Articoli

PHP DDoS ScriptNell’underground dei Black Market vendono pacchetti di attacchi DDoS, TrenMicro in un report del 2012 ci fornisce alcuni dettagli sui prezzi variabili in base alla durata, al numero di server sfruttati per l’attacco e dalla banda complessiva che i server nominalmente riescono a generare. Gli attacchi generalmente vengono lanciati tramite script Pyhton (Hammer ne è un esempio) direttamente da riga di comando, ma nel mio caso volevo dimostrare come un sito internet violato potesse diventare un ottimo vettore per lanciare un attacco DoS! Supponendo quindi di non aver accesso al terminale ma di poter veicolare l’attacco attraverso il WebServer.

Riproducendo questa casistica non potevo affatto pensare di scaricare il codice in Python ed eseguirlo sul mio server (anche se possiedo i permessi di root), non sarebbe il caso che voglio dimostrare. Violato un WebServer solitamente l’attaccante deve apprenderne la configurazione per accertarsi se puoi eseguire codice a sua discrezione o se vi sono limitazioni anche nella sola creazione di nuovi file, solitamente infatti non si può eseguire codice in C o in Python ma è  più probabile che il WebServer ci permetta l’esecuzione di codice in PHP vista l’importanza di questo linguaggio nella creazione di siti web. Certo il Python come il RoR stanno prendendo sempre più piede nel mondo web, ma anche senza statistiche alla mano credo sia più facile eseguire codice PHP che Python su un sito web violato (:D sempre pronto ad essere smentito se qualcuno ha dati diversi).

Ho così deciso di scrivere 20/30 righe di codice PHP con lo scopo di effettuare diverse centinaia di richieste UDP attraverso la funzione fsockopen(), eseguendo così un attacco denominato UDP Flood. Il funzionamento è veramente basilare, attraverso una richiesta GET passavo allo script l’IP Target, la porta e la durata dell’attacco in secondi. Lo script attraverso un ciclo while eseguiva quindi l’attacco per tutto il tempo che gli era stato specificato.

Poi ho iniziato a guardarmi in giro ed effettivamente di codice per lanciare attacchi DoS tramite PHP non ne ho visto molti, anzi quasi nessuno (questo per esempio non è più disponibile mi segnalano che è disponibile il sorgente qui!), ho così deciso di pubblicare su GitHub il mio piccolo script per eventuali usi futuri…un promemoria nulla di più!

Se volete quindi provare il codice, criticarlo, migliorarlo o semplicemente scaricarlo lo trovate su GitHub.

Il successo dell’Open Source, mai mi sarei aspettato di ricevere tanto successo da un codice di 20 righe! Il progetto che inizialmente prevedeva solo una chiamata GET e una risposta “OK” tramite la funzione echo quando l’attacco era completato ora vanta un interfaccia CLI, maggior personalizzazione dei parametri (es. è possibile personalizzare la dimensione e la quantità dei pacchetti da inviare durante l’attacco), protezione dello script tramite una password, esecuzione randomatico dell’attacco sulle diverse porte del server, un output accurato in grado di indicarci il numero di pacchetti inviati e la loro dimensione in Tb, Gb, Mb o Kb e infine una GUI. In meno di una settimana ho ricevuto 14 Pull Request e diversi commenti e suggerimenti.

PHP DDoS Script UDP Flood

Voglio quindi ringraziare @TheZer0, @Smaury, @moty66 per l’ottimo supporto che mi stanno dando nel migliorare questa mia piccola creatura.

Un piccolo Disclaimer finale è doveroso, il PHP DDoS Script come ho già spiegato l’ho scritto a scopo didattico e non mi assumo alcuna responsabilità per l’utilizzo non appropriato.

Ah dimenticavo DDoS o DoS Script?!? Ne ho parlato con i “colleghi” del BackBox Team e alla fine ho deciso di chiamarlo DDoS in quanto non è lo script che diversifica il tipo di attacco, ma dipende tecnicamente da quante macchine lo eseguono contemporaneamente e un vero attaccante dubito lo esegua da una sola macchina 🙂

La comunità The Hacker’s Choice ha recentemente rilasciato uno script in grado di verificare le prestazioni del protocollo SSL e del server ospitante.

Stabilire una connessione SSL richiede l’impiego di più di 15 processi sul WebServer e anche sul Client dell’utente,  questa esosa richiesta di risorse è conosciuta dalla maggior parte dei sviluppatori dal 2003 ed ampiamente discussa in più convegni ma ad oggi non è stata ancora sviluppata una alternativa più performante.

Grazie a questa vulnerabilità è possibile lanciare un attacco SSL-DoS generando un altissimo numero di processi sul Server impiegando poche risorse (un rapporto di 1:15). TCH-SS-DOS è una utility in grado di lanciare un test di DoS a qualsiasi server SSL sfruttando anche la funzione “SSL secure Renegotiation” in grado di innescare migliaia di rinegoziazioni tramite singola connessione TCP.
È possibile scaricare THC SSL DOS attraverso i seguenti link:

L’installazione dello script è avviabile digitando da riga di comando:

./configure; make all install

Infine vi riporto un esempio di utilizzo:

./thc-ssl-dos 127.3.133.7 443
Handshakes 0 [0.00 h/s], 0 Conn, 0 Err
Secure Renegotiation support: yes
Handshakes 0 [0.00 h/s], 97 Conn, 0 Err
Handshakes 68 [67.39 h/s], 97 Conn, 0 Err
Handshakes 148 [79.91 h/s], 97 Conn, 0 Err
Handshakes 228 [80.32 h/s], 100 Conn, 0 Err
Handshakes 308 [80.62 h/s], 100 Conn, 0 Err
Handshakes 390 [81.10 h/s], 100 Conn, 0 Err
Handshakes 470 [80.24 h/s], 100 Conn, 0 Err

Maggiori informazioni sono reperibili sul sito ufficiale di THC: http://www.thc.org/thc-ssl-dos/

Il mistero sui file sottratti al CNAIPIC è sempre più fitto, la paternità del reato è stata recentemente attribuita alla Crew NKWT Load dopo la rivendicazione originale del team Anonymous, con le relative perplessità che ne derivano.

Alla ricerca di maggiori informazioni mi sono imbattuto in un messaggio ufficiale dell’Operation Payback ITA che testualmente riportava:

Continuando a leggere la discussione, diverse personalità riferiscono che i file PDF conterrebbe uno script in grado di inviare dati sensibili dell’utente ad un server non identificato.

Incuriosito ancor di più sul fatto ho provveduto a scaricare i tre archivi fino ad oggi distribuiti (reperibili nel blog ufficiale) e ad analizzarli.

Tecnica

Per attuare l’analisi ho utilizzato:

  • BackBox come server proxy di Adobe Reader mediante il software Zaproxy;
  • Windows XP con due sessioni di Nestat avviate e Flidder 2.

Video Analisi

Mi scuso per la qualità del video (la tastiera non è sincronizzata) ma purtroppo il software di Video Recording non è completamente compatibile con il recente aggiornamento di Mac OS X Lion.

Analisi

Una volta avviato il server proxy, netstat e aperto Flindder (in grado di analizzare il traffico di Adobe Reader) ho aperto singolarmente ogni file PDF sottratto dai server del CNAIPIC.

L’analisi ha avuto esito negativo, non risulterebbe nessuna connessione esterna all’apertura dei file PDF.

Conclusioni

Personalmente non voglio smentire gli Anonymous, sicuramente hanno le loro ragioni per aver scritto quel messaggio, ma i fatti non rilevano nessuna backdoor o script malevoli.

Note

I file analizzati contenunti nelle prime due directory sono stati prelevati dal messaggio originale del 24 Luglio 2011, ancor prima che gli Anonymous Italiani rilasciassero il loro comunicato stampa e che provvedessero alla “bonifica” dei file.

yInjector è un software per testare le vulnerabilità del sistema MySQL effettuando il classico injection di pacchetti “indesiderati”, il tool è stato sviluppato dalla y-osirys ed integra notevoli funzioni come è possibile visualizzare dal video dimostrativo e per comodità vi riepilogo di seguito:

Principali Funzioni:

  • GET and POST request
  • Proxy Support
  • Log Report option available

Metodi di Exploitation:

  • Columns number finder
  • Database dump, SQL Injection must be provided
  • Advanced and Automated Exploitation : finds the SQL Injection to provide a Shell Assistant

Supporto da Shell:

  • Multiple data from all DB extraction
  • MySQL Command line (SELECT)
  • md5 hash cracker assistant
  • Remote Command Execution via SQL Injection

E’ possibile effettuare il download del tool sul sito ufficiale.

Dopo il mio recente articolo su Hacker Journal che annunciava le ricerche effettuata dalla White HAT Crew per il recupero della chiave WPA di FastWeb e pubblicate sul loro BLOG lo scorso 25 Marzo 2010 ho deciso di fare un riepilogo dei risultati ottenuti da questo Team ed altri.

Continua a leggere