Default-http-login-hunter.sh (cканер паролей по умолчанию)

Искать пароли по умолчанию во время тестов на проникновение не всегда весело. На самом деле это тяжелая работа, особенно когда у нас большая среда. Как мы можем проверить все эти различные веб-интерфейсы? Есть ли жизнеспособная автоматизация? 

В этой статье представлен новый и совершенно бесплатный сканер паролей для входа по умолчанию (default-http-login-hunter), который может быть полезен для тестировщиков на проникновение, аудиторов безопасности, а также для системных администраторов и сетевых администраторов.

Общие сведения

Проверка административных интерфейсов на наличие слабых учетных данных и учетных данных по умолчанию является жизненно важной частью каждого упражнения VAPT. Но выполнение этого вручную может быстро утомить.

Проблема веб-интерфейсов в том, что все они разные. И поэтому разработать универсальную автоматизацию, которая могла бы работать с несколькими интерфейсами, очень сложно.

Хотя и есть некоторые решения для этого, они в основном коммерческие и функционал не так уж и велик.

К счастью, есть бесплатное решение с открытым исходным кодом, которое может нам помочь.

Альтернативный набор данных NNdefaccts

Набор данных NNdefaccts, созданный nnposter, представляет собой альтернативный набор данных отпечатков пальцев для скрипта Nmap http-default-accounts.nse.

Набор данных NNdefacts может тестировать более 380 различных веб-интерфейсов для входа по умолчанию. Для сравнения, последний набор данных Nmap 7.80 по умолчанию поддерживает только 55.

Вот несколько примеров поддерживаемых устройств и их веб-интерфейсов:

• • • • Сетевые устройства (3Com, Asus, Cisco, D-Link, F5, Nortel..)
      • Видеокамеры (AXIS, GeoVision, Hikvision, Sanyo..)
      • Серверы приложений (Apache Tomcat, JBoss EAP..)
      • Программное обеспечение для мониторинга (Cacti, Nagios, OpenNMS..)
      • Управление сервером (Dell iDRAC, HP iLO..)
      • Веб-серверы (WebLogic, WebSphere..)
      • Принтеры (Kyocera, Sharp, Xerox..)
      • IP-телефоны (Cisco, Polycom..)
      • Citrix, NAS4Free, ManageEngine, VMware..

Полный список поддерживаемых устройств см. по следующей ссылке: https://github.com/InfosecMatter/http-default-logins/blob/master/list.txt.

Использование довольно простое — мы просто запускаем скрипт Nmap с альтернативным набором данных в качестве параметра.

nmap --script http-default-accounts --script-args http-default-accounts.fingerprintfile=~/http-default-accounts-fingerprints-nndefaccts.lua -p 80 192.168.1.1

Ограничения скрипта Nmap

Теперь единственное предостережение в отношении этого решения заключается в том, что сценарий http-default-accounts.nse работает только для веб-серверов, работающих на общих веб-портах, таких как tcp/80, tcp/443 или подобных.

Это связано с тем, что сценарий содержит следующее правило порта, которое соответствует только общим веб-портам:

А что, если мы обнаружим веб-сервер, работающий на другом порту, скажем, tcp/9999? К сожалению, скрипт Nmap не запустится из-за правила порта…

… если мы не изменим правило порта в сценарии Nmap, чтобы оно соответствовало порту нашего веб-сервера! И именно здесь наш новый инструмент пригодится.

Представляем default-http-login-hunter

Инструмент default-http-login-hunter, написанный на Bash, по сути является оболочкой вышеупомянутых технологий, чтобы полностью раскрыть их потенциал и упростить нам задачу.

Инструмент просто принимает URL-адрес в качестве аргумента:

default-http-login-hunter.sh <URL>

Сначала он создаст локальную временную копию сценария http-default-accounts.nse и изменит правило порта, чтобы оно соответствовало порту веб-сервера, который мы указали в URL-адресе.

Затем он выполнит для нас команду Nmap и красиво отобразит вывод. Вот пример:

На приведенном выше снимке экрана видно, что мы нашли учетные данные по умолчанию для Apache Tomcat, работающего на порту tcp/9999. Теперь мы могли развернуть на нем веб-шелл и получить RCE. Но это другая история..

Дополнительные возможности

Список URL-адресов

Инструмент также принимает список URL-адресов в файле. Так, например, мы могли бы передать ему URL-адреса, найденные во время сканирования Nessus, извлеченные с помощью нашего синтаксического анализатора Nessus CSV.

Инструмент будет просматривать все URL-адреса один за другим и проверять логины по умолчанию:

default-http-login-hunter.sh urls.txt

Здесь инструмент нашел логин по умолчанию для Cisco IronPort, работающий на порту https/9443.

Удобно для резюме

Еще одна полезная функция заключается в том, что он сохраняет все результаты в текущем рабочем каталоге. Поэтому, если он будет случайно прерван, он просто продолжит работу с того места, где остановился. Как в этом примере:

В этом случае мы нашли несколько входов в систему IP-телефонов Polycom.

Быть в курсе

Чтобы убедиться, что у нас есть последний набор данных NNdefacts, просто запустите команду обновления:

default-http-login-hunter.sh update

И это почти все. Если вы хотите увидеть более подробный вывод, используйте параметр -v в командной строке. Вы можете найти инструмент в нашем репозитории InfosecMatter Github здесь.

Вклад отпечатков пальцев

Я рекомендую вам ознакомиться с проектом NNdefacts и рассмотреть возможность внесения отпечатков пальцев, которые вы находите во время своих заданий.

Внести вклад не сложно — вы можете просто записать процедуру входа в Fiddler, Burp или ZAP и отправить файл сеанса автору. Дополнительную информацию о вкладе отпечатков пальцев см. здесь.

Эти ссылки могут оказаться полезными при поиске логинов по умолчанию вручную:

• • • • https://cirt.net/passwords
      • https://www.routerpasswords.com/

Вывод

Этот инструмент может быть очень полезен не только при выполнении тестов на проникновение во внутреннюю инфраструктуру, но и везде, где нам нужно проверить веб-интерфейс на наличие учетных данных по умолчанию. Его простой дизайн и интеллектуальные функции также делают его очень простым в использовании. Надеюсь, вы тоже найдете его полезным.