книги хакеры / журнал хакер / 076_Optimized

FERRUM

PC_ZONE

ИМПЛАНТ

ВЗЛОМ

СЦЕНА

[ЛАЗЕЙКА ЧЕРЕЗ SAMBA]

Существует один очень хороший и проверенный способ взлома Windows. Если у злоумышленника имеется удаленный или локальный доступ к графической оболочке, а компьютер входит в самбовый домен, у него есть возможность получить админские права на Windows. Для реализации задачи хакеру нужно получить root-доступ на linuxсервере, а затем добавить свой сетевой логин в группу domain-admins. Следующая запись должна быть прописана в файле /etc/ samba/smbusers (или в другом каталоге):

root = administrator yourlogin

После изменений взломщик должен заново зайти под именем yourlogin. Теперь его аккаунт наделен админскими правами :).

060

Админ в окошке

ВЕСЬ МИР ЗНАЕТ О ТОМ, КАК ЛЕГКО ПОЛОМАТЬ WINDOWS. ДОСТАТОЧНО СКАЧАТЬ КАКОЙ-НИБУДЬ УДАЛЕННЫЙ ЭКСПЛОЙТ С XAKEP.RU И НАТРАВИТЬ ЕГО НА БАЖНЫЙ СЕРВЕР. НО ДАЛЕКО НЕ ВСЕ СРЕДСТВА ПОЗВОЛЯЮТ ПОЛУЧИТЬ ПРАВА АДМИНИСТРАТОРА. РАЗРУЛИТЬ ТАКОЙ НЕВЕСЕЛЫЙ РАСКЛАД ПОМОЖЕТ РАБОЧИЙ ЛОКАЛЬНЫЙ ЭКСПЛОЙТ, ВЫБОРОМ КОТОРОГО Я СЕГОДНЯ И ЗАЙМУСЬ |

Докучаев Дмитрий aka Forb (forb@real.xakep.ru)

Не стоит забывать, что все действия хакера противозаконны и эта статья написана лишь для ознакомления и организации правильной защиты с твоей стороны. За применение материала в незаконных целях автор и редакция ответственности не несут.

После взятия административных привилегий хакер может с легкостью остановить файрвол командой NET STOP имя_сервиса.

На компакт-диске ты найдешь утилиты для локального взлома Windows, облегчающие жизнь хакера.

UNIXOID

КОДИНГ

КРЕАТИФФ

ЮНИТЫ

Локальные атаки

на современные версии Windows

[подготовка к укрощению] Что же делают взломщики после того, как получают доступ к заветной командной строке? В первую очередь необходимо оценить свои привилегии. Ведь удаленно поломать винду можно не только с помощью эксплойта. Вполне реально, что взломщик проник в систему через троянскую лазейку либо другим изысканным способом. В этих слу- чаях злоумышленник пока не знает, какими полномо- чиями он обладает. Узнать их поможет команда tasklist /V. После выполнения команды нужно посмотреть, под чьим именем запущен процесс cmd.exe. Если это имя SYSTEM, то хакеру уже не нужны дополнительные эксплойты — им взят верх привилегий Windows :). В слу- чае если логин другой, следует проверить, в какую группу он входит. Для этого нужно набрать уже другую команду: net users LOGIN (ãäå LOGIN — найденное имя). Предпоследняя строчка покажет членство в системных группах. Опять же, если в подстроке есть слово Administrators (или «Администраторы»), то заботиться о повышении прав не следует — все уже и так в шоколаде. В противном случае можно начинать искать баг в системе и тестировать локальный эксплойт.

[пробиваем систему] Настало время протестировать несколько очень удачных эксплойтов. Я их описывал в

своем обзоре, однако о запуске говорил лишь в общих чертах. Задача хакера усложняется тем, что поднятие прав необходимо осуществить в командной строке без графического интерфейса. Но это совсем даже не помеха!

Самым свежим и удачным средством для локального нападения является творение под названием Internet Explorer .ANI files handling Universal Exploit. Я не буду углубляться в детали и рассказывать, по какому принципу работает сплойт (это все уже описывалось в мартовском обзоре), а подробнее остановлюсь на запуске и использовании этого средства для взлома.

В первую очередь необходимо скачать эксплойт и скомпилировать его с помощью lcc. В журнале уже не раз писалось про подобные вещи. После того как у взломщика в арсенале будет рабо- чий бинарный файл, его следует аккуратно транспортировать на взломанный сервер. Сделать это можно с помощью интегрированного троянского FTP-доступа (если такой имеется) либо используя примитивный сценарий для встроенного в Windows ftp-клиента.

Затем, когда эксплойт будет успешно залит, его надо правильно запустить. Стартует он с двумя параметрами: html-файл и необходимый_порт. Если все выполнено верно, в текущем каталоге создадутся два документа с расширениями ani и html. Имя файла будет совпадать с первым указанным параметром.

Далее в инструкции по применению говорится о том, что взломщик должен запустить IE и открыть созданный документ. Но как же, спросишь ты меня, сделать это в голой консоли? А очень просто :). Разумнее всего выполнить команду START /MIN explor-

061]

er.exe bad.html, ãäå bad.html — созданный документ. Опция /MIN позволит запустить эксплорер в свернутом режиме, благодаря которому пользователь не сразу заметит (если вообще заметит) постороннее окно. Впрочем, этот процесс можно успешно убить сразу после эксплуатирования, но начальная маскировка никогда не бывает лишней.

После этих нехитрых действий хакер подключается на localhost к заданному ранее порту, где его ждет шелл с системными правами. Ошибка соединения может возникнуть лишь в том случае, если атакуемая система — WinXP+SP2 либо если система была

[просмотр имени пользователя]

пропатчена грамотным пользователем.

Но что же делать, если первый способ не сработал? Самое главное не бросаться в панику, а трезво оценить обстановку. Причи- ны неработоспособности эксплойта я изложил в предыдущем абзаце — скорее всего, хакер просто столкнулся с одной из них. Как вариант можно попробовать заюзать другой, не менее крити- ческий сплойт, который использует баг в службе NetDDE. Но сперва необходимо посмотреть, запущен ли сервис в текущий момент (по дефолту эта служба отключена). Взломщик сделает это с помощью запроса NET START. Затем он проанализирует каж-

[анализ хакерских полномочий]

[XÀÊÅÐ 04 [76] 05

062]

[XÀÊÅÐ 04 [76] 05

дую строку и найдет (или не найдет) сервис WinDDE. После этого можно сливать эксплойт, собирать его, как это было сделано с первым экземпляром, и закачивать файл на сервер. При запуске бинарника необходимо указать аж четыре опции: IPадрес, NETBIOS-имя, цель и порт. Первый параметр известен сразу — это сетевой адрес машины (именно тот, который светит в Сеть, а не 127.0.0.1). Второй легко находится из результата команды NET VIEW IPадрес (тот, который является первой опцией). Целей всего две — цифра 0 используется для WinXP, а единица — для Win2K. И наконец, последняя опция генерируется из диапазона 1024 – 65535 на твое усмотрение :).

И что же в итоге? Если все выполнено верно, злоумышленник получит системный шелл, который откроется сразу после эксплуатирования. По каким-то причинам это чудо может и не произойти — если ранее был наложен патч на этот баг либо WinDDE вообще не запущен. В таком пе- чальном случае хакер продолжит поиск эксплойтов.

[внешние сервисы под прицелом] Если не получилось ломать внутренние службы, можно попробовать захакать внешние. Я говорю про те, которые были поставлены пользователем компьютера. Нет, я вовсе не хочу сказать, что лопоухий юзер всегда ставит кривой софт. Просто часто после установки программы человек банально задвигает на все и придерживается принципа «работает, и ладно». Подобный софт — находка для хакера. Давай рассмотрим на примере, какие внешние программы обязательно сломаются под натиском эксплойта и дадут админский шелл, конечно :).

Самый наглядный пример одновременно дырявого и частоюзаемого софта — программа ServU FTPD. Этот дистрибутив можно найти у любого юзера крупной локальной сети. Примечательность программы в том, что она умеет все и еще чуть-чуть. Но за удовольствие нужно платить, поэтому разработчики воткнули в этот дистрибутив огромную кучу багов :). Чтобы жизнь малиной не казалась.

Одна из самых замечательных ошибок, найденных в ServU, заключается в том, что девелоперы посчитали создание администраторского аккаунта со статическим паролем довольно безопасным делом. И незаметно повесили FTP-порт на локальный хост. Таким образом, FTP-менеджер после запуска соединяется с 127.0.0.1:43958 и авторизуется под аккаунтом LocalAdministrator:#l@$ak#.lk;0@P.

А что мешает хакеру прикинуться FTP-менед- жером? Правильно, ничего :). Для достижения грязных целей злоумышленник заливает скомпиленный эксплойт на машину, а затем запускает его с одним-единственным параметром — командой, которую нужно выполнить. На самом деле, чтобы достичь выполнения команды, эксплойт создает дополнительный домен, а затем и пользователя в этом домене. Этот юзер наделяется всеми правами, включая привилегию SITE EXEC CMD. Затем происходит логин под этим пользователем и выполнение заданной команды. И надо сказать, этот баг присутствует даже в самой свежей версии ServU, поэтому, если софтина установлена на компе, его хозяин обречен :). Да, совсем забыл. Чтобы узнать, установлен ли FTPD на машине, нужно выполнить вышеописанную команду NET START и найти в списке службу Serv-U FTP Server.

Если взломщик попал на домашний компьютер web-программиста, то он обязательно найдет на нем сервис mysqld. А в слу- чае если девелопер — человек старой закалки, то версия демона будет начинаться на 3.x. Проверить это можно элементарной командой telnet ip-address 3306. Релиз сервиса промелькнет в первой и единственной строке ответа. Если MySQL действительно принадлежит к третьей ветке, то можно попытаться его взломать :). В результате хакер не получит админский шелл, но зато сможет заценить содержимое всех таблиц. Для этого злоумышленник скачивает эксплойт и использует его как обычный MySQL-клиент. При этом хакер вообще не указывает пароля на соединение. Если баг в сервисе имеется, то поддельный клиент без труда законнектится и выдаст содержимое секретных девелоперских таблиц. Которые, кстати, можно продать за неплохие деньги :).

[если ничего не помогает] Если, несмотря на многочисленные попытки взлома, админские права так и не перепали, взломщик даже не огорчится. В этом случае у него есть два выхода. Либо заDoSить упрямую систему, либо использовать ее в корыстных целях, но с пользовательскими привилегиями. Рассмотрим эти варианты более подробно.

Чтобы организовать DoS, необходимо воспользоваться более ранними уязвимостями. Несмотря на устарелость, баг затаился во многих системах, а именно в Internet Explorer. Я думаю, немногие пользователи регулярно сливают патчи к ослику, поэтому прием с убийством Windows наверняка будет успешен. Итак, чтобы убить вражескую систему,

хакер аккуратно сливает страницу www.4rman.com/exploits/tinybmp.htm, а затем все вложенные картинки, упомянутые в HTML-коде. Если у хакера старый непропат- ченный осел, ему вовсе не стоит соваться на ссылку, иначе его Винда скоропостижно отбросит копыта :). Лучше слить страницу ка- ким-нибудь менеджером закачек, не забыв про рекурсию. После этого все локальные файлы транспортируются на удаленную машину, а затем уже известным тебе способом запускается explorer. Через каких-то 10-15 секунд вся оперативная память тут же будет съедена, и машина уйдет в даун.

Существует еще один баг, который не будет долго мучить Винду. Он сразу же ее ребутнет. При определенных обстоятельствах хакеру может понадобиться перезагрузить систему, однако без дополнительных средств этого не сделать (команда shutdown -r недоступна даже пользователю SYSTEM). Рестартануть форточки взломщику поможет брешь в обработке ANI-файлов. Если ты внимательно читал статью, то наверняка помнишь, что я уже описывал этот глупый баг. Однако помимо эксплойта существует DoS’ер, задача которого — увести систему в reboot. Я не буду рассказывать, как скомпрометировать перезагрузку, а просто дам ссылку на опасный HTMLфайл: www.xfocus.net/flashsky/icoExp/aniblue.htm.

[а зачем тебе права?] Взламывая виндовый сервер, злоумышленник преследует ка- кие-то цели. Один желает спионерить документы, которые не прочитаешь под непривилегированным аккаунтом. Второй хо- чет заиметь права, чтобы открыть системный порт. А третий хакает винду, не зная, зачем он это делает. Так вот, чтобы не тратить время зря, определись с вопросом, нужны ли тебе повышенные права. К примеру, для запуска того же брутфорса или вражеского бота не требуется дополнительных полномочий. Некоторым программам необходимы дополнительные привилегии, однако в инете полно альтернативного софта, запускающегося под обычным аккаунтом. Пример тому — bouncer. Кстати, методы работы с этой программой я описывал в февральском видеоуроке

[целимся в сердце ServU!]

FERRUM

PC_ZONE

ИМПЛАНТ

ВЗЛОМ

СЦЕНА

UNIXOID

КОДИНГ

КРЕАТИФФ

ЮНИТЫ

064

Свежие баги новой почты

ЕСТЬ ЛЮДИ, КОТОРЫЕ СОВЕРШЕННО ЗАБИВАЮТ НА БЕЗОПАСНОСТЬ СВОЕГО ПРОЕКТА. ДЕЛО НЕ В ТОМ, ЧТО ОНИ САМИ НЕ РАЗБИРАЮТСЯ В ЭТОМ И НЕ МОГУТ ПОЗВОЛИТЬ СЕБЕ НАНЯТЬ ПРОФЕССИОНАЛА. ДЕЛО В САМОМ НЕЖЕЛАНИИ УСИЛИВАТЬ SECURITY И В НЕПОНИМАНИИ ВАЖНОСТИ ЭТОЙ СОСТАВЛЯЮЩЕЙ. ЧТО ИЗ ЭТОГО ПОЛУЧАЕТСЯ, ВСЕ МЫ ЗНАЕМ — ДЛИННАЯ ЛЕНТА ЗАДЕФЕЙСЕННЫХ САЙТОВ НА БАГТРАКЕ. КРУПНЫЕ СЕРВИСЫ ЗАЩИЩЕНЫ НАМНОГО ЛУЧ- ШЕ. СЛУЧАИ ПОЛОМОК ТАКИХ СИСТЕМ КРАЙНЕ РЕДКИ. НО ВПРОЧЕМ, ЭТО НЕ ВСЕГДА ТАК. СЕГОДНЯ Я РАССКАЖУ ТЕБЕ О ТОМ, КАК МЕНЕЕ ЧЕМ ЗА ПОЛЧАСА ОДИН ХАКЕР РАСПРАВИЛСЯ С ПЯТЬЮ САЙТАМИ

В ДОМЕНЕ NEWMAIL | Rossomahaar [rossomahaar@mail.ru]

Уязвимости почтового сервера newmail.ru

<?

if ($QUERY_STRING=="") exit; $f=fopen ("data.dat","a+"); fwrite($f, "$QUERY_STRING \n\n"); fclose($f);

echo "Âñå îê"; ?>

065]

[XÀÊÅÐ 04 [76] 05

Но для доступа к пользовательскому аккаунту требовались и