- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Взлом с помощью относительного пути
Этот эксплоит является вариацией традиционного метода "троянского коня". В нем используется полезная для пользователя программа, которая маскирует действия, направленные на взлом, и запускается авторизированным пользователем. Данный эксплоит используется для расширения полномочий и позволяет пользователю, который имеет ограниченные права, получить более широкие права доступа. Это достигается за счет использования недостатков в работе операционной системы.
Данный эксплоит позволяет пользователю с ограниченными правами запускать поддельную версию программы explorer. exe вместо настоящей программы.
В результате при регистрации в системе других пользователей, в том числе имеющих административные полномочия, будет выполняться подготовленный взломщиком код. Вызов процесса Windows API "Create Process" приводит к запуску программы. Способ поиска данной функцией программы для запуска является основной работы эксплоита.
Когда системная функция ОС Windows NT или Windows 2000 вызывает программу с относительным (не указанным явно) путем, данная функция проводит поиск по установленным заранее путям. Наиболее часто поиск проводится по таким относительным путям.
Если взломщик сможет поместить свою программу с тем же именем таким образом, чтобы она была найдена раньше, чем настоящая программа, и если при вызове используется относительный путь, программа взломщика будет запускаться раньше, чем настоящая программа с таким же именем.
Для этого необходимо:
-
наличие у взломщика права чтения/записи в папку, в которой проводится поиск программы;
-
вызов программы по относительному, а не полному пути.
По умолчанию пользователи компьютера имеют право чтения/записи корневой папки. В этой папке поиск проводится в первую очередь. Кроме того, ключ реестра, который используется для вызова explorer.exe (программы управления рабочим столом), содержит относительный путь. Программа explorer.exe запускается сразу после регистрации пользователя.
Таким образом, взломщику достаточно поместить поддельную исполняемую программу в папку С: \, и все пользователи, которые подключатся к системе, будут вызывать программу взломщика. Эта программа, в свою очередь, может вызывать настоящий explorer. exe, что позволит ей остаться незаметной. Кроме того, данная программа может выполнять действия, которые необходимы взломщику, например обеспечить ему дополнительные права на компьютере.
Этот эксплоит позволяет пользователю, который имеет ограниченные права, незаметно запустить свою программу с полномочиями другого пользователя. Например эксплоит позволяет расширить права доступа пользователю с ограниченными правами.
Для того чтобы использовать данный эксплоит, нужно выполнить следующие действия.
1. Создать поддельный файл explorer.exe, который запустит настоящий файл explorer.exe (из папки С: \WINNT). Кроме того, данная программа запустит утилиту добавления пользователя (addusers . exe) и добавит в систему нового привилегированного пользователя.
-
Подключиться к взламываемой машине как обычный пользователь.
-
Поместить файлы explorer. exe, addusers . exe и файл accounts . txt в корневой каталог (обычно это каталог С: \).
-
Подождать, пока администратор зарегистрируется в системе.
-
Снова подключиться к системе, однако на этот раз как привилегированный пользователь, используя имя и пароль, заданные в файле accounts.txt. Добро пожаловать в группу Administrators.
Если в корневой каталог без ведома администратора были помещены какие-либо файлы, значит, что-то не так. В любом случае в папке С: \ файлу explorer. exe делать нечего.
Существуют заплаты от Microsoft, которые позволяют решить эту проблему. Для получения более детальной информации по этому вопросу обратитесь к разделам Microsoft Bulletin and FAQ на узле www.microsoft.com.
Кроме того, чтобы надежно защитить свой сервер от данного метода взлома, нужно следовать таким правилам.
-
Запретить подключение к своим серверам, контроллерам доменов и прочим важным машинам из Internet. Это правило должно применяться как к физической, так и к компьютерной части системы безопасности.
-
Постоянно следить за доступом к файлам и папкам компьютера.
-
Использовать программы обнаружения взлома (например Tripwire) для обнаружения и предупреждения атак, в частности предупреждения об изменении атрибутов безопасности важных папок на сервере.
-
Использовать аудит для отслеживания изменений в ключевых системных настройках (в том числе о количестве учетных записей для привилегированных пользователей).