книги хакеры / журнал хакер / 090_Optimized

CElement::CElement и запоминал указатель, передаваемый ему через регистр ECX;

•При выходе из конструктора отбирал у первой страницы блока памяти все атрибуты доступа (PAGE_NOACCESS);

•Отслеживалисключения,возникающиеприобращениикстраницам, и следил за полем 10h;

•При обнаружении попытки записи недействительного указателя передавал управление отладчику, сигнализируя об ошибке тем или иным способом.

Описанная технология позволяет следить за огромным числом блоков памяти, практически без снижения производительности. Написать и отладить плагин можно буквально за вечер. Считай это своим домашним заданием или жди, когда в Сети появятся готовые боевые exploit’ы.

Дальше сам

Проанализировав проблему, мы подтвердили, что уязвимость существует, и при обработке вложенных OBJECT’ов происходит переполнениекучи,позволяющеенетолькообрушиватьIE,ноипередавать управление на шелл-код, однако при этом нам придется противостоять защитам типа DEP, учиться находить API-функции

впамяти и осваивать много других вещей, подробно описанных

в«Записках исследователя компьютерных вирусов» и «Portable shell-coding under NT and linux», которые, как обычно, можно скачать с ftp://nezumi.org.ru. z

A: Подскажите, каким софтом можно воспользоваться для перенаправления портов?

Q: Для начала надо определиться с тем, что собой представляет утилита перенаправления портов. Сервисная программа направляет TCP/IP-трафик, полученный ею на одном из портов, к другому, и, возможно, к хосту, указанному самой утилитой. За исключением обработки IP-адресов и номеров портов при перенаправлении игнорируется тип протокола, то есть утилита незаботитсяотом,какойтрафикпередается с ее помощью. Она функционирует как канал для TCP/IP-подключений. Самой известной тулзой из этой сферы, безусловно, являетсяdatapipe.Существуютреализации данной утилиты на си и на перле, что делает ее кроссплатформенной. Использовать datapipe несложно: ./datapipe localport remoteport remotehost. Значение localport

определяет номер порта, прослушиваемого на локальной системе, remoteport и remotehost определяют номер порта, на который будут перенаправлены данные, имя хоста или адрес получателя. Второй утилитой является fpipe, созданная компанией foundstone.Вотличиеотdatapipeонаможет использоваться только в Windows-систе- мах, что является большим недостатком. Однако fpipe поддерживает несколько возможностей, недоступных в datapipe. В частности, добавлена поддержка протокола пользовательских дейтаграмм (UDP — User datagram Protocol), возможность указывать локальный интерфейс, на котором будет работать утилита, а также номер порта отправителя. Помимо них существует также утилита с пользовательским интерфей-

сом под названием Vida (Visual Interactive

Datapipe: www.vidatapipe.sourceforge.net/).

Данная утилита может поддерживать сразу несколько каналов перенаправления, аутентификацию по паролю при перенаправлении, подсчет количества переданных через каналы байт трафика, снифинг данных, а также захват (hijacking) соединений.

A: Существует ли софт, автоматизирующий получение информации из базы данных при слепой инъ-

екции sql-кода (blind sql injection)?

Q: Да, есть достаточно много утилит, позволяющих автоматизировать процесс. На-

пример, Bsqlbf2 (www.514.es/html/pen-test),

которая представляет собой скрипт на перле с gui-интерфейсом. Поддерживает передачу методами get и post, позволяет использовать брутфорс с использованием словаря или по наборам символов, включающим в себя цифры, md5-хэши, символы или пользовательский набор. Утилита поддерживает работу через прокси-сервер, с поддержкой авторизации, причем она также позволяет задать и список серверов, через которые будут идти запросы. Кроме того, есть поддержка работы с cookies. Также утилита позволяет задать произвольные значения заголовков user-agent для запросов, для которых также можно создать список и сохранить его в файл. Для обхода ids утилита может использовать временные интервалы между запросами, причем поддерживаются два вида задания задержек: конкретное значение или временный интервал, из которых случайным образом выбирается текущее значение.

Еще одной неплохой программой, правда, работающей только в Windows-системах,

является SQL Power Injector. Она позиционируется как средство, облегчающее работу с sql injection, и позволяет не только автоматизировать получение данных при слепой инъекции, но и работать с обычной инъекцией sql-кода.Возможности программы: работа с несколькими базами данных

(MSSQL, MySQL и Oracle), получение таких характеристик, как длина и количество, а также возможность перебора на основании временных задержек в выполняемых запросах.

A: Расскажите про уязви-

мость socket hijacking

Q: Уязвимость socket hijacking, она же захват службы или сокета, заключается в следующем. Многие службы в дефолтовых настройках при открытии портов биндят сокет таким образом, чтобы слушать все интерфейсы, что в выводе netstat выглядит, как 0.0.0.0:порт или *.*.*.*:порт. Это позволяет службе обрабатывать запросы, пришедшие на заданный порт, вне зависимости от сетевого интерфейса машины, на который пришел пакет. Также если в системе созданы несколько сокетов, один из которых слушает все интерфейсы на определенном порту, а другой слушает определенный интерфейс, например 192.168.0.1, на том же порту, что и предыдущий, то при переходе запроса на 192.168.0.1 он будет обрабатываться сокетом, забинденным на этот интерфейс, а не сокетом на все интерфейсы. Естественно, просто так использовать порт, уже занятый системой, не получится. Для того чтобы отобрать себе порт, нужно воспользоваться опцией сокета O_REUSEADDR. Она позволяет с помощьюфункцииbindсвязатьсяспортом,даже если существуют ранее установленные

соединения. Параметр SO_REUSEADDR позволяет множеству экземпляров одного

итого же сервера запускаться на одном

итом же порте, если все экземпляры связываются с различными локальными ipадресами. Из всего вышеперечисленного следует, что если атакующий, используя опцию SO_REUSEADDR, создаст сокет на определенном локальном интерфейсе с портом,совпадающимсномеромпорта,запущенного в системе демона, то он сможет перехватывать запросы, идущие к демону. Для большинства служб, таких как http, ftp, etc, это не составит проблемы, поскольку они связываются с привилегированным портом, меньшим 1024, для использования которых необходимы права root-пользова- теля. Следовательно, любой процесс, пытающийся завладеть этим портом, также требует прав привилегированного пользователя. В большинстве нормальных операционных системах для использования уже связанных непривилегированных портов также требуются права пользователя, от которого запущен уже работающий сервис. Все описанное справедливо для большинства систем, но не для всех. В Windowsсистемах, например, захват порта является вполне тривиальной задачей. Для иллюстрации всего вышеописанного можно воспользоваться небольшим кодом на перле:

#!/usr/bin/perl use IO::Socket; $|++;

if(@ARGV < 2) { print “Usage $0 <IP> <PORT>\ n”; exit(); }

print “Try create socket ...”;

$sock = IO::Socket::INET->new( Listen => 20, LocalAddr => $ARGV[0],

Proto => ‘tcp’, LocalPort => $ARGV[1], Reuse => 1

);

if($sock) { print “ [DONE]\n”; } else { print “ [FAILED]\n”; exit(); } while($client = $sock->accept)

{

print $client “Got hacked!”; close($client);

}

На системе запущен http-сервер, слушающий все интерфейсы.

C:\perl_source>netstat -an

Имя Локальный адрес Внешний адрес Состояние

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

Создаем с помощью скрипта сокет, связанный со специфичным интерфейсом

C:\perl_source>reuse.pl 192.168.0.2 80 Try create socket ... [DONE]

Вывод netstat приобретает вид:

Имя Локальный адрес Внешний адрес Состояние

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 192.168.0.2:80 0.0.0.0:0 LISTENING

Теперь, если обратиться к адресу 192.168.0.2 на порт 80, то запрос перехватит наш скрипт, а не http-сервер. Продемонстрирую:

c:\>nc 192.168.0.2 80 Got hacked!

c:\>

Таким образом, атакующий может, используя захват службы, создать туннель между захваченным интерфейсом и реальным сервером, попутно сохраняя всю информацию, проходящую через этот туннель в обоих направлениях. Это приведет к перехвату конфиденциальной информации.

A: Нашли с друзьями в локальной сети FTP-сервер, уязвимый к переполнению буфера,скачалиэксплойт, скомпилировали как надо. При проверке на тестовом сервере все работает замечательно, а вот против того фтпшника не катит. Удалось разведать, что там стоит хитрая ids, которая отлавливает nop’ы в коде. Посоветуй, чем бы в коде эксплойта заменить эти самые нопы?

Q: Вкачественоповсойдутлюбыеассемблерные команды, которые не приводят ни к каким действиям. Например, такие как:

При использовании таких команд глав­ ное — следить за выравниванием, поскольку они, в отличие от NOP, занимают более одногобайта.Такжеможносочетатькоманды инкремента и декремента регистров:

inc eax — увеличить на 1 dec eax — уменьшить на 1

Точно так же можно воспользоваться тем, что в большинстве шелл-кодов, в начале

работы, регистры обнуляются, и можно без опаски менять значения регистров с помощью команд inc eax — 0x40 , inc ebx

— 0x43 , dec eax - 0x48 , dec ebx 0x4B и тому подобных.Плюсомданныхкомандявляется то, что, во-первых, они занимают по одному байту, а во-вторых, то, что они совпадают с отображаемыми символами ASCII. Таким образом, вместо цепочки нопов можно использовать, например, такую строчку: «HACK», что совпадает с dec eax, inc ecx, inc ebx, dec ebx. Конечно, при условии, что регистры eax, ecx, ebx будут обнулены в начале шелл-кода.

A: Занимался поиском и взломом беспроводных сетей и озадачился следующим вопросом: можно ли снифер заставить расшифровать wep сразу при перехвате, если ключ у меня уже есть?

Q: Можно. Для этого воспользуйся сниффером, например ethereal, поддерживающим расшифровку wep. Чтобы включить эту возможность, зайди в меню Edit -> Preferences -> Protocols -> IEEE 802.11, вве-

ди количество ключей в «WEP key count» и, соотвтственно, сами ключи в необходимые поля. z

Остерегайся задавать общие вопросы вроде «Как взломать интернет?» или «как узнать ip ламера в чате». ответы на них вряд ли тебя обрадуют, уже не говоря о том, что цензура не позволит нам их опубликовать.

Взлом/02

Shturmovik

/ Shturmovik@real.xakep.ru /

WARNING

Помни: весь материал в статье представлен для ознакомления. Ни в коем случае не используй его в противозаконных целях!

Вспомнитьвсе.Давайобъединимвсенашизнания потеме для закрепления материала.Как ты уже, наверное, знаешь DoS — это атака на отказ в обслуживании (DoS — Denial of Service). Непосредственно к DDoS мы вернемся немного позже. Как известно, такого рода атаки осуществляются путем засорения канала жертвы пакетами определенного типа, что отправляет жертву в глубокую кому. Думаю, объяснять, для чего используют подобного рода атаки бессмысленно, поэтому едем дальше.

Досдосурознь.Такиеатакиможнопроводитьдвумя известными способами. Первый заключается в использовании уязвимостей жертвы. При помощи специально сформированного пакетареализуетсянехитроепереполнениебуфера,ижертваулетает в астрал.

Второй и более распространенный — это отправка большого количества построенных определенным образом сетевых пакетов, то есть, грубо говоря, флуд. При этом надо уяснить для себя, что совсем не обязательно придумывать самому какую-то особую реализацию сетевого пакета. С такой же степенью поражения достаточнопросто«забомбить»серверстандартнымизапросами.Кстати, о подобном уже писали в апрельском номере. Посмотри статью «Всяправдаослэдшот»,какразтамрассматривалсяэффект,когдаогромноеколичестволюдейсмалыминтерваломво временизаходили на страницу. В этом случае ресурс, где была расположена эта страничка, падал, не выдержав такого числа клиентов.

Тут самое время вспомнить сетевую утилиту Sprut, которая была разработана для системных администраторов, желающих проверить свой сервер к устойчивости на банальный HTTP GET DoS. За каждую секунду, по нарастающей, программа подключается к указанному серверу до тех пор, пока сервер не перестанет отвечать. Этоозначает,чтоонлибо ушелвкому,либоиспользуетграмотную реализацию защиты от подобных атак.

Вся хитрость такого флуда заключается в следующем. Допустим, мы посылаем несколько пакетов серверу с бесконечно малым интервалом времени между ними, то есть друг за другом. Пока сервак шаманит над первым пакетом, остальные помещаются в буфер. Соответственно, чем больше таких пакетов, тем больше памяти занимает буфер для их хранения. Исхода тут два. Первый и самый распространенный заключается в том, что наступит момент, когда буфер сожрет все доступные системные ресурсы, тем самым замедлит работу сервера, а то и вовсе его остановит. Результат налицо: сервак в дауне и не отвечает на запросы. Есть, конечно, и второй вариант, при котором произойдет переполнение, вызывающее критический сбой системы. И тут уже потребуется перезагружать сервер вручную. Второй вариант, разумеется, более продуктивен для нас :).

Однако не все такие глупые, поэтому зачастую для завершения атаки требуется поддерживать постоянный DoS-поток, поскольку как только стрим левых запросов исчезнет, сервер вновь начнет обслуживать клиентов.

Так как же бомбить? Прошли те времена,

когда любой сервант можно было заддосить простейшим ping’ом с нескольких компьютеров. В принципе, такие времена и не начинались: когда каналы были для этого достаточно узкими, никому и в голову не приходило заниматься подобной ахинеей.

Можно также вспомнить баги в популярном софте, заюзав которые можно было легко зафлудить какого-нибудь домашнего пользователя. К примеру, несколько лет назад можно было легко было задосить icq-пользователя, прислав ему в оффлайн несколько тысяч смайликов.

SYN-наводнение. Наиболее простым способом проведения DoS-атак является SYN-наводнение. Происходит это по следующей схеме. Атакующий компьютер посылает SYN-па-

FIN/ACK flooder отЗАРАЗ’ы