Singularlogic Application Server: Η μηχανογράφηση μίας επιχείρησης είναι και η ραχοκοκκαλιά της. Η διαχείριση των πελατών,προμηθευτών,αποθήκης κτλ είναι άμεσα συνδεδεμένη και εξαρτώμενη με το πρόγραμμα που διαχειρίζεται όλη αυτή την βάση στον Server της εταιρίας.
Πως θα σας φαινόταν αν σας έλεγα πως ο επιτιθέμενος μπορεί να έχει άμεση πρόσβαση στον κεντρικό υπολογιστή σας και να κατεβάσει ή να δει τα αρχεία σας χωρίς να χρειαστεί να ξέρει κανέναν κωδικό!
Να κατεβάσει την βάση δεδομένων της εταιρείας σας και να την επεξεργαστεί.Στη συνέχεια θα σας δείξω πως ο υπολογιστής που έχει εγκατεστημένο το πρόγραμμα της SingularLogic λειτουργεί ως WebServer από default.
Πρώτα όμως θα σας πω μερικά πράγματα σχετικά με την εφαρμογή.
Κατά την εγκατάσταση των εφαρμογών Next (Eurofasma,Manager) έχετε την επιλογή εγκατάστασης είτε για πλήρη, είτε για τον σταθμό εργασίας. H πλήρης εγκατάσταση σημαίνει ότι ο υπολογιστής είναι και ο server με ότι αυτό συνεπάγεται.
Εγκαθιστά τov application server όπου είναι υπεύθυνος επικοινωνίας και μεταφοράς δεδομένων με τους σταθμούς εργασίας. Αυτομάτως με την εγκατάσταση του application server ανοίγει και η πόρτα 401 που στις περισσότερες περιπτώσεις είναι ανοιχτή στο router και στο firewall. Τώρα αφού γνωρίζουμε μερικά πράγματα για την εφαρμογή θα προσπαθήσουμε να την εκμεταλλευτούμε για να μπούμε στον server μίας εταιρείας ή αν είμαστε μέρος αυτού του δικτύου η δουλειά μας θα είναι λίγο πιο εύκολη.
1ος Τρόπος – Μέρος του δικτύου (π.χ αν είναι υπάλληλος της εταιρίας)
Δεν χρειάζεται να είσαι χακερ ούτε τεχνικός για να καταλάβεις το client-server κομμάτι της εφαρμογής.Το μόνο που χρειάζεται να ξέρεις ή να μπορείς να καταλάβεις ποιος είναι ο αριθμός της πόρτας που χρησιμοποιείται.
Στο Client κομμάτι στο πεδίο του server αναγράφετε και η IP του υπολογιστή που έχει εγκατεστημένο τον application server.Η IP αυτή μπορεί να είναι και external αν βρισκόμαστε εκτός του τοπικού δικτύου της εταιρίας.
Στην αρχή καθώς έψαχνα και προσπαθούσα να καταλάβω την λειτουργία του application server χρησιμοποίησα το NETCAT. Μπορείτε να καταλάβετε τα ερωτηματικά μου καθώς το NC μου επέστρεψε την παρακάτω εικόνα.
Αφού δούλεψε με το NC θα μπορεί να δουλέψει και με τον browser μου σκέφτηκα.
Μπορούσα να περιηγηθώ στον Server, να ανοίξω αρχεία ή να τα κατεβάσω χωρίς να χρειαστεί να ξέρω το username ή το password!! Στην δική μου περίπτωση ο Server είναι ένα virtual machine. Αφού ο επιτιθέμενος ξέρει κάποια πράγματα για το πρόγραμμα τότε σίγουρα ξέρει και που βρίσκεται η βάση δεδομένων.
