Dirbuster là một ứng dụng java đa luồng được thiết thế để bruce force các thư mục và các tệp trên máy chủ web ứng dụng. Dirbuster luôn cố gắng tìm xem máy chủ web có trong trạng thái cài đặt măc định hay không và có các trang và ứng dụng ẩn bên trong. Tuy nhiên các công cụ có tính chất này thường hoạt động tốt với thư mục và danh sách tệp đi kèm. Một cách tiếp cận là danh sách được tạo ra từ đầu bằng cách thu thập dữ liệu từ Internet và thu thập tệp và thư mục được sử dụng bời các nhà phát triển. Dirbuster có tổng cộng 9 danh sách khác nhau, điều này làm cho Dirbuster cực kỳ hiệu quả trong việc tìm kiếm các tệp và thư mục ẩn. Dirbuster được viết bằng Java bởi James Fisher nhưng rất tiếc đến hiện nay không còn phát triển nữa. Dirbuster có GUI dễ sử dụng với danh sách wordlist đa dạng điều này làm cho kết quả tìm kiếm vô cùng chính xác.
TỔNG QUAN VỀ THỰC TRẠNG TẤN CÔNG TRANG WEB
Tổng quan về tình hình an ninh mạng
Cuộc Cách mạng công nghiệp 4.0 đang diễn ra mạnh mẽ nhờ sự phát triển của không gian mạng, kết hợp giữa hệ thống ảo và thực thể đã thay đổi cách thức làm việc và sản xuất của con người Sự chuyển mình này đã tạo ra một “cuộc cách mạng” trong tổ chức chuỗi sản xuất - giá trị, góp phần thúc đẩy phát triển kinh tế - xã hội Tuy nhiên, bên cạnh những lợi ích to lớn, việc kết nối toàn cầu không biên giới cũng đặt ra nhiều thách thức lớn đối với an ninh và trật tự quốc gia, khiến an ninh mạng trở thành vấn đề toàn cầu cần được chú trọng.
Sự gia tăng nhanh chóng của các ứng dụng web đã làm nổi bật tầm quan trọng của bảo mật ứng dụng web Trong những năm gần đây, số lượng cuộc tấn công web đã tăng đáng kể, với hơn 560.000 vụ tấn công trên toàn cầu vào năm 2019, trong đó Việt Nam đứng thứ 11 với 9.300 website bị xâm phạm Nhiều lỗ hổng bảo mật ứng dụng web xuất phát từ vấn đề xác thực đầu vào, như SQL injection và Cross-Site Scripting (XSS) Mặc dù các lỗ hổng này thường dễ hiểu và có thể phòng ngừa, nhiều doanh nghiệp và tổ chức vẫn chưa nhận thức đầy đủ về tầm quan trọng của việc bảo đảm an ninh cho website, dẫn đến việc nhiều trang web trên Internet trở nên dễ bị tổn thương trước các cuộc tấn công.
Tầm quan trọng của các công cụ kiểm thử trong việc phát hiện và chẩn đoán lỗi là rất cần thiết, đặc biệt trong môi trường mà số lượng trang web gia tăng nhanh chóng mà không đảm bảo chất lượng về an toàn và an ninh.
Thực trạng tấn công các ứng dụng web
Ứng dụng Web, hay còn gọi là trang Web, hoạt động dựa trên mô hình máy khách - máy chủ, trong đó máy chủ cung cấp quyền truy cập vào cơ sở dữ liệu lưu trữ trên máy chủ Web Máy khách thực thi ứng dụng trên các trình duyệt như Chrome và Firefox Các ứng dụng Web thường được phát triển bằng các ngôn ngữ lập trình như Java, C#, VB.Net, PHP và ColdFusion Markup Language Ngoài ra, các công cụ cơ sở dữ liệu phổ biến được sử dụng trong các ứng dụng Web bao gồm MySQL, MS SQL Server, PostgreSQL và SQLite.
Hầu hết các ứng dụng Web được lưu trữ trên máy chủ công cộng, dễ dàng tiếp cận qua Internet, làm tăng nguy cơ bị tấn công Theo thống kê, hơn 45% website bị hack toàn cầu sử dụng tên miền com, tiếp theo là in (6%) và net (4,3%) Tại Việt Nam, hơn 80% website bị tấn công là các trang thương mại và của doanh nghiệp, chủ yếu là com và vn Các tên miền khác cũng bị tấn công nhiều là net, info, và org Đặc biệt, gần ắ số trang web bị hack tại Việt Nam sử dụng nền tảng quản trị nội dung WordPress, tiếp theo là Drupal và Joomla với tỷ lệ lần lượt là 12,99% và 6,7%.
Mức độ an toàn của các ứng dụng Web ngày càng trở nên cấp thiết, đặc biệt trong quá trình vận hành, cho thấy vai trò quan trọng của kiểm thử trong việc bảo vệ trang web Bài viết này sẽ làm rõ cách thức hoạt động của công cụ Dirbuster, một công cụ rà quét hiệu quả, cùng với quy trình kiểm thử cần thiết Qua đó, chúng tôi mong muốn cung cấp một cái nhìn tổng quan về công tác đảm bảo an toàn cho các ứng dụng web.
TỔNG QUAN VỀ CÔNG CỤ DIRBUSTER
Hướng dẫn cài đặt công cụ
Đối với người dùng Kali Linux, công cụ này đã được cài đặt sẵn và không cần thêm bước nào Tuy nhiên, nếu bạn đang sử dụng hệ điều hành khác như Debian, bạn cần thực hiện cài đặt bằng cách sử dụng lệnh git sau: `git clone https://gitlab.com/kalilinux/packages/dirbuster.git`.
THỰC NGHIỆM VÀ ĐÁNH GIÁ
Thực nghiệm (Chức năng chính của Dirbuster)
Tại giao diện Kali Linux tìm Application -> Web Application Analysis -> Web Crawler & Directory
Hình 1: Giao diện tìm kiếm Dirbuster
Khởi động DirBuster và nhập địa chỉ http://testphp.vulnweb.com vào trường Target URL, giữ nguyên các tùy chọn khác DirBuster sẽ tự động chuyển đổi giữa các yêu cầu HEAD và GET để thực hiện cuộc tấn công brute force dựa trên danh sách đã cung cấp.
Hình 2: Giao diện chính của Dirbuster
In the directory path usr/share/wordlists/dirbuster, we can obtain a list of directories and files, which will display a selection of options.
Hình 3: Danh sách wordlist có trong Dirbuster
Khi khởi động Dirbuster, điều quan trọng là xác định mục tiêu và lựa chọn từ điển phù hợp để thực hiện tấn công bruteforce Dirbuster cung cấp một danh sách các từ điển để người dùng có thể tham khảo và sử dụng.
• apache-user-enum-1.0.txt (8916 username): Được sử dụng để đoán người dùng hệ thống trên apache với module userdir được bật.
• apache-user-enum-2.0.txt (10341 username): Được sử dụng để đoán người dùng hệ thống trên apache với module userdir bật.
• directories.jbrofuzz (50000 từ): Danh sách phân biệt chữ hoa và chữ thường từ dự án OWASP jbroFuzz
• directory-list-1.0.txt (141694 từ): Danh sách ban đầu không có thứ tự
• directory-list-2.3-medium.txt (220546 từ): Các thư mục/ tệp được tìm thấy trên ít nhất 2 máy chủ khác nhau
• directory-list-2.3-small.txt (87650): Các thư mục/ tệp được tìm thấy trên ít nhất 3 máy chủ khác nhau.
• directory-list-lowercase-2.3-medium.txt (207629 từ): phiên bản directory-list-
2.3-medium.txt không phân biệt chữ hoa và chữ thường.
• directory-list-lowercase-2.3-small.txt (81629 từ): phiên bản directory-list-2.3- small.txt không phân biệt chữ hoa và chữ thường.
Nhấn nút Start để khởi động Dirbuster, công cụ sẽ tiến hành brute forcing và hiển thị kết quả về các tệp và thư mục khác nhau trong cửa sổ kết quả.
Hình 4: Hình ảnh quét website http://testphp.vulnweb.com
Dirbuster sẽ mất thời gian trong khi quét toàn bộ URL với thông tin hiển thi như hình ở phía trên
Tốc độ hiện tại và tốc độ trung bình trong Dirbuster cho thấy số lượng yêu cầu mà công cụ này gửi đến URL của nạn nhân mỗi giây Kẻ tấn công có khả năng điều chỉnh tốc độ quét của Dirbuster bằng cách thay đổi số lượng luồng sử dụng trong quá trình quét.
• Total Request: Hiển thị số lượng yêu cầu HTTP/ HTTPS được gửi đến URL nạn nhân.
• Time to finish: hiển thị thời gian dirbuster đã thực hiện để hoàn thành quá trình quét.
• Results-Listview: hiển thị danh sách các tệp mà dirbuster đã lấy từ URL của nạn nhân.
• Results-TreeView: hiển thị các thư mục ẩn hoặc không ẩn được tìm thấy.
Lỗi hiển thị thời gian chờ kết nối cho trang cụ thể xảy ra khi yêu cầu gửi bị từ chối, do không nhận được phản hồi từ URL của nạn nhân hoặc máy chủ.
Chúng ta sẽ cấu hình Dirbuster để chỉ sử dụng phương thức yêu cầu GET bằng cách chọn vào checkbox "Use GET requests only" Để tăng tốc độ quét, số luồng sẽ được đặt là 200 và chúng ta cũng sẽ chọn checkbox "Go Faster".
Hình 5:Dirbuster sử dụng GET requests
Chọn Start để bắt đầu, trong Result –Tree View chúng ta có thể thấy các tệp vầ thư mục của website
Hình 6: Hình ảnh tệp và thư mục khi sử dụng GET request
Dirbuo cho phép thực hiện nhiều cuộc tấn công brute force bằng cách chọn checkbox "Pure Brute Force" trong tùy chọn và thiết lập charset là "0-9" Đồng thời, người dùng cũng cần xác định giới hạn ký tự tối thiểu và tối đa.
Hình 7:Dirbuster sử dụng Pure Brute Force
Trong Result- Tree View chúng ta có thể thấy có các file, thư mục:
Hình 8: Kết quả tìm kiếm sử dụng Pure Brute Force
Chúng ta sẽ thực hiện một lần quét duy nhất, trong đó các từ điển chỉ được sử dụng một lần Để đạt được điều này, hãy bỏ chọn tùy chọn Be Recursive.
Hình 9: Dirbuster sử dụng Single Sweep
Trong Result – ListView chúng ta có thể thấy những phát hiện
Hình 10: Kết quả tìm kiếm sử dụng Single Sweep
Khám phá các tùy chọn điều khiển của Dirbuster, chúng ta sẽ cấu hình để Dirbuster tìm kiếm thư mục “admin” Trong trường "Dir to start with", hãy nhập /admin và nhấn nút bắt đầu.
Hình 11: Dirbuster sử dụng Targeted Start
Trong Result – TreeView chúng ta có thể thấy các phát hiện như mục create.sql
Hình 12 Kết quả tìm kiếm sử dụng Targeted Start
Dirbuster có khả năng kiểm tra các thư mục có phần mở rộng trống, giúp phát hiện dữ liệu có thể không bị ảnh hưởng Để thực hiện chức năng này, người dùng cần chọn vào ô kiểm "Use Blank Extensions".
Hình 13: Dirbuster sử dụng Use Blank Extension
Nhấn Start để bắt đầu quá trình tìm kiếm, tại đây chúng ta có thể theo dõi quá trình xử lý và Dirbuster sẽ thử nghiệm nhằm phát hiện các thư mục có phần mở rộng trống.
Hình 14: Kết quả chạy sử dụng Use Blank Extension
3.1.8 Tìm kiếm theo loại tệp (.txt)
To refine the search for specific files, we will set the file extension to txt in Dirbuster Simply enter ".txt" in the "File extensions" field and click "Start" to initiate the search.
Hình 15: Dirbuster tìm kiếm theo loại tệp (.txt)
Chúng ta có thể thấy việc xử lý xảy ra và Dirbuster thử nghiệm để tìm các thư mục có phần mở rộng txt
Hình 16: HÌnh ảnh tìm kiếm các tệp có phần mở rộng txt
Dirbuster mặc định không được đặt để theo dõi chuyển hướng trong cuộc tấn công, nhưng chúng ta có thể bật trong Options ->Follow Directs
Hình 17: Dirbuster sử dụng Follow Directs
Chọn Start và xem kết quả trong thông tin quét
Hình 18: Kết quả quét sử dụng Follow Directs
Hình 19: Kết quả tại Result-TreeView sử dụng Follow Direct
3.1.10 Tấn công thông qua proxy
Dirbuster cũng có thể tấn công bằng proxy Trong trường hợp này chúng ta cố gắng mở một trang web tại địa chỉ 192.168.1.108 nhưng bị từ chối truy cập
Hình 20: Hình ảnh trang web từ chối truy nhập Để thực hiện tấn công, chúng ta đặt địa chỉ IP 192.168.1.108 làm mục tiêu tấn công
Hình 21: Dirbuster đặt địa chỉ 192.168.1.108 để tấn công
Trước khi tiến hành tấn công, cần thiết lập tùy chọn proxy bằng cách vào Options -> Advanced Option -> Http Options Tại đây, chọn "Run Through a Proxy", sau đó nhập địa chỉ 192.168.1.08 vào trường Host và thiết lập port là 3192.
Hình 22: Thiết lập Http Options
Chọn Ok và Start để bắt đầu thực hiện, chúng ta có thể thấy thử nghiệm cho kết quả
Hình 23: Hình ảnh tệp và thư mục khi quét tại địa chỉ 192,168.0.108
3.1.11 Thêm phần mở rộng tệp
Một số định dạng tệp, đặc biệt là các định dạng ảnh, không được thiết lập để tìm kiếm trong Dirbuster Để thêm các định dạng này, người dùng có thể truy cập vào phần Tùy chọn -> Tùy chọn nâng cao -> Tùy chọn phân tích HTML.
Hình 24: Thêm phần mở rộng tệp trong HTML Parsing Options
Chúng ta sẽ xóa jpeg trong trường hợp này và chọn OK
Trong phần mở rộng chúng ta sẽ nhập “jpeg” để thông báo cho Dirbuster tìm kiếm các tệp định dạng jpeg
Hình 25 Thêm jpeg vào File extension để tìm kiếm định dạng jpeg:
Chúng ta có thể thấy trong quá trình thử nghiệm Dirbuster đang tìm kiếm các tệp có định dạng jpeg.
Hình 26: Hình ảnh quét Dirbuster tìm kiếm các tệp jpeg
Thực nghiệm (Tấn công sử dụng Dirbuste)
Trong bài viết này, tôi sẽ sử dụng máy chủ TryHackme, một nền tảng được thiết kế để xây dựng các bài tập Capture The Flag (CTF) Mục tiêu của bài tập là tìm ra lỗ hổng bảo mật và thực hiện việc tải shell lên máy chủ, từ đó tiến hành các cuộc tấn công tùy thuộc vào mục đích của kẻ tấn công.
Hình 27: Hình ảnh server RootMe Đối tượng thực hiện:
Bước 1: Sử dụng Dirbuster sử dụng kỹ thuật bruteforce để tìm kiếm các thư mục ẩn trên máy chủ web RootMe
Hình 28: Sử dụng Dirbuster bruteforce thư mục trên RootMe
Chọn Start để bắt đầu Bruteforce các thư mục ẩn
Hình 29: Hình ảnh các thư mục, đường dẫn trên Rootme
Bước 2: Tiến hành kiểm tra các thư mục và đường dẫn
Bây giờ chúng ta Open in Browser các file và thư mục xem có điều gì đặc biệt ở trong đó hay không Bắt đâu từ trang Index.php
Hình 30: Hình ảnh trang Index.php
Tiếp theo là dir /icons/, tại đây chúng ta không có quyền để truy nhập vào đường dẫn này
Tiếp tục với đường dẫn dir/js
Hình 31: Hình ảnh dir/icons/
Hình 32: Hình ảnh dir/js/ Đường dẫn dir/css Đường dẫn dir/uploads
Hình 33: Hình ảnh dir/css
Hình 34: Hình ảnh dir/uploads Đường dẫn Dir/panel: Với đường dẫn thư mục này chúng ta có thể upload được file.
Hình 35: Hình ảnh trang dir/panel
Vậy kịch bản có thể nghĩ tới ở đây là có thể upload một shell nào đó để tấn công, trong bài này chúng ta sẽ upload reverse-shell.
To upload a shell to the RootMe server, first, you need to obtain a reverse shell file You can download it from the following link: https://github.com/pentestmonkey/php-reverse-shell and extract the zip file after downloading.
Tiến hành upload file php-reverse-shell và nhận được kết quả
Lỗi upload file reverse PHP cho thấy rằng file php không được cấp phép Để khắc phục, chúng ta có thể đổi đuôi file thành php9 và thay đổi địa chỉ IP cùng port trong file Kết quả là file php-reverse-shell.php9 đã được upload thành công.
Hình 37: Upload thành công reverse-shell sau khi thay đổi file
Bây giờ chúng ta quay lại Dir/upload cho kết quả là php-reverse-shell đã được upload lên.
Hình 38: Upload thành công vào thư mục uploads trong RootMe
Sau khi upload thành công file shell, tùy vào mục đích tấn công, người tấn công có thể truy cập máy nạn nhân với quyền user, từ đó nâng quyền lên root hoặc thiết lập kết nối ngược với máy của attacker để điều khiển máy mục tiêu.
