Marco Aurélio Thompson
Curso de Hacker Profissionalizante Volume 3: Invasão de Servidores Web 1ª Edição
Editora do Autor www.editoradoautor.com.br 2017
Copyright © 2012-2017 da ABSI – Associação Brasileira de Segurança na Internet Thompson, Marco Aurélio Curso de Hacker Profissionalizante – Vol. 3 – Invasão de Servidores Web / Marco Aurélio Thompson. — 1. ed. — Salvador: ABSI -Associação Brasileira de Segurança na Internet, 2017.
ISBN: 978-85-98941-40-0
1. Computadores - Segurança 2. Hackers de computadores 3. Internet (Rede de computadores) 4. Redes de computadores - Medidas de segurança I. Título
Índices para catálogo sistemático: 1. Internet: Invasões: Medidas de Segurança: Ciência da computação 005.8 2. Invasões: Internet: Medidas de Segurança: Ciência da computação 005.8
Todos os direitos reservados. Proibida a reprodução total ou parcial, por qualquer meio ou processo, sem autorização expressa do autor. A violação dos direitos autorais é punível como crime com pena de prisão e multa, conjuntamente com busca e apreensão e indenizações diversas (cf. Art. 184 e parágrafos do Código Penal, alterações da Lei 10.695/2003 e Lei 6.910/98, Lei dos Direitos Autorais). O autor e o editor acreditam que as informações aqui apresentadas estão corretas e podem ser utilizadas para qualquer fim legal. Entretanto, não existe qualquer garantia, explícita ou implícita, de que o uso de tais informações conduzirá sempre ao resultado desejado. Os nomes de sites e empresas porventura mencionados foram utilizados apenas para ilustrar os exemplos, não tendo vínculo nenhum com o livro, não garantindo sua existência nem divulgação. Eventuais erratas estarão disponíveis no site do autor (http://MarcoAurelio.Net). O autor também se coloca à disposição dos leitores para dirimir dúvidas e discutir ou aprofundar os assuntos aqui tratados, por qualquer meio de comunicação disponível.
Curso de Hacker: Editora do Autor: Marco Aurélio Thompson:
www.cursodehacker.com.br www.editoradoautor.com.br MarcoAurelio.Net professor@marcoaurelio.net
ADVERTÊNCIA As informações contidas nesta obra são fruto da experiência do autor e também das pesquisas realizadas na rede mundial de computadores (Internet) e consultas à Biblioteca Hacker da ABSI. É um livro para iniciantes nos estudos de segurança da informação e as explicações foram distribuídas entre instruções práticas e a teoria mínima necessária. Acreditamos que a divulgação das falhas de segurança das redes e da Internet é uma forma de contribuir para o aumento da segurança da informação. Não concordamos em pagar por produtos – softwares - e serviços tidos como experimentais, vendidos como produtos acabados, nos obrigando a pagar indefinidamente também pelas correções. Somos os Beta Testers da indústria de software e ainda pagamos por isso. Entendemos que as vulnerabilidades são falhas de produtos e serviços, cabendo aos fabricantes de software a responsabilidade pela correção. Hackers não fabricam sistemas operacionais e nem são funcionários dos fabricantes. Hackers não criam falhas, exploram as existentes. Hackers são agentes oportunistas, às vezes usados como bodes expiatórios para desviar o foco dos responsáveis que, na pressa em lançar novos produtos não realizam todos os testes necessários. O estudo das técnicas descritas nesta obra é exclusivamente para fins de pesquisa acadêmica, uso pessoal e/ou desenvolvimento profissional. O uso indevido destas informações pode infringir a legislação vigente e gerar consequências judiciais. Insistimos que você só reproduza os exemplos no ambiente controlado das máquinas virtuais ou em redes e computadores de sua propriedade, contas e IPs sob sua responsabilidade ou quando devidamente autorizado. Não nos responsabilizamos pelo mau uso destas informações. Se em alguma parte deste livro alguma frase, palavra, parágrafo, imagem ou expressão, sugerir o incentivo à prática de qualquer ato ilícito, por favor desconsidere a informação e entre em contato conosco para revisarmos o texto. Embora a Constituição Federal, em seu Artigo 5º, nos garanta a liberdade de expressão, não dá aos nossos clientes, alunos e leitores o direito de cometer atos ilícitos a partir das informações dos nossos livros. O direito ao saber não inclui o direito ao fazer. Todas as práticas poderão ser realizadas legalmente se você seguir nossas instruções. Em caso de dúvida para alguma situação não prevista no livro, por favor entre em contato conosco.
Marco Aurélio Thompson
Sobre o autor (Quem é esse cara?) Marco Aurélio Thompson é professor, hacker ético profissional, empresário, jornalista1 e escritor2. Consultor pelo SEBRAE/RJ, atual presidente da Associação Brasileira de Segurança da Informação (ABSI), dirigente da Sociedade Brasileira de Educação para o Trabalho (SBET), diretor da Escola de Hackers, conteudista do Pronatec3, escreve sobre hacking desde 2002, é autor de mais de quarenta livros, a maioria relacionados à segurança da informação, o que o torna o maior escritor hacker do Brasil. Seus livros sobre Windows Server 2008 R2 e Windows Server 2012 R2 lançados pela Editora ÉricaSaraiva, durante mais de dois anos foram os únicos disponíveis em português brasileiro. Aliás, em janeiro de 2015 ainda não havia registro na Biblioteca Nacional de livros sobre o Windows Server 2012 R2, o que só comprova seu vanguardismo. É graduado em Pedagogia (Licenciatura) com especialização em Psicopedagogia. É Bacharel em Sistemas de Informação, cursando o MBA em Gestão da Tecnologia da Informação. Acadêmico do Bacharelado em Administração de Empresas e da Licenciatura em Matemática. Também tem Licenciatura em Letras Vernáculas.
“(...) porque pelo fruto se conhece a árvore.” Mateus 12.33
1
Registro SRTE 0005356/BA. Autor com mais de quarenta livros publicados. Veja o perfil Skoob em https://www.skoob.com.br/autor/12924marco-aurelio-thompson 3 Pronatec é o Programa Nacional de Acesso ao Ensino Técnico e Emprego, mantido pelo Governo Federal. 2
Hacker (pronúncia4) (Ing. /réquer/) s2g. 1. Inf. especialista em programas e sistemas de computador que, por conexão remota, invade outros sistemas computacionais, normalmente com objetivos ilícitos. [Algumas empresas contratam hackers para trabalhar na área de segurança.] [Cf. cracker.] Fonte: AULETE, Caldas. Aulete Digital: o dicionário da língua portuguesa na internet. Rio de Janeiro: Lexikon, 2014. Disponível em: <http://www.aulete.com.br/hacker>. Acesso em: 20 nov. 2014.
Hacker (definição clássica) [Ingl. , substantivo de agente do verbo to hack, ’dar golpes cortantes (para abrir caminho)’, anteriormente aplicado a programadores que trabalhavam por tentativa e erro.] Substantivo de dois gêneros. 1. Inform. Indivíduo hábil em descobrir falhas em sistemas de computação, podendo usar este conhecimento para o bem ou para o mal. Fonte: FERREIRA, AURÉLIO B. H. (Brasil). Novo Dicionário Eletrônico Aurélio versão 5.0. Curitiba: Positivo Informática Ltda., 2004.
4
O dicionário Michaelis também registra a pronúncia /réker/ grafando K em vez do QU conforme pode ser visto em http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portugues-portugues&palavra=hacker. Apesar de a pronúncia /ráker/ também estar correta nós optamos por usar /réker/ em nosso material.
Sobre o DVD-R que acompanha este livro
Este livro-curso na versão impressa é acompanhado de um caderno de exercícios e um DVD-R contendo:
Videoaulas de apoio ao texto e orientação para a realização das práticas descritas no caderno de exercícios.
Alguns brindes: outras videoaulas, revistas e livros em PDF, etc.
A maioria dos softwares citados no livro.
O DVD-R e o caderno de exercícios que acompanha este livro-curso é gratuito, parte integrante deste material, e não é vendido separadamente. Incluímos apenas vídeos, PDFs e softwares de nossa autoria ou que possuem algum tipo de autorização para distribuição gratuita, como as versões freeware, adware, opensource, shareware, demo(ware), trial(ware), crippleware, freemium, postcardware (cardware), careware, General Public License (GPL ou Licença Pública Geral), Creative Commons (CC), Domínio Público e similares. Não inclui sistemas operacionais, abandonwares ou softwares comerciais. Na elaboração deste livro optamos pelo uso das versões gratuitas dos softwares, mas algumas destas versões tem limitações e se na busca por resultados você necessitar da versão comercial da ferramenta (software), deverá adquiri-la diretamente com o fabricante. Não comercializamos nem distribuímos softwares que não sejam os autorizados. AVISO IMPORTANTE: A versão digital deste livro não inclui qualquer material extra, como as videoaulas ou o caderno de exercícios.
Curso de Hacker Profissionalizante
Volume 3
Invasão de Servidores Web
Sumário Apresentação ................................................................................................................................................... 11 Introdução aos Servidores................................................................................................................................ 12 Serviços de Rede .......................................................................................................................................... 12 Breve história da informática ....................................................................................................................... 14 Os servidores ................................................................................................................................................ 19 As quatro partes de um servidor Web ......................................................................................................... 19 Hardware.................................................................................................................................................. 20 Sistema Operacional................................................................................................................................. 21 Servidor Web ............................................................................................................................................ 21 Serviços .................................................................................................................................................... 21 Apresentando o IIS ........................................................................................................................................... 23 O que é IIS? .................................................................................................................................................. 23 História e evolução do IIS ............................................................................................................................. 23 Como obter uma cópia do IIS? ..................................................................................................................... 25 O IIS Express Edition ................................................................................................................................. 25 Uso dos servidores Web ............................................................................................................................... 26 Intranet .................................................................................................................................................... 26 Internet .................................................................................................................................................... 27 Extranet .................................................................................................................................................... 27 Conceitos fundamentais ............................................................................................................................... 27 Endereçamento IP .................................................................................................................................... 27 Portas ....................................................................................................................................................... 30 URL ........................................................................................................................................................... 31 HTTP, HTTPS ............................................................................................................................................. 32 DNS........................................................................................................................................................... 33 Instalando o IIS ................................................................................................................................................. 35 Obtendo o IIS ............................................................................................................................................... 35 Instalando o IIS ............................................................................................................................................. 35 Testando o IIS ............................................................................................................................................... 36 Como saber o IP atribuído ao computador que você estiver usando? ..................................................... 37 Criando o primeiro site ................................................................................................................................. 38 Configurações Iniciais e de Segurança do IIS .................................................................................................... 40 Configurações iniciais do IIS ......................................................................................................................... 40
Escola de Hackers
7
www.escoladehacker.com.br
Marco Aurélio Thompson Acessando o Gerenciador do Serviços de Informação da Internet (IIS) ........................................................ 40 Barra de menu do IIS ................................................................................................................................ 41 Conexões .................................................................................................................................................. 43 Página inicial do Gerenciador ................................................................................................................... 43 Criando e configurando seu primeiro site .................................................................................................... 47 Hospedando sites no servidor Web .......................................................................................................... 48 Informações iniciais antes de começar..................................................................................................... 49 Criando um site no IIS, passo a passo ....................................................................................................... 50 Configurações do FTP no IIS ............................................................................................................................. 52 FTP................................................................................................................................................................ 52 Cliente FTP ................................................................................................................................................... 53 Servidor FTP ................................................................................................................................................. 55 Instalando o Serviço FTP no IIS ................................................................................................................. 55 Pasta padrão do serviço FTP do IIS ........................................................................................................... 56 Testando o serviço FTP do IIS ................................................................................................................... 56 Acessando as configurações do Servidor FTP ........................................................................................... 57 Conhecendo as opções do Recursos FTP .................................................................................................. 57 Criando sites FTP ...................................................................................................................................... 60 Acessando o serviço FTP........................................................................................................................... 63 Configurações o FTP no IIS ............................................................................................................................... 64 O Apache ...................................................................................................................................................... 64 Licença Apache ......................................................................................................................................... 64 Histórico e evolução ................................................................................................................................. 64 Principais características .......................................................................................................................... 65 Quem precisa aprender sobre o Apache? ................................................................................................ 66 Obtendo o Apache ....................................................................................................................................... 66 Instalando o Apache ..................................................................................................................................... 67 Testando a instalação ................................................................................................................................... 72 Configurando o servidor HTTP Apache ............................................................................................................. 73 Identificando os arquivos após a instalação do Apache ............................................................................... 73 Os arquivos de configuração do Apache ...................................................................................................... 74 Parando, iniciando e reiniciando o Apache .................................................................................................. 74 Criando servidores virtuais ........................................................................................................................... 75 Configurando o FTP no Apache ........................................................................................................................ 78 Configurando o Apache por interface gráfica ............................................................................................... 78
Escola de Hackers
8
www.escoladehacker.com.br
Marco Aurélio Thompson Incluindo o serviço FTP no servidor HTTP Apache ........................................................................................ 83 Sites e Home Page ............................................................................................................................................ 84 World Wide Web Consortium (W3C) ........................................................................................................... 84 Sites e Home Page ........................................................................................................................................ 84 HyperText Markup Language (HTML) ........................................................................................................... 85 Página estática e página dinâmica................................................................................................................ 86 HTML5 ...................................................................................................................................................... 87 Cascading Style Sheets (CSS) .................................................................................................................... 87 Active Server Pages (ASP) ......................................................................................................................... 88 PHP: Hypertext Preprocessor ................................................................................................................... 88 Criando páginas e sites Web ............................................................................................................................ 89 Montando um laboratório de pesquisa e desenvolvimento Web ................................................................ 89 O bloco de notas ...................................................................................................................................... 91 Editores HTML WYSIWYG ......................................................................................................................... 91 Editores HTML on-line .............................................................................................................................. 92 Usando modelos (templates) ................................................................................................................... 93 Construtores de sites................................................................................................................................ 94 O documento HTML mínimo ........................................................................................................................ 94 Chamando o Lorem Ipsum para ajudar ........................................................................................................ 95 As principais etiquetas (tags) HTML ............................................................................................................. 96 Como devemos digitar as tags? Em caixa alta ou caixa baixa? ................................................................. 97 Como usar bem os recuos, linhas e espaços em branco? ......................................................................... 97 A tag H1 até H6 ........................................................................................................................................ 98 As tags P e BR ........................................................................................................................................... 99 As tags B, I e U ........................................................................................................................................ 100 Listas ordenadas e não ordenadas ......................................................................................................... 100 Inserindo imagens .................................................................................................................................. 102 Inserindo links ........................................................................................................................................ 103 Criando uma página Web do começo ao fim ............................................................................................. 105 Invadindo servidores Web ............................................................................................................................. 107 Primeiro exemplo de invasão de sites ........................................................................................................ 107 Segundo exemplo de invasão de sites ........................................................................................................ 108 Terceiro exemplo de invasão de sites ........................................................................................................ 109 Conclusão ....................................................................................................................................................... 110
Escola de Hackers
9
www.escoladehacker.com.br
Marco AurĂŠlio Thompson
Escola de Hackers
10
www.escoladehacker.com.br
Marco Aurélio Thompson
Apresentação Os servidores Web são parte importante da infraestrutura da Internet. Sites de todo tipo, como o Internet Banking, as lojas virtuais, os sites de leilão, os jogos on-line, o Webmail e até as redes sociais, todos dependem de um servidor Web para funcionar. A Internet e a Web representam tecnologias distintas. A Web funciona na Internet, mas não é a Internet. Por outro lado, uma Internet sem a Web, sem a World Wide Web, é difícil até de ser imaginada. Praticamente tudo o que fazemos e buscamos na Internet é feito na Web:
Internet – é a infraestrutura, como protocolos, computadores, roteadores, cabeamento, etc. Web – são os serviços, como e-Mail, redes sociais, sites, etc.
Até agora você acessou a Web e os serviços da Internet como cliente. A partir de agora vai conhecer o outro lado. O lado que só os profissionais de informática conhecem. O lado dos servidores Web. Os servidores Web provêm a infraestrutura necessária para que os serviços da Web possam existir. Um servidor Web é um computador com um sistema operacional apropriado para servidores, rodando um software que o torne um servidor Web. É isso que você vai aprender, a transformar um computador em um servidor Web. Este livro pretende torná-lo(a) capaz de compreender, planejar, instalar, configurar e administrar servidores Web baseados nos dois principais softwares dessa categoria: o Internet Information Services (IIS) da Microsoft e o Apache, da Apache Software Foundation. Iniciaremos com um breve histórico descrevendo a evolução das tecnologias que tornaram os servidores Web possíveis, em seguida apresentaremos com um pouco mais de detalhes o servidor Web, prosseguindo com a compreensão, o planejamento, a instalação, a configuração e a administração do IIS, refazendo esse caminho ao apresentar o Apache. Em cada capítulo você vai encontrar os principais conceitos, exemplos de uso com instruções passo a passo, dicas e exercícios. E como sempre ocorre em nossos livros e cursos, tendo dúvidas não deixe de nos contatar.
No DVD que acompanha esse livro-curso você encontra os programas que vai precisar e videoaulas de apoio.
Escola de Hackers
11
www.escoladehacker.com.br