книги хакеры / журнал хакер / 127_Optimized

Microsoft®

Fix it

ИНТЕРВЬЮ С ИНЖЕНЕРАМИ

Чтобы узнать больше о работе инженеров — самых главных специалистов по поддержке — мы решили задать им несколько вопросов напрямую. Ребята оказались очень веселыми и с радостью прокомментировали интересующие нас моменты.

Q:Часто ли случается, что проблема пользователя связана с неизвестными ранее ошибками в продуктах компании? Можете вспомнить конкретный случай и дать его описание?

A:Бывает. Как сказано в тексте лицензии MS, «никакой продукт не свободен от ошибок». Бета-тестирование и предпродажное распространение, конечно, убирают основную шероховатость, но не было бы аббревиатуры SP (1,2...6), не находи пользователи ошибки в процессе эксплуатации.

Обращения, связанные с ошибками, единичны и составляют считанные промилле (в них еще измеряют алкоголь в крови водителя:)). Пользователю, обратившемуся с проблемой, признанной впоследствии ошибкой, обычно рекомендуют workaround (обходное решение) или предлагают ждать выхода отдельного исправления или пакета исправлений (SP).

Например, в русской версии Visio 2007 клавиши навигации («стрелки») были перепутаны местами. Т.е. курсор «ехал» не туда. Баг пофиксили только в Microsoft Office Visio SP2. Internet Explorer 8.0 не сохраняет cookies для двухбуквенных доменов. Ранее, для IE6.0/7.0 требуемый домен мог быть добавлен в реестр вручную. На данный момент двухбуквенные домены жестко вшиты в библиотеку dll, которая будет обновляться через

Windows Update.

Q:Каким образом удается смоделировать проблему пользователя на машине инженера службы поддержки? Какой софт используется, что лежит в его основе?

A:Моделирование проблем пользователей происходит в виртуальной среде. Используются Microsoft Virtual PC или встроенный в 2008-й сервер функционал Hyper-V — для эмуляции систем с различной разрядностью. Инженер проходит по шагам, которые привели пользователя к проблеме. Если проблема воспроизводится — ищем готовое решение, изобретаем новое или передаем проблему узким специалистам. Если и они не находят решения

— признаем ошибку в продукте. Если повторить ошибку не удает-

ся — уточняем детали и пробуем снова. Можем, конечно, и подключиться к пользователю удаленно, чтобы самим посмотреть на последовательность его действий.

Q: Интересно услышать про механизм удаленного подключения к рабочему столу пользователя. Как реализована эта возможность? Насколько часто приходится к ней прибегать и всегда ли на такое подключение соглашается пользователь?

A: Для удаленного подключения к рабочему столу используется инструмент Microsoft Easy Assist. Инженер дает пользователю ссылку на веб-страницу Easy Assist. На этой странице пользователь загружает и устанавливает клиентскую часть программы — ActiveX компонент. После этого инженер имеет возможность наблюдать за действиями пользователя, а с дополнительного разрешения пользователя может взять в свои руки управление компьютером. Для предупреждения паранойи инженер постоянно комментирует свои действия: «format c:, ok»?

После окончания сессии юзер может оставить ActiveX-компонент впрок или удалить с машины.

Используется Easy Assist далеко не всегда. Эффективнее всего задействовать его, когда известно точное решение проблемы, а просить пользователя выполнять эти действия пошагово будет дольше, чем выполнить самому. Или, как говорили выше, когда инженеру надо лично посмотреть на шаги пользователя, ведущие к ошибке. Как правило, пользователи соглашаются на такое взаимодействие.

Q:Создаются ли какие-нибудь «точки возврата» на случай, если во время решения проблемы пользователь напортачит еще сильнее?

A:Пользователь сам отвечает за сохранность данных. Вместе с тем, перед радикальными изменениями в системе инженеры рекомендуют создать точку восстановления системы для последующего отката или советуют сохранить личную информацию.

Q:Что делает инженер, если проблему пользователя решить не удается?

A:Если инженер уперся в пределы своей компетентности, он всегда может проконсультироваться с более узкими специалистами внутри компании. Вместе с тем, такая консультация (да если в нее еще и вовлечены иностранные коллеги) может растянуться на дни и недели. Хотя это и приведет к нахождению решения, тут уже пользователю приходится решать — продолжать научноисследовательскую работу или, скажем, откатить систему на момент до возникновения ошибки или переустановить продукт. Ведь для данного конкретного юзера решение проблемы — это не обязательно фиксация бага в продукте, а просто «нет проблемы — нет проблемы».

RAND

IS NOT RAND

>> взлом

Дляправильногопониманиясутиуязвимости вспомним,чтонамужедолжнобытьизвестноиз статейСтефанаЭссера,M4G'aиRaz0r'a.Материалвстатьях,намойвзгляд,представленподробно,нонесколькоразбросанно.Ставяодинза другимэкспериментыиразобравшисьвдеталях уязвимости,янабросалкраткийкурспоизучению. Полагаю,этопоможеттебеболеечеткопредставитьсутьбагиивникнутьвтонкостипроцесса.

НЕМНОГОТЕОРИИ

ВPHP длягенерациислучайныхчиселисполь- зуетсянесосед-программист, каквбородатом анекдоте, адвебазовыхфункциинавыбор: rand() иmt_rand(). Втораяпредпочтительнеек использованиюввидубольшейпсевдослучайностигенератора. Благодарязакономерностям вгенерациизначенийвозможныатакинакод,

использующийэтифункции, например, при генерацииилисбросепаролей. Поясним, как этоможноиспользовать, вызвавуязвимость. Во-первых, энтропияпоследующеговызова rand (mt_rand) зависитотрезультатапредыдущеговызовафункции, именнопоэтомуалгоритмпсевдослучаен. ОднаконачальныйSEED можнозадатьчерезфункциюсприставкой

's': srand (mt_srand). Тоесть, знаяначальный

SEED, мыможемповторитьгенерациюна любомкомпьютере, сгенерироваввсюцепочку якобыслучайныхвызововrand (mt_rand), и получить приэтомабсолютнотежечисла, что иворигинальномприложениинаудаленном сервере. Во-вторых, начальныйSEED зачастую черезsrand (mt_srand) вообщенезадают(по забывчивостииличеловеческойглупости).

Аеслифункцияsrand (mt_srand) небыла

вызвана(либовызванабезпараметров), то PHP задаетначальныйSEED самостоятельно. Проблемавтом, чтотакойSEED непревышает числа2^32, аэточисломожнобанальноперебрать. Разберемсявособенностяхгенерации, когданачальныйSEED задаетсяPHP самостоятельноввидуотсутствиявызоваsrand (mt_srand). Главнаяособенностьrand (srand)

заключаетсявтом, чтодляфункцийвозвращаемыйрезультатразличенпод*nix иWindows.

ПРАКТИКУЕМУЯЗВИМОСТЬ

Результатпредыдущеговызоваrand() используетсявчистомвидекакначальныйSEED для следующеговызоваrand(). Посути:

"$SEED=rand();srand($seed);$SEED=r and();...".

RAND

IS NOT RAND

>>

LOG EXPLOIT: XMB 1.9.11 RANDOM PASSWORD RESET VULNERABILITY

Этооченьполезнознать, таккакнетребуется искатьначальныйSEED, ведьегоможнопросто получитьчерезвыводрезультатаrand(), если

таковойимеется.

Здесьвсепредельнопросто: имеемвывод rand() — имеемначальныйSEED.

ПодWINDOWS результатвызоваrand() (азначит, иначальныйSEED) непревышаетчисло 32767. Милыйсердцубаг, — результатможно какдвабайтаперебрать(спасибоRaz0r'уза исследование).

Под*NIX всенемногосложнее— максимальноечислоSEED составляет2^32.

Отмечу, чтодляmt_rand (mt_srand) имеет значениеверсияPHP.

ДляPHP 4.x.x<=5.2.0 множествовариантов значений, возвращаемыхmt_rand(), составляет2^31. Именно31 — такназываемый«баг единички»:

"mt_rand(1)=mt_rand(2);mt_ rand(3)=mt_rand(4);...".

МаксимальныйначальныйSEED непревышает числа2^32, ноиз-заповторяющихсязначений количествокомбинацийнапорядокменьше (2^31). Этона50% ускоряетскоростьбрута. ДляPHP >=5.2.1 множествовариантоввозвращаемыхзначенийmt_rand() составляет 2^32. МаксимальныйначальныйSEED, какив предыдущемслучае— mt_rand(2^32), ноколичествокомбинацийздесьполное(2^32).

ОСОБЕННОСТЬ ПЕРЕКРЕСТНОГОВЛИЯНИЯ

Функцииrand (srand) иmt_rand (mt_srand)

никакневлияютдругнадруга. Тоесть, вызов srand() неповлияетнарезультатmt_rand() и наоборот. Этобываетважно, когдавприложе- ниипокакой-либопричинеиспользуютсяоба вариантагенератора.

Дляосуществленияатакитребуютсяследующиеосновныеусловия:

1.Мыдолжныпрямоиликосвенноиметьвывод rand (srand, mt_rand, mt_srand) длявычисле-

нияначальногоSEED.

2.СервердолженподдерживатьKeep-Alive соединения.

3.PHP долженработатькакмодульапача(не cgi инеfastcgi).

PUNBB 1.2.16 BLIND PASSWORD

RECOVERYANDRAND VULNERABILITY

4.Адскийпатчбезопасностисухошина (suhoshin) недолженбытьустановлен. ПривыполнениивсехусловийPHP-про- цесс, обслуживающийсоединениесобоими субдоменами, будетоднимитемже. Этодаст

зависимостьмеждувызовамифункцийгенераторов.

ВБОЙ!

Дляначалавспомним, какпроводилисьатаки годичнойдавности:

1.Веб-приложениеможетсамоиметьпрямой, либокосвенныйвыводрезультатаработы генератора.

Данномуслучаюсоответствуетэксплоитпод Wordpress посредствомвосстановления паролязарегистрированномуюзеру, азатеми администратору(milw0rm.com/exploits/6421).

Соответственно, изпочтыюзерузнаеттокен восстановленияпароля, гдепосамомутокену вычисляетсяначальныйSEED.

2.Возможноосуществитькросс-атакучерез веб-приложение, расположенноенасубдомене данногосервера.

НаданномпринципеоснованэксплоитRaz0r'a кWordpress'учерезPhpBB насубдомене, где PhpBB выводитmt_rand врезультатахпоиска

(raz0r.name/wp-content/uploads/2008/08/wp1. html).

3.НачальныйSEED можнополучитьлобовым брутфорсомлибобрутфорсомпопредварительносгенерированнойрадужнойтаблицеготовых значенийвызововrand (mt_rand).

Какпример, эксплоитRaz0r'a «SMF<=1.1.5 Admin Reset Password Exploit (win32)» для WINDOWS (raz0r.name/articles/magiya- sluchajnyx-chisel-chast-2).

Итак, чтообщегомеждуэтимиалгоритмами? Пункт#3, пожалуй, исключение, ввидуособенностиrand() вWindows ибрутфорса, присущего, такилииначе, всемпредставленнымалгоритмам. Нопервыедваоснованынаотсутствии вызоваsrand (mt_srand). Онибазируются именнонаэтом, апофакту— накриптографическойуязвимостигенераторапсевдослучайныхчиселвPHP, из-занедостаточнобольшого начальногоSEED 2^32(2^31).

ПАТЧНАПАТЧ, ИЛИКАКНЕНАДОДЕЛАТЬ

ЧтожесделалисоздателиPHP, дабызащитить нас? НачинаясPHP 5.2.6, начальныйSEED сталмногобольше— угадать(перебрать)

егопрактическиневозможно. Казалосьбы, проблемарешена. Акакнасчетпредсказуемости? Предсказуемостьпсевдослучайности

MOODLE 1.X RANDOM PASSWORD RESET TOKEN VULNERABILITY

отпредыдущихвызововосталасьтакойже, как ибыла! Почемуэтонепоказалосьразработчикамкосякомвреализациипсевдослучайности

— одномуБогуизвестно. Нофактестьфакт— зависимостьосталась, ихакерыпродолжают питьшампанское. Интересно, почему?

АНТИДОТ, ИЛИРЕШЕНИЕПРОБЛЕМЫ

Атакинаmt_rand() проходятвстиле«угадайначальныйSEED исгенерируйпонему mt_rand()». Аеслиmt_srand() задается изначально, казалосьбы— баганет. Ноэто нетак! Именноблагодаряпоследовательной зависимости(предсказуемости) генера-

цииmt_rand()Æmt_rand()Æmt_rand()Æ...,

атакастановитсявозможной. Послевызова mt_srand() ватакуемомприложениинеобхо- димовKeep-alive-соединенииобратитьсяк взломанномусубдоменунасервересвызовом

«print mt_rand();». ПолучивзначениеN-го вызоваmt_rand() послеустановкиmt_srand(), остаетсялишьперебратьлокальнозначения mt_srand(SEED) ивосстановитьцепочку, пока N-йвызовmt_rand() небудетравенполученномуссубдомена. НайденныйSEED будетсоответствоватьискомому, ипонемумысгенерируемсамтокен(пароль) из(N-1) mt_rand(). Выход насамомделепрост. Все, чтотребуетсяот программиста, дабызащититьсвоетворение,

— этоповторновызватьsrand (mt_srand) после вызоваrand (mt_rand).

ГЛУМИМСЯНАДДВИЖКАМИ

Насталовремярассмотретьтедвижки, накоторыхсамБогвелелэксплуатироватьнайденную уязвимость.

• Joomla Weak Random Password Reset Token Vulnerability.

Уязвимостьjoomla<=1.5.6 заключаетсяв10-ти миллионахкомбинацийвозможныхтокенов сбросапароля. КакдемонуСтефануудалось перебрать10 млн. вариантовтокеновсдо- машнегоDSL-каналаза3 часа— дляменятак иостанетсязагадкой. Начинаясверсии1.5.7, разработчикиввели2^32 (crc32) комбинаций токенов. Однако, переборщикпустьи10 миллионовтокенов, по-моемунереален. Ното, чтов последнейверсииджумлытокенгенерируется уязвимымкатакенаmt_rand() черезкросприложения\субдомен— этофакт.

• Moodle 1.x mt_rand() Admin Reset Password Exploit.

RAND

IS NOT RAND

RAND

IS NOT RAND

STEFAN ESSER: MT_SRAND AND NOT SO RANDOM NUMBERS

PHP GENERATE_SEED() WEAK RANDOM NUMBER SEED VULNERABILITY

JOOMLA WEAK RANDOM PASSWORD RESET TOKEN VULNERABILITY

1.Сливаемсорецбрутераzbrute.c снашегоДВД(можешьсмелозаюзать одинизсвоихниксовыхсерверов:).

2.Компилируемспомощьюgcc наниксовоймашине:

# gcc -lpthread zbrute.c -o zbrute

либо:

#gcc -pthread zbrute.c -o zbrute

3.Навыходеполучаембинарникzbrute вуказанномкаталоге.

4.Всепараметрызапускасовпадаютсвиндовыми.

Теперьнемногооконфиге— settings.txt. Рекомендуюобратитьвниманиена такиепараметры, как:

# Source file

sourcelist = 'C:\zbrute\source.txt' //ñóðñ-ëèñò

# Good file

goodlist = 'C:\zbrute\gd.txt' //good-лист с валидными парами уин:пасс

# HTTPS proxy file

httpslist = 'C:\zbrute\proxy.txt' //прокси-лист

#Socks5 proxy file

#socks5list = '' //ñîêñ5-ëèñò

#Socks4 proxy file

#socks4list = '' //ñîêñ4-ëèñò

#Threads amount

threads = 150 //потоки

Полагаю, проблемсэксплуатациейневозникнетитыбезтрудасоберешь нехилуюбазуномерков:). Амыплавнопереходимковторойутиле— UBrute. Дляначалаофункционале:

•Ведение статистики по потокам и проксикам

•Возможность добавления проксиков во время брута

•Наличие генератора UIN;Password

•Наличие конфига

•Поддерживается брут по спискам

Настроитьсофтинкунарабочийладдовольнопросто:

1.СливаемтулзуснашегоДВД

2.Запускаемехе-шникизархива

3.Генерируемлистуин:пассспомощьювстроенногогенератора:

•По диапазону — выбираем диапазон номеров, которые хотим брутить

•По маскам — выбираем маску и цифры, которые нас интересуют

•По списку — выбираем файл со списком уинов, отдельно добавляем пароли, затем генерируем список

4.Конфигурируемутилу— либочерезгуишныйинтерфейс, либоредактиру-

емconfig.ini:

Http=http.txt // http-прокси лист Socks4=socks4.txt // сокс4-лист Socks5=socks5.txt // сокс5-лист Source=source.txt //сурс-лист Bad=bad.txt // бэд-лист

Good=good.txt // гуд-лист с валидными парами уин:пасс Thread=1000 // потоки

5.ЖмемStart инаблюдаемзастатой.

№5 ЗАДАЧА: ИЗБАВИТЬСЯОТЗАГО-

ЛОВКОВ, ДОБАВЛЯЕМЫХACUNETIX

ПРИСКАНИРОВАНИИWEB-УЗЛА

РЕШЕНИЕ:

Передтем, какпользоватьсясканерамибезопасности, советуюпроверить, какуюинфуонипосылаютнасканируемыйресурс. Незнаю, как остальные, авотAcunetix выдаетхакераспотрохами, добавляясобствен- ныеHTTP-заголовкивкаждыйотправляемыйзапрос. Ониуказываютна то, чтозапроссгенерированAcunetix ичтонужнобычтитьсоглашения инесканироватьпосторонниересурсы. Нуразвенепрелесть? Еслиуж тырешилсякого-нибудьпросканить, надоотэтогогрузаизбавляться. ИнтерфейсAcunetix предоставляетвозможностьредактированияидаже удалениязаголовков(вокнеToolsExplorer ÆHTTP Editor). Однакоэти настройкидействуюттолькоприручнойотсылкезапросовиигнорируютсяприсканированиивавтоматическомрежиме. Чтож, вооружимся фильтрующимпроксиивырежемихсами.

1.ЗабираемPrivoxy поадресуhttp://sourceforge.net/project/downloading. php?group_id=11118&filename=privoxy_3.0.12.zip&a=84641926.

2.Распаковываемипереходимкредактированиюконфигурационных файлов.

3.Активируемфайлспользовательскимифильтрами.

config.txt

filterfile user.filter

4.ДобавляемновыйфильтрдляAcunetix.

user.filter

CLIENT-HEADER-FILTER: acunetix-control Removes Acunetix headers.

s/^Acunetix-Product:\s*.*//i s/^Acunetix-Scanning-agreement:\s*.*//i s/^Acunetix-User-agreement:\s*.*//i s/^Acunetix-Aspect:\s*.*//i s/^Acunetix-aspect-password:\s*.*//i s/^Acunetix-aspect-queries:\s*.*//i

5.Активируемсозданныйфильтр.

user.action

{+client-header-filter{acunetix-control}}

/

6.ЗапускаемPrivoxy.

7.УказываемAcunetix нанеобходимостьработычерезPrivoxy. Навкладке

Settings, выбериLAN Settings и

Палимсяпополной:) установинастройкиHTTP-прокси: Hostname — localhost, Port — 8118.

Дляпроверкиприменидирективу debug=64 восновномконфигура-

ционномфайлеconfig.txt Privoxy

илизапустилюбойснифферпакетов. Учти, чтовстречаютсяидругие заголовки, даипропалитьсяможно совсемподругомуповоду, такчто будьначеку, хакер!