книги хакеры / журнал хакер / 148_Optimized

Ищем и находим описание нагрузок

History

23 октября2008 годаMicrosoft выпускает«Бюллетеньпобезопас- ностиMS08-067». Речьшлаобуязвимостивслужбесервера, котораяделаетвозможнымудаленноевыполнениепроизвольногокода(958644). Успешнаяэксплуатацияэтойуязвимости можетпозволитьхакерамскомпрометироватьцелевуюсистему подуправлениемОСWindows. Дачтотутговорить, уязвимость MS08-067 активноиспользуетсявзломщикамиивнастоящее время. Самымизвестнымчервем, использующимэтууязвимость, являетсяConficker/Downadup вразличныхегомодификациях. КомпанияMicrosoft всвоевремядажеобъявлялапремиювразмере$250 000 заинформацию, котораябудетспособствоватьпоимкесоздателяэтогочервячка. «Новедьэтодалекоепрошлое!»,

— возразишьтыибудешьотчастиправ. Нотолькоотчасти, таккак сегодняситуациянесильноизменилась.

нием ОС Windows мы можем использовать и внешний сканер nmap, который также добавлен в дистрибутив и устанавливается одновременно с Metasploit Framework. Итак, запускаем сканер nmap, отметив порт 445, поскольку именно он нам и нужен для дальнейшей эксплуатации уязвимости службы сервера. А что, собственно, мы будем сканировать? Ответ достаточно прост — например, можно взять и просканировать IP-префиксы своего провайдера, которые мы с легкостью узнаем на сайте bgp.he.net в разделе «Prefixes IP v4». Для использования полученных префиксов в сканере nmap, необходимо их предварительно скопировать в файл — например, my_isp.txt, и поместить файл в рабочий каталог с nmap. Итак, поехали, команда запуска сканера будет выглядеть следующим образом:

nmap -T4 -A -v -PE -PS445 -PA445 -iL my_isp.txt

Отлично, в результате сканирования мы получили список хостов с запущенной службой сервера, которую видно из внешней сети, причем она ничем не прикрыта, хотя мелкомягкие еще в 2008 году настоятельно рекомендовали блокировать доступ из интернета к

этому сервису... Интересно, что по каждому хосту nmap выдает подробную информацию о типе установленной ОС.

Виды shell: полезная нагрузка meterpreter и другие

В настоящее время считается, что полнофункциональный Meterpreter (МР) существует только под Windows, но на самом деле это не совсем так. Существует еще несколько версий MP, реализованных на PHP и JAVA. Впрочем, ты и сам можешь стать автором

OS Fingerprints перед глазами. Удобно и понятно :)

«полезной нагрузки» — например, скомпилировать TCL-сценарий shell-кода для Cisco IOS с помощью утилиты tclpro.exe и в дальнейшем использовать его для жестоких игр с железными кошками. Как так? Сам не понимаю :).

Стандартную полезную нагрузку MP можно использовать почти со всеми Windows-эксплойтами, включенными в Metasploit Framework,

выбрав одну из следующих полезных нагрузок: Кратко поясню суть каждой.

1.bind_meterpreter — резервирует порт на целевой машине и ожидает соединения. После установления соединения происходит загрузка Meterpreter’a на целевой хост, текущее соединение продолжает использоваться для связи с удаленной машиной.

2.reverse_meterpreter — сама соединяется с предварительно заданным хостом по указанному порту для дальнейшей загрузки Meterpreter’a. Затем установленное соединение используется для связи с удаленной машиной. Все хорошо, но для успешной реализации данного метода нам понадобится реальный IP-адрес (или устанавливай проброс нужных тебе портов через NAT).

3.find_tag — осуществляет поиск дескриптора службы, обработанной эксплойтом, и использует его для загрузки Meterpreter’a на удаленную машину, после чего существующее соединение будет использовано для связи с ней. Этот вид полезной нагрузки является особенно интересным, поскольку тут не требуется открывать новое соединение — таким образом, существует возможность обхода практически любых конфигураций брандмауэров.

4.bind_tcp — это обычный командный интерпретатор типа cmd. exe, естественно, без всяких дополнительных наворотов, как у Meterpreter`a. Он просто резервирует порт на целевой машине и загружает стандартную оболочку.

Взависимости от цели исследования системы может быть использована любая из этих полезных нагрузок.

Так чего же мы ждем? Выбираем цель из списка, полученного в результате сканирования nmap, и подключаемся к ней. Для простоты эксперимента будем использовать простой командный интерпретатор в качестве полезной нагрузки.

msf > use exploit/windows/smb/ms08_067_netapi

msf exploit> set PAYLOAD windows/vncinject/bind_tcp PAYLOAD => windows/vncinject/bind_tcp

msf exploit(ms08_067_netapi) > set RHOST 192.168.0.3 RHOST => 192.168.0.3

msf exploit(ms08_067_netapi) > exploit

Если уязвимость на удаленной машине существует, то мы получим доступ к шеллу (cmd.exe) этого компьютера, и в окне появится сообщение о том, что сессия успешно установлена. В случае, когда msf определил ОС как Windows 7, можно попробовать использовать

ВЗЛОМ

Добавляем юзера средствами FrameWork

64-разрядные полезные нагрузки, которые имеются в соответствующем разделе (ищем через меню GUI), или вызвать нагрузку через консоль. Пример работы эксплойта с полезной нагрузкой можно посмотреть на видео (ищи ролик на нашем диске).

Захват сервера

Теперь из списка хостов, сгенерированных nmap, выберем IP-адрес под управлением ОС Windows 2003 Server — это и будет наша искомая цель (ведь ты, как настоящий сетевой гуру, хотя бы раз в жизни должен поиметь свой собственный дедик!). Для работы с сервером будем использовать все тот же эксплойт (exploit/windows/smb/ ms08_067_ netapi) и полезную нагрузку bind_meterpreter. В результате мы получаем доступ к командной оболочке через Meterpreter, после чего добавляем нового пользователя с помощью сценария token_adduser, предварительно повысив свои привилегии на удаленной машине до уровня SYSTEM с помощью команды use priv. Ну вот — у нас есть дедик, к которому ты можешь подключаться, используя удаленный рабочий стол. На нем мы можем установить прокси-сервер, FTP и многое-

многое другое. В ходе эксперимента у меня получилось набрать пять дедиков примерно в течение часа. Я думаю, это круто!

Заключение

Если кто-то хочет просто жать на кнопку «exploit», чтобы Metasploit сразу выдавал готовые дедики, то скажу сразу — этого не будет: метод все равно требует времени и терпения. Уязвимость далеко не нова, и производители ПО уже приняли меры по ее локализации. Так, если на удаленной машине установлен антивирус или правильно сконфигурирован центр обеспечения безопасности Windows, то скорее всего доступ к порту 445 из внешней сети получить просто не удастся. В частности, антивирус Касперского отреагирует на изменение системных файлов, своевременно информируя об этом пользователя. Хотя атака из локальной сети, скорее всего, приведет к тому, что система будет полностью скомпрометирована. Несмотря ни на что, все еще остается довольно широкое поле для экспериментов с безопасностью Windows, и ты можешь внести свой вклад в это дело. Непоправимый вклад :). z

X-TOOLS

Программы для хакеров

Программа:FileUploader ОС:Windows2000/XP/2003 Server/Vista/2008Server/7 Автор:Napster

Файловые обменники под контролем

Нетакдавновеликолепныйсервисзаливки файловнаобменникиmulti-up.com перестал работатьсомножествомизвестныхсайтов (рапидшара, летитбит, сендспейсидругими). Из-заэтогодосадногофактатынаверняка задумывалсяопоискеновыхпрограммных продуктовтакогорода. ХорошимрешениемявляетсяотличнаяутилитаFile Uploader откодера подникомNapster. Этапрогаможетслегкостью залитьтвоифайлынаболеечемдвадесятка файлообменников:

•4shared.com (нужен аккаунт);

•d.lsass.us;

•depositfiles.com (нужен аккаунт);

•dump.ru (нужен аккаунт);

•fileshare.in.ua;

•filetrash.ru;

•ifolder.ru;

•letitbit.net (нужен аккаунт);

•megaupload.com (нужен аккаунт);

•multi-up.com;

•openfile.ru (нужен аккаунт);

•rapidshare.com (нужен аккаунт);

•rapidshare.de (нужен аккаунт);

•rapidshare.ru (нужен аккаунт);

•rghost.ru;

•sendfile.su;

•sendspace.com (нужен аккаунт);

•slil.ru;

•uploadbox.com (нужен аккаунт);

•uploading.com (нужен аккаунт);

•yandex.ru (нужен аккаунт).

Основныевозможностиаплоадера:

• ведение списка загруженных файлов;

•работа из контекстного меню;

•автозаливка на несколько ФО сразу;

•заливка в свой аккаунт;

•мультиязычность (RU/EN);

•кодирование login/pass перед сохранением

вфайл;

•работа из трея;

•поддержка Drag&Drop;

•отображение скорости, длительности

иобъема загружаемого;

•счетчик файлов для загрузки;

•счетчик загруженных файлов;

•воможность отмены закачки файла.

Авторсрадостьювыслушаеттвоипредложения ипожеланияпоработепрограммывсвоем блоге: blog.napster2k.tk.

Программа:PHPFastScanner ОС:*nix/win

Автор:Dr.Z3r0

Автоматизация работы с Reverse-IP

Внашемжурналенеоднократноописывались различныевеб-взломыспомощьюReverse-IP сервисов. Вовремяэтихвзломовтебеприходилосьвыполнятьмножествомонотонных действий. Теперьобэтомможнозабыть! Представляютвоемувниманию

PHPFastScanner — многопоточныйReverse-IP

сканернаPHP. Сканерсозданспециальнодля выполнениявсейрутиннойработыпривзломе черезReverse-IP.

Основныевозможностискрипта:

•анализ соседей целевого сайта по

Reverse-IP (через bing.com);

•определение используемых движков (в базе содержится 68 сигнатур);

•возможность добавлять свои сигнатуры движков в общую базу;

•поиск phpinfo, phpmyadmin, sypex dumper;

•сканирование структуры сайта, а также вложенное сканирование каталогов;

•наборы словарей для сканирования структуры сайта разбиты по типу файлов и по популярности;

•возможность добавлять свои наборы словарей для сканирования структуры сканера;

•метод HEAD сканирования структуры

(экономия трафика, а также увеличение скорости);

•определение несуществующих страниц по коду ответа и методом сравнения содержимого с заведомо несуществующей страницей;

•раздельная обработка разных расширений (уменьшение ложных срабатываний при анализе структуры);

•поддержка Keep-Alive соединений (увеличение скорости);

•поддержка многопоточности (увеличение скорости);

•понятный интерфейс, множество различных настроек, наличие встроенного FAQ.

Самаяинтереснаяособенностьвданном сканере— этомногопоточность. Какпишет самавтор, сканернеявляетсямногопоточным вполномсмыслеэтогослова. Внемиспользуетсяпараллельная(одновременная) скачка страниц. НовPHPFastScanner’еэтоможно назватьмногопоточностью, таккакмыраспараллеливаемсамыйдлительныйпроцесс присканировании— получениеответаот веб-сервера.

Реализованаданнаяфичаспомощьюиспользованияпуланеблокирующихсокетов, упоминанияоработескоторымтынаверняка неразвстречалв][. Дляясностиприведупри-

меротDr.Z3r0.

Итак, мыхотимскачатьтристраницы:

страница 1 — обрабатывается веб-сервером 1 секунду; страница 2 — обрабатывается

веб-сервером 2 секунды; страница 3 — обрабатывается веб-сервером 10 секунд;

Припоследовательномскачиваниимызатратим13 секунд. Припараллельномвсего10 секунд. Такимобразом, общеевремяработы равновремениполучениясамойбольшойи медленнойстраницы. Остальныеинтересные деталиработысканераописанывтопикеавто-

ранаRDot’е: goo.gl/GaIrD.

правильном пароле. Если рассматривать код 0 как гуд, файл good.txt быстро заполняется «левыми» записями с неправильными паролями.

Если же рассматривать его как бэд, появляется очень маленький шанс пропустить гуд. Поэтому право выбора было оставлено конечному пользователю — для этого в опциях есть два CheckBox’а:

1.Code 0: если отмечено, то код 0 будет рассматриваться как гуд, иначе — как бэд.

2.Skip Code Zero: если отмечено, то сервер будет пропускаться при обнаружении кода 0, потому как правильный пароль подобрать не удастся. Опция настоятельно рекомендуется для повышения скорости!

Обовсехзамеченныхбагах, атакжеолюбых другихвопросах, связанныхсQTss-Brute, авторпроситотписыватьвтопикеgoo.gl/Q8Ujx.

Программа:DValidChecker ОС:Windows2000/XP/2003 Server/Vista/2008Server/7 Автор:Zimper

Чекаем дедики

Авотиочередноймногопоточныйчекердеди-

ковнавалид— DValid Checker отZimper’а.

Особенностиивозможностичекера:

•возможность указания в списках для чека любых разделителей;

•сохранение результатов чека в файлы good

.txt, bad.txt, unknown.txt;

•указание таймаута;

•6 потоков;

•2 вида чека: одиночный и массовый (чекается список из .txt файла, который можно прямиком перетащить на панельку проги);

•сворачивание в трей;

•отображение статистики;

•чек всех ОС;

•для работы не нужен .NET Framework.

Особоевниманиеавторпроситобратитьна следующиемоменты:

1.СтатусUnknown означает, чтоконнектк дедикунеудался(всвязисэтимстатусаккаунта остаетсянеизвестным);

2.Могутвозникнутьследующиеслучаиспропусками:

• Windows XP снехакнутоймультисессией;

• превышеномаксимальнодопустимоеколичествоподключенийнадедике;

• закончилсяустановленныйтаймаут.

Авторждеттвоихкомментариевнаофициальнойстраничкечекера: noxzim.com/?p=415. z

073

Этим отличия от прошлого теста не ограничатся — мы будем тестировать не эвристику, а проактивную защиту. А что же такое проактивная защита? Разные компании используют различные названия: реальная защита, защита в реальном времени и так далее, но суть одна: проверка файла на вредоносность осуществляется в процессе его работы. Это и отличает данную технологию от эвристики, задача которой состоит в том, чтобы определить статус файла еще до его

запуска. Если эвристические сигнатуры обычно проверяют наличие подозрительных особенностей исполняемого образа, эмулируют машинный код или вызовы системных функций, то вся проактивка, как правило, следит за активностью файла в системе. В основном это достигается с помощью перехватов некоторых системных функций, отвечающих за работу с файлами, реестром, процессами и сетью.

Кажется, Аваст что-то подозревает!

В качестве испытуемых были выбраны пять антивирусов. В этом краштесте я буду пытаться обойти AV-продукты от Avast, Avira, AVG, Comodo, ClamAV. А теперь — немного конкретики о версии каждой программы и ее настройках.

Представляем подопытных

Avira AntiVir Personal

Первый в списке тестируемых антивирусов: Avira AntiVir Personal — Free Antivirus. Версия 9.0.0.13. В этом продукте присутствует один модуль, который, похоже, выполняет роль проактивной защиты — AntiVir Guard. Его я, естественно, включил. Опции довольно скудные, помимо настройки «агрессивности» анализа я больше ничего из того, что могло бы повлиять на качество защиты в реальном времени, не обнаружил.

avast! FREE Antivirus

Следующий подопытный — avast! FREE Antivirus, версия 110319-1. У

аваста, в отличие от авиры, есть целая секция «Экраны в реальном времени». Я убедился, что все модули (а особенно «Экран поведения»

— видимо, у аваста проактивная защита именуется именно так), входящие в эту секцию, включены.

AVG Anti-Virus Free Edition

Последний антивирус в нашем тесте, который начинается на букву «a»

— AVG. Я тестировал AVG Anti-Virus Free Edition, версия 10.0.1204. Этот антивирус не отличается большим количеством настроек. Насколько я понял, проактивная защита представлена в компонентах Resident Shield, Anti-Rootkit, Anti-Virus и Identity Protection.

ClamAV

Продукт Immunitet 3.0 от ClamAV довольно прост в использовании. Большинство настроек представлено radiobutton’ами — «да» или «нет». Защиту в реальном времени здесь обеспечивает компонент

Monitor Program Start. Я дополнительно включил детектирующий движок ClamAV, который был по умолчанию отключен. Отмечу, что при установке я выбрал версию Free (Cloud + AV), а не Trial, которая значительно превосходит бесплатный аналог по функциональности. Тестировался продукт версии 3.0.0.18.

Comodo Antivirus Free

Последний исследуемый антивирусный продукт — Comodo Antivirus Free, версии 5.3.181415.1237. В Comodo, в отличие от предыдущих антивирусов, присутствуют очень богатые настройки — интерфейс предлагает нашему вниманию огромное количество галочек и ползунков. Проактивная защита обеспечивается компонентой Defense+, которая также гибко настраивается. Я выбрал максимальный уровень защиты, установив Paranoid Mode, который, правда, практически не отличается от Safe Mode.

Сама методика тестирования очень простая: каждый тестовый файл запускается, а затем я фиксирую (или не фиксирую) предупреждение от антивируса.

А теперь к самому интересному — тестовые файлы.

Тест первый: прописываемся в автозапуск

Простейший вариант — просто чтобы проверить, работает ли проактивная защита вообще. Итак, первый тестовый образец всего лишь прописывает сам себя в «святая святых» Windows — автозапуск по ключу реестра hklm\software\windows\currentversion\run. Часть исхо-

дного кода:

wchar_t szFullPath[MAX_PATH] = {0}; GetModuleFileNameW(0, szFullPath, MAX_PATH); HKEY hKey = 0;

RegOpenKeyW(HKEY_LOCAL_MACHINE, L"Software\\Microsoft\\ Windows\\CurrentVersion\\Run", &hKey);

Результаты наших тестов