройки на HTTPD ( одной из таких утилит является ServerMask ).

После патчинга получаем примерно такие заголовки

Apache 1.3.33 :

HTTP/1.1 200 OK
Server: Some-Fucking-WEBSERVER/1.0

IIS 5.0 :

HTTP/1.1 200 OK
Server: Yes we are using ServerMask

Как мы видим,полагаться на такой метод нельзя,можно оставить кучу следов на целевой машине,что заставить администратора проявиться бдительность.

0x01 . Начинаем думать

Первое что приходит в голову - искать разницу в ответах хттп-демонов на различные нестандартные запросы.И правда - буквально через 5 минут всевозможных тестов находим лазейку :

Apache 1.3.33 :

HTTP/1.1 200 OK
Date: Tue, 05 Sep 2006 19:47:15 GMT
Server: Apache/1.3.33 (Unix)

IIS 5.0 :

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://iis.example.com/Default.htm
Date: Tue, 05 Sep 2006 19:47:15 GMT

Netscape Enterprise :

HTTP/1.1 200 OK
Server: Netscape-Enterprise/4.1
Date: Tue, 05 Sep 2006 19:47:15 GMT

Смотрим на порядок строк Date и Server выдаваемого банера.В случае с Apache на первом месте идет дата,далее имя демона,у IIS эти строки разделены параметром Content-Location,у Netscape,в отличие от Апача,сначала идет сервер,потом дата.Вполне неплохой способ,не правда ли?

0x02. Альтернативные методы

Роем дальше.В RFC по хттп запросам есть описание метода OPTIONS,который с потрохами выдает всю информацию о сервере.Обычно этот запрос используют прокси для определения доступных запросов с целью информировать юзера об возможной или невозможной передачи данных.

OPTIONS * HTTP/1.1

HTTP/1.1 200 OK
Server: Apache/1.3.33 (Unix)
Allow: GET, HEAD, OPTIONS, TRACE

OPTIONS / HTTP/1.1

HTTP/1.1 200 OK
Server: Apache/1.3.33 (Unix)
Allow: GET, HEAD, OPTIONS, TRACE

Nginx вообще выдаст себя по ответу

400 Bad Request
nginx/0.3.33

Почему мы можем ориентироваться на эти данные?Да потому что мало кто задумывается о смене запросов,отличных от GET \ POST.

Пробуем явно запрещенные методы вроде DELETE

Apache :

HTTP/1.1 405 Method Not Allowed
Server: Apache/1.3.23

IIS 5.0 :

HTTP/1.1 403 Forbidden
Server: Microsoft-IIS/5.0

Netscape :

HTTP/1.1 401 Unauthorized
Server: Netscape-Enterprise/4.1

Апач не поддерживает такой вид запросов,для применения такого рода запросов в нетскейпе и иис надо иметь достаточно прав.

Экспереметируем с изменением версий протоколов

GET / HTTP/4.0

Apache :

HTTP/1.1 400 Bad Request
Server: Apache/1.3.23

IIS 5.0 :

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0

Netscape :

GET / HTTP/3.0
HTTP/1.1 505 HTTP Version Not Supported

Разница видна даже невооруженным глазом.

Пробуем отправить POST нулевой длины.Только Apache вернет 200 Ok,в остальных случаях будет Bad Request.

POST / HTTP/1.0
Host: cup.su
Content-length: 0

HTTP/1.1 200 OK
Server: Apache/1.3.33 (Unix)

Интересен запрос вида JUNKMETHOD.

JUNKMETHOD / HTTP/1.0
Host: cup.su

Nginx легко можно обнаружить по свойственному ему признаку - выдавать 502 Bad Gateway на все нестандартные запросы.


0x03 Подводим итоги.[/b]

Server Field Ordering DELETE Method Improper HTTP version Improper protocol
Apache/1.3.23 Date, Server 405 400 200
Microsoft-IIS/5.0 Server, Date 403 200 400
Netscape Server, Date 401 505 no header

*При написании статьи я использовал следующие материалы


Самый подробный материал по HTTP-PRINT,собствено вся статья состоит из перевода этого документа + мои добавки
http://net-square.com/httprint/httprint_paper.html

NMAP OS Fingerprint - лучше руководство от Федора по REMOTE OS FINGERPRINT
http://www.insecure.org/nmap/nmap-fingerpr...ng-article.html

После прочтения RFC авторы решили поэксперементировать с различными запросами
http://www.ietf.org/rfc/rfc2616.txt

HMAP web server fingerprinter
http://wwwcsif.cs.ucdavis.edu/~leed/hmap/

Утилита,поддерживающая все возможные технологии HTTP fingerprint`а

http://net-square.com/httprint/httprint_win32_301.zip

 

[Great]

неплохо humbsup:

 

[system(#036;cmd)]

Молодец humbsup: В "хакере" читал похожую статью