Wykrywanie i zmiana nagłówka HTTP User-Agent dla APT
Napisał: Patryk Krawaczyński
26/03/2024 w Pen Test Brak komentarzy. (artykuł nr 898, ilość słów: 294)
O
d strony inżynierii detekcji warto wykrywać różnego rodzaju dziwne nagłówki aplikacji klienckich (ang. User-Agent) w sieci firmowej np. te należące do Kali lub Raspbian. Z kolei od strony ofensywnej czasami może być konieczna zmiana wartości User-Agent, gdy nie chcemy ujawniać, że używamy konkretnej wersji menadżera pakietów APT (ang. Advanced Packaging Tool) np. gdy wykonujemy pentesty w otoczeniu systemów Windows. Domyślnie system Ubuntu używa tej aplikacji klienckiej przy korzystaniu z polecenia apt:
GET /ubuntu/dists/jammy-security/InRelease HTTP/1.1 Host: pl.archive.ubuntu.com Cache-Control: max-age=0 Accept: text/* Range: bytes=24857081- If-Range: Mon, 25 Mar 2024 21:47:13 GMT User-Agent: Debian APT-HTTP/1.3 (2.4.11) non-interactive
W celu zmiany tej wartości możemy dodać następujący wpis do pliku /etc/apt/apt.conf.d/77user-agent:
Acquire
{
http::User-Agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36";
};
Acquire::http::User-Agent-Non-Interactive "false";
Pierwszy wpis zmienia wartość Debian APT-HTTP/1.3 (2.4.11) drugi usuwa sufix: non-interactive:
GET /ubuntu/dists/jammy-security/InRelease HTTP/1.1 Host: pl.archive.ubuntu.com Cache-Control: max-age=0 Accept: text/* Range: bytes=110351- If-Range: Tue, 26 Mar 2024 16:42:16 GMT User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
Wartość na którą ustawimy User-Agent powinna odzwierciedlać aktualne wersje przeglądarek – nie ustawiajmy zbyt starych wersji lub platformy (np. mobilnej), która w danej sieci nie będzie miała żadnego sensu. Możemy skorzystać z odpowiedniej strony, aby zapoznać się z bieżącym przykładem swojej przeglądarki. W tak przygotowanym systemie powinniśmy również wyłączyć aktualizowanie pakietów (ręczne i automatyczne), ponieważ monitoring ruchu sieciowego może z łatwością wyłapać trafienia do adresów kali.org oraz raspbian.org.
Więcej informacji: List of User Agents strings, Changing apt’s User-Agent string, Configuration file for APT
K a t e g o r i e :
T a g i :
