- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Взлом с нттр-туннелированием
Взлом с НТТР-туннелированием состоит из двух частей— клиентской и серверной. Клиентская часть, htc, находится на компьютере взломщика, а серверная— hts, на компьютере жертвы.
Данный метод использует протокол HTTP для переноса информации через туннель посредством использования запросов HTTP GET и HTTP PUT. Вся информация передается на компьютер жертвы в запросе PUT и принимается в запросе GET. Все запросы выполняются клиентом.
Запрос PUT содержит в себе строку заголовка Content-Length, использование которой может быть отключено с помощью ключа –strict.
В эксплоите используются два типа запросов, которые отличаются состоянием бита 0x40 (Tunnel_Simple) заголовка. Если бит 0x40 установлен, запрос состоит из одного байта и не содержит дополнительной информации. Если бит 0x40 не установлен, запрос содержит 2 байт и поле данных, длина которого может изменяться.
Существует семь типов запросов, которые состоят из простейших команд протокола
Для создания туннеля на компьютере жертвы должен находиться серверный компонент программы. Расположение файла используется другой программой, например netcat или подобной.
После того как на компьютере жертвы установлен серверный компонент, он начинает ожидать запросов от клиента htc.
После того как соединение было установлено, взломщик может выполнять команды на компьютере жертвы. Эти команды передаются через proxy-сервер по НТТР-туннелю после выполнения следующей команды:
telnet localhost 2323
Когда взломщик выполняет эту команду, сеанс telnet перенаправляется на туннель к компьютеру жертвы через proxy-сервер.
Симптомы атаки
Поскольку в этом эксплоите используется разрешенная служба передачи информации,]засечь данный метод крайне сложно. Признаком использования этого метода может являться частая пересылка запросов HTTP PUT между двумя компьютерами. Кроме того, пакеты используемые в этом эксплоите, имеют меньший размер, чем обычные пакеты HTTP.
Выполняемые в процессе взлома команды являются довольно короткими, например ls или cd. При обычном соединении с Web-сервером пакеты имеют большой размер, а одни и те же элементы часто обновляются по мере перемещения по узлам.
Кроме того, признаком взлома могут быть HTTP-запросы от компьютера, который не является Web-клиентом. В этом случае администратор должен внимательно проверить журналы proxy-сервера, а возможно воспользоваться анализатором пакетов.
Сервер httptunnel принимает информацию через порт 8888, поэтому стоит добавить этот порт в список портов автоматического сканирования. Однако лучше проводить регулярное сканирование портов в полном объеме.