- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Эксплоиты для взлома nt
Ниже приведены эксплоиты, описанные в этой главе:
-
GetAdmin;
-
SecHole;
-
RedButton;
-
брешь в безопасности RDS службы IIS;
-
совместно используемые ресурсы Microsoft;
-
Legion;
-
взлом с помощью относительного пути;
-
захват сеанса NT DSN с использованием источников данных ODBC;
-
Winfreeze;
-
уязвимость Microsoft Media Player и JavaScript;
-
метод перегрузки процессора с использованием mstask.exe и Microsoft Internet Explorer:
-
ошибка в Microsoft MSHTML. DLL;
-
чтение файлов с помощью IIS 5.0 2001;
-
взлом Media Player 7 с помощью уязвимости Java в IE;
-
возможность запуска программ с помощью IE 5.x или Outlook и папки временных файлов Internet;
-
запуск команд на Web-сервере IIS 5.0;
-
возможность подмены контроллера домена в WINS.
GetAdmin
GetAdmin — это программа, позволяющая расширить полномочия в системах Windows NT. В одних случаях с помощью этой программы вы можете получить административный доступ к системе, а в других— ваши полномочия расширятся незначительно. Вы можете подключиться к системе как пользователь guest и постепенно расширять полномочия. Программа GetAdmin использует ошибки в некоторых процедурах низкого уровня ядра, позволяющие установить глобальный флаг, с помощью которого можно вызвать процедуру NtOpenProcessToken независимо от прав пользователя. Это дает пользователю возможность подключиться к любому процессу в системе, в том числе процессу отвечающему за безопасность, например WinLogon, и запустить любую последовательность команд.
Посредством GetAdmin программа подключается к процессу WinLogon, выполняющемуся в контексте безопасности системы. После этого производится стандартный API-вызов, который приводит к добавлению пользователя в группу Administrators.
Любой пользователь который имеет право на отладку программ, может получить администраторский доступ к системе с помощью getadmin. exe, независимо от версии ОС, даже при установленной заплате. Право отладки программ позволяет пользователю подключиться к любому процессу. Изначально это право есть только у администраторов, а остальным пользователям оно может быть представлено администратором. Кроме того, если getadmin.exe запускается пользователем из группы Administrators он также сработает, даже если система была обновлена. Пользователи из группы Administrators имеют все права, необходимые для удачного использования данной программы.
Методы защиты
Надежнее всего можно защититься от данного эксплоита, исправив процедуру ядра Windows NT. Данная программа обновления была создана компанией Microsoft и исправляет ошибку, связанную с установкой глобального флага. После того как ядро будет обновлено, программы типа getadmin.exe не будут работать, и не смогут подключиться к процессу WinLogon (и любому процессу, владельцем которого не является пользователь).
SecHole
Программа SecHole выполняет довольно изощренные действия, которые приводят к тому, что обычный пользователь получает права на отладку и доступ к системным процессам.
Нарушая работу существующих процессов Windows NT, приложение определяет адрес одной из процедур API (OpenProcess () ), изменяет инструкции в загруженном в память процессе и таким образом получает права отладки, которые позволяют включить пользователя в группу Administrators локальной базы данных SAM.
В частности, эта программа делает следующее:
-
Определяет текущий адрес функции API, используемой функцией DebugActiveProcess.
-
Изменяет набор инструкций по этому адресу таким образом, чтобы функция всегда возвращала сообщение об успешном выполнении.
-
Выполняет попытки подключения к локальным процессам с помощью вызова функции DebugActiveProcess для каждого из процессов, пока не вернется сообщение об успешном подключении к процессу. При этом та часть функции DebugActiveProcess, которая находится на сервере, не может правильно проверить права доступа к указанному процессу.
-
Заставляет процесс, к которому было произведено подключение, запустить код из DLL, необходимой для взлома. Порожденный поток приводит к добавлению пользователя, который запустил эксплоит, в группу Administrators.
Программа SecHole должна быть запущена локально и работает для учетных записей на рабочей станции, сервере или главном контроллере домена. Данная программа не сработает на дублирующем контроллере домена, поскольку база данных на этом контроллере может только считываться. Таким образом, изменить базу данных учетных записей домена можно, лишь запустив данную программу локально на первичном контроллере домена.
В большинстве случаев локальный доступ к первичному контроллеру домена нужен только администраторам домена. Таким образом, если обычный пользователь локально подключился к контроллеру домена, это может означать, что проводится попытка взлома.
Кроме того, пользовательские программы не пытаются производить отладку активных процессов. Если обычный пользователь вызывает процедуры отладки, это может означать, что систему пытаются взломать.
RedButton
В эксплоите RedButton используется уязвимость, которая заключается в том, что по умолчанию в Windows NT существует группа Everyone. Данный эксплоит работает для операционных систем Windows NT версий 3.5х и 4.0. Программа RedButton удаленно подключается к системе без авторизации и использует порты 137, 138 и 139, которые являются портами службы NetBIOS. По умолчанию в Windows NT группе Everyone предоставляется полный контроль над системой. В группу Everyone Group входят все пользователи системы, включая пользователей Internet. После того как RedButton взламывает систему, она выдает пользователю администраторскую учетную запись и список всех совместно используемых ресурсов в системе.
Не существует никаких признаков использования RedButton. На взломанной машине не происходит никаких изменений, которые могут сигнализировать о проведении взлома. В принципе администратор может засечь обращение к портам UDP 137 и 138, или TCP 139. Однако такие обращения происходят регулярно, не только в целях взлома, поэтому не привлекут внимания администратора.
Методы защиты
Существует несколько методов защиты от RedButton. Во-первых, можно закрыть на маршрутизаторе или брандмауэре порты UDP 137 и 138, а также порт TCP 139. Данные порты используются службой NetBIOS, поэтому их блокирование может оказаться неприемлемым для организаций, которые разрешают удаленный доступ к системе. Кроме того, компания Microsoft выпустила заплату, после установки которой эксплоит RedButton не будет работать. К тому же, если протоколы TCP/IP и NetBIOS не используются, их можно просто отключить, а также запретить службу Server, если на данном компьютере не нужно предоставлять в совместное использование файлы и принтеры. И наконец, можно максимально ограничить права группы Everyone.