მივესალმები ქამუნითს.. ერთ წლიანი პაუზის შემდეგ წავაწყდი ამ ფორუმს რამოდენიმე თვისწინ და ძალიან გამიხარდა რომ საქართველოში ერთი ფორუმი მაინც არსებობს რაც ემსახურება კიბერ და ინფორმაციულ უსაფრთხოებას და ფორუმი ატარებს შემეცნებით ხასიათს მინდოდა ჩემი აზრიც დამეფიქსირებინა თქვენს ჯგუფთან დაკავშირებით და კარგია რომ მომეცა ამის საშვალება ^_^ არ მინდოდა გამე-OFF-ა ეს ჩემი პირველი პოსტია ამ ფორუმზე და ვეცდები ერთ საინტერესო მეთოდზე გიამბოთ რაც დიდი იმედი მაქვს დიდ ინტერესს გამოიწვევს თქვენში
(ვინც არ იცით ამ მეთოდის შესახებ)
მარტივი სქემა გარემოსთვის
არავისთვის საიდუმლოებას არ წარმოადგენს რომ გუგლს ყავს თავის ბოტები რომლებიც დაძვრებიან აიპის რეინჯის(*.*.*.1/255..) მიყოლებით და ყოველ წამს იღებს განახლებას.. შესაძლოა საიტი რომელშიც არსებული ინფორმაცია არის დახურული სქემის მსგავსად და ავტორიზაციის გავლის გარეშე არაა ხილული მაინც შესაძლებელია ისეთი ფაილების მოპოვება რომლების გაფართოვებაა მაგალითად (zip,pdf,png,txt,gz,sql,csv და ა.შ) განყოფილებებში ადმინისტრატორების მიერ მაინც ობოლი ბავშვივით აქვთ მიგდებული და მიყრილი მონაცემები... თუ ვფლობთ ინფორმაციას რომ ფაილის სახელს აქვს მინიჭებული მაგალითად {ID}.{type} მაგრამ განყოფილებაში შესვლისას გვიწერს 403 Forbidden-ს ნუ შეგაშინებთ ეს კოდი(ვინც არ იცით ამ მეთოდის შესახებ)
მარტივი სქემა გარემოსთვის
სანამ დავიწყებდეთ ახსნას როგორ შევქმნათ პარსერი აქვე ავღნიშნავ რომ ერთი შეხედვით არ უნდა იყოს კიბერ დანაშაულთან ასოცირებული ისეთი მონაცემების მოპოვება რომლებიც ისედაც ღიაა საჯარო და ყველასათვის ხელ მისაწვდომი მაგრამ აქვე არის გასათვალისწინებელი ზემოთა სქემაც საიტს გააჩნია თავისი წესები რისი გათვალისწინების შემდეგ უნდა მიიღოს მომხმარებელმა სტატიაზე ან კონკრეტულ ინფორმაციასთან წვდომა..
პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონის მე-5 მუხლის „ვ“ პუნქტის თანახმად მონაცემთა დამუშავება/მოპოვება დასაშვებია თუ “მონაცემები საჯაროდ ხელმისაწვდომია ან მონაცემთა სუბიექტმა ისინი ხელმისაწვდომი გახადა”.
მაგრამ როდესაც არ ითვალისწინებ პროტოკოლს და სქემიდან გამომდინარე ავტორიზაციის გავლის გარეშე ეუფლები მონაცემებს ეს სრული ამ სიტყვის მნიშვნელობით უნებართვო შეღწევას გულისხმობს არაქვს მნიშვნელობა სამ ხაზიან სკრიპტს დაწერ თუ ექსპლოიტს.. თუ იგივე პრინციპით ხელით ჩამოუყვები და სათითაო აიდს შეამოწმებ
პირველ რიგში შევქმნი პატარა ლაბორატორიას მცირე ოდენი წარმოდგენა რომ გქონდეთ.. რას ვპარსავთ და როგორ.
დავიწყოთ პარსერის წერა ვხსნით ედიტორს მე nano -ზე ვარ მიჩვეული ამიტომ გავხსნი nano-ს.
root@iberia-os:/tools/CSG# nano parser
Code:
#!/bin/bash
while true
do
curl "localhost/[1-9].csv" -o "#1.csv"
exit
done
root@iberia-os:/tools/CSG# ./parser
როგორც ხედავთ მართლაც გაიპარსა და მიანიჭა იგივე აიდი რაც განსაზღვრული რეინჯი იყო მისამართში.
ვნახოთ რა ინფორმაცია ინახება თითოეულში
ძალიან კარგი მისია შესრულებულია გაპარსულია ჩვენთვის სასურველი საიტი და წამოღებულია ინფორმაცია ყველა ბედნიერია.
რა პრობლემა უნდა იყოს ამაში როცა ინფორმაცია საჯაროა ყველას შეუძლია ამის ნახვა..?
კაცობრიობის ისტორიაში მრავალი წელია არსებობს ე.წ „access.log“-ები და მასში ინახება თითოეული მომხმარებლის აქტივობა
ახლა ვნახოთ როგორ დავაბინძურეთ ე.წ „access.log“-ები
აქ ნათლად ჩანს აიპი მისამართი დრო (წამის მერამდენედში გაიგზავნა მოთხოვნები) რა მოვითხოვეთ და ბოლოს ჩვენი user-agent რა ტიპის პროგრამული უზრუნველყოფით მოხდა ინფორმაციის მოპოვება/ხილვა გამოტოვებულია საიდან მოვხვდით სასურველ /{id}.csv-ზე რაც საეჭვოს ხდის რომც არ გავითვალისწინოთ user-agent-ში ჩაწერილ სახელი „curl“
გამოვასწოროთ ეს და შევცვალოთ user agent დავგუგლოთ სასურველი მოწყობილობის user-agent რომელი მოწყობილობის სახელიც პირველი მოგაფიქრდებათ და ვცვლით შემდეგი ბრძანებით ჩვენს user-agent-ს
-A "Mozilla/5.0 (SymbianOS/9.4; Series60/5.0 Nokia5800d-1/60.0.003; Profile/MIDP-2.1 Configuration/CLDC-1.1 ) AppleWebKit/533.4 (KHTML, like Gecko) NokiaBrowser/7.3.1.33 Mobile Safari/533.4"
ან
-H "Mozilla/5.0 (SymbianOS/9.4; Series60/5.0 Nokia5800d-1/60.0.003; Profile/MIDP-2.1 Configuration/CLDC-1.1 ) AppleWebKit/533.4 (KHTML, like Gecko) NokiaBrowser/7.3.1.33 Mobile Safari/533.4"
ან
-H "Mozilla/5.0 (SymbianOS/9.4; Series60/5.0 Nokia5800d-1/60.0.003; Profile/MIDP-2.1 Configuration/CLDC-1.1 ) AppleWebKit/533.4 (KHTML, like Gecko) NokiaBrowser/7.3.1.33 Mobile Safari/533.4"
მშვენიერია მაგრამ საიდან მოვხვდით მაინც არაა ნაჩვენებნი ამიტომ გავუწეროთ
127.0.0.1 - - [20/Apr/2019:16:47:19 +0400] "GET /9.csv HTTP/1.1" 200 271 "https://google.com/" "Mozilla/5.0 (SymbianOS/9.4; Series60/5.0 Nokia5800d-1/60.0.003; Profile/MIDP-2.1 Configuration/CLDC-1.1 ) AppleWebKit/533.4 (KHTML, like Gecko) NokiaBrowser/7.3.1.33 Mobile Safari/533.4"
ეს უკვე საეჭვო აღარ არის შეგიძლიათ user-agent-ში ჩაწეროთ გუგლის ბოტის user-agent-ები რაც ექსპერტიზის დროს ადმინისტრატორის ნაკლებ ინტერესს გამოიწვევს ან ნაკლებ ყურადღებას გამოიწვევს და ნაკლებად შეეცდება გამოკვლევას..
სულ ეს იყო მადლობთ ყურადღებისთვის.
Last edited: