Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

190_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

30.24 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 158 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						Взлом
					BUY
w Click				to 70						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Таким образом, передав вместо токена 0, мы сразу же получаем доступ к первому по списку пользователю из таблицы USERS. Аналог данной таблицы представлен на рис. 1.

В данном случае это была учетная запись администратора системы, имеющая доступ к панели администрирования сайта. Позже именно через эту панель с помощью формы загрузки изображений на сайт был успешно залит шелл и получен полный доступ к целевой машине.

Еще один пример из жизни — неавторизованный доступ к API. Следующий запрос позволял получить данные о транз акции пользователя (включая идентификатор, время, сумму и другую информацию) обычным GET-запросом: /api/ transactions/[id].

Что забавнее, добавление/обновление пользовательских данных осуществляется стандартным PUT-запросом и попрежнему без авторизации! Оставим читателю пространство для воображения, что можно сделать в этом случае :).

Еще один пример — приложение российских государственных структур.

Разработчики решили удалять старые или уже не используемые в веб-приложении картинки и аватарки пользователей — чтобы высвободить место и, кроме того, предотвратить DoS-атаки.

Однако по каким-то причинам функционал удаления был выделен в отдельную процедуру deletephoto, которая в качестве аргумента принимала путь к удаляемому файлу, да еще и с полными правами для любого, в том числе и незарегистрированного, пользователя!

Вот так выглядел GET-запрос для удаления аватарки пользователя с ID 1773:

/edit/upload/index.php?mode=deletephoto&ilena

me=/1773/proile739.jpg

Только этот факт позволил удалять с сервера вебприложения фотографии и остальные данные, загружаемые другими пользователями, включая их аватарки и материалы, используемые в статьях и заметках.

Рис. 5. POST-запрос, отправляемый на сервер для отсылки

фидбэка модератору с возможностью пере дачи в нем файла

Рис. 6. Ответ сервера на запрос с фидбэком

Рис. 7. Piwik. Ссылка на незащищенную страницу модерации, посещенную ранее модератором или ад министратором сайта

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 11 /190/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

					5

		Но это еще не все. Очень скоро выяснилось, что для пара-
		метра с путем к файлу не была реализована фильтрация вход-
		ных данных на path traversal, то есть в качестве аргумента можно
		было передать путь к файлу, находящемуся в корневой дирек-
Рис. 3. Листинг со		тории:
держимого директории		/edit/upload/index.php?mode=deletephoto&filename
с веб-контентом		/edit/upload/index.php?mode=deletephoto&filename
		=../../../index.php
Рис. 4. Root-доступ		/edit/upload/index.php?mode=deletephoto&
к серверу медицинской		filename=../../../.htaccess
организации
		В результате стало возможным удалить файлы index.html
		и .htaccess из корневой папки с веб-контентом, что позволило
	4
	4	получить листинг всего содержимого этой директории.
		получить листинг всего содержимого этой директории.
		Именно эта уязвимость в дальнейшем позволила найти
		в одной из поддиректорий файлы, содержащие персональные
		данные зарегистрированных там пользователей.

НЕЗАЩИЩЕННЫЕСТРАНИЦЫ

Еще один тип логических уязвимостей и уязвимостей авторизации — незащищенные страницы. Как и в случае с предыдущим разделом, зачастую статичные страницы, страницы без референсных ссылок и прочее, попадающее под описание information disclosure, часто может быть проэксплуатировано, что приведет к катастрофическим последствиям. Следующие два примера показывают, как подобные вещи, а именно невнимательность и непридание значения таким страницам позволили довести раскрытие информации до RCE. Первый пример — крупная корейская медицинская организация. Данные пользователя надежно защищены, на страницах минимум динамики, повышения привилегий не предвидится, в общем, на первый взгляд все печально. Единственное, что привлекает внимание, — при создании карточки пользователя есть функционал загрузки фотографий. Нет, залить шелл через него не удалось — как следует из комментариев на HTML-странице, это «улучшенная версия загрузчика». Оттуда же следует, что неулучшенная версия все еще доступна в папке photo_uploader.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 11 /190/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

В поисках логики

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
				71
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Неавторизованный доступ к ней, уязвимость при проверке рас-			8
ширения фото и пренебрежение принципом минимальных при-
вилегий — и через шестьдесят секунд имеем рут.
Таким образом, один комментарий на странице данных ав-
торизованного пользователя приводит к тому, что произволь-
ный неавторизованный злоумышленник может за один вечер			9
выгрузить все данные о пациентах. Boo!
Более длинная цепочка уязвимостей, которая привела к схо-
жему результату, была проведена нами в еще одном значимом
для государства веб-приложении. Все началось с тестирования
функционала отправки фидбэков...
Любой, даже незарегистрированный пользователь мог от-
править фидбэк модератору сайта. Сообщение отправлялось
через POST-запрос (рис. 5), в котором помимо тела сообще-
ния, имени и email отправителя можно было передать и файл.			10
Но в ответ возвращалось лишь сухое «Спасибо! Ваше со-
общение отправлено». Это не просто не позволяло узнать, куда
и с каким именем этот файл был сохранен, но даже наводило
на мысль, что все сообщение — это обычное письмо с аттачем,
отправляемое на почту модератору. Потому особого профи-
та в этой форме мы не усмотрели и продолжили тестировать
остальной функционал.
На том же сайте работала система сбора статистики и мони-
торинга Piwik (рис. 7).
Большинство настроек в ней были выставлены по умолча-
нию, включая активный гостевой аккаунт, который позволял
любому пользователю сайта получить подробную статистику	Рис. 8. Запись в табли	идет не об XSS (хотя куда уж без них), но о доступе к админке.
о том, кто, когда и какие именно страницы сайта посещал. Ко-	це feedback с именем	Если неавторизованный пользователь пытается обратиться
нечно, данные об IP-адресах и датах посещения пользователя-	файла, отправленного	к защищенной админской странице /manage/environment/
ми сайта интересны, но самым ценным здесь был список по-	на сервер вместе	administrator/, скрипт проверяет валидность таких намерений
сещенных другими пользователями внутренних страниц сайта,	с фидбэком пользо	и либо пропускает пользователя, либо отправляет на страни-
включая раздел модератора.	вателя	цу логина. Честно говоря, поскольку использование NoScript
Несмотря на отсутствие доступа к этому разделу, в паре		у меня стоит по умолчанию, я был весьма удивлен, увидев та-
страниц, вероятно добавленных уже после передачи сай-	Рис. 9. Исполнение	блицу с данными пользователей, и лишь после просмотра кода
та в эксплуатацию, данная проверка все же отсутствовала,	кода на целевом серве	страницы обнаружил эту чудесную фичу. Если упростить, про-
и, как результат, они и весь функционал на них были доступны	ре через загруженный	верка валидности обращения к странице выглядит следующим
любому, кто знал об их существовании.	шелл	образом:
Именно там, в форме поиска пользователя по имени, нами		<script language=javascript>
и была найдена SQL-инъекция, от которой был очень хорошо	Рис. 10. Обход клиент
защищен весь пользовательский функционал по умолчанию.	ских проверок в банках	sure = conirm('Are you admin?');
Поскольку права внутри БД были лимитированы и работать		if (sure)
с файловой системой через эту инъекцию было нельзя, мы		location.href='/manage/index.jsp';
сдампили всю базу и начали изучать ее на факт наличия каких-		else
либо конфигурационных данных, паролей или другой информа-		history.back();
ции, позволявшей продолжить атаку и захватить весь сервер.		</script>
Тут и была найдена таблица feedback, содержащая все отправ-		ОШИБКИМНОГОПОТОЧНОСТИ
ленные нами сообщения, имена пользователей, отправивших
их, и… имена к файлам, которые все же сохранялись в директо-		Наконец, еще один тип ошибок логики из нашего рейтинга —
рии с веб-контентом, да еще и с тем же расширением, которое		ошибки более низкого уровня абстракции — состояние гонки
было указано в поле filename POST-запроса (рис. 8)!		(Race Condition). Состояние гонки — «ошибка проектирования
Каких-то пара минут, и однострочный шелл уже на сервере		многопоточной системы или приложения, при которой работа
в файле, хоть и с рандомным именем, но с заветным расшире-		системы или приложения зависит от того, в каком порядке вы-
нием php:		полняются части кода» (с). Другими словами, если, например,
/common/upload/feedback/778eb7b67ad5fd74f5b48d.php		два потока одновременно получают доступ к данным на запись,
		результат может быть непредсказуемым. Так и случилось с од-
		ной крупной британской платежкой — для получения доступа
Уверен, дорогой читатель, тебе не составит труда понять,		к данным невезучего пользователя понадобилось... обновить
что за команда была выполнена и какой результат мы получили		страницу! Начав разбираться, мы поняли, что проблема в меха-
на рис. 9.		низме генерации сессии — при неудачной авторизации и опре-
ПРОВЕРКИНАСТОРОНЕКЛИЕНТА		деленном стечении обстоятельств сессия пользователя выстав-
		лялась в null и не менялась при следующем успешном логине.
Один из самых частых паттернов логических уязвимостей —		Написав простенький скрипт, который обращался к главной
проверки на стороне клиента. Другими словами, фильтры		странице с данными пользователя с нулевой сессией, мы
на клиентской стороне не позволяют ввести/изменить опре-		за один вечер сграббили восемь аккаунтов с суммарным сче-
деленные данные, но при этом сервер не проводит никакой		том более 50K долларов (все это происходило по согласованию
дополнительной валидации. Классический пример — нередак-		с руководством платежки. — Прим. ред.). Более подробно об
тируемые поля в банковских переводах. Рис. 10 отображает ре-		этом ты можешь прочитать в презентации (bit.ly/1ytTOUE).
зультат успешного обхода таких проверок: в одном случае (банк		SUMMARY
top-3 Австрии) существовала возможность создания транзак-
ций, когда у лимитированного пользователя такая возможность		Как ты видишь, приведенные примеры не являются чем-то
не подразумевалась, в другом (банк top-10 России) — возмож-		запредельно сложным — достаточно просто поверить в за-
ность изменения нередактируемых полей и подмены номера		кон вселенского фейла :). При этом критичность найденных
счета в переводах.		уязвимостей позволяла в ряде случаев залить шелл и полу-
Тем не менее это тоже не все — одна известная в Европе		чить полный контроль над приложением/сервером и всегда
страховая организация решила использовать в качестве основ-		несла в себе ощутимый финансовый и репутационный ущерб
ной защиты критически важного функционала JavaScript. Речь		для организации. Дерзай! Но соблюдай закон!

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						Взлом
					BUY
w Click				to 72						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Тарас Татаринов

Монитор безопасности taras.tatarinov.1987 @gmail.com

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 11 /190/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

PWN PLUG R2, ИЛИ ПРИМЕНЕНИЕ АППАРАТНОЙ ЗАКЛАДКИ В РЕАЛЬНЫХ УСЛОВИЯХ

Helen@flicker.com

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 11 /190/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Троянский пони

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			73
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Закладки, жучки, радиоперехват — кому не известны эти слова? Идея внедрить в канал связи, по которому передается важная информация, «свое» устройство стара как мир. Подобные устройства известны всем по фильмам, книгам и даже компьютерным играм. Они превратились в своеобразное клише, и, возможно, именно поэтому в современном мире информационной

безопасности возможности физического внедрения в каналы связи часто попросту игнорируются. А зря.

Сейчас, когда все помешаны на шифровании, криптоконтейнерах и прочих методах противодействия «софтверным атакам», такие, казалось бы, устаревшие вещи, как закладки или жучки, рассматриваются не как реальная угроза,

акак атрибут фильмов про Джеймса Бонда. Как следствие, физически изолированную от интернета сеть принято считать практически неуязвимой для хакеров. Даже если протяженность сети составляет километры, а многие ее узлы никем не охраняются и находятся буквально в открытом доступе, порой в самом прямом смысле этого слова, сеть все равно считается абсолютно защищенной. И как показала практика — совершенно напрасно.

Мне довелось в этом убедиться лично, в рамках проекта, где объектом тестирования была закрытая и, по убеждению администраторов, абсолютно «неприступная» сеть. Возможно, у них были основания считать так. Исследуемая сеть действительно была ограждена от интернета межсетевыми экранами и демилитаризованной зоной. Только вот о том, что узлы сети располагались буквально на улице и не были оборудованы никакими средствами физической защиты (проще говоря, не было даже амбарного замка на ящике), почему-то забыли. Здесь-то нам и пришла на помощь маленькая неприметная коробочка без опознавательных знаков — устройство от компании Pwnie Express.

ПЕРВОЕЗНАКОМСТВО	Рис. 1. Роутер? Свитч?
Pwn plug r2 — это мобильный, незаметный, но чрезвычайно	Сетевой диск? Полно-
мощный плацдарм для хакера в сети. Его размеры лишь не-	ценный хакерский
многим больше пачки сигарет, но внешность обманчива —	сервер с Kali Linux
внутри у этой «коробочки» целый хакерский арсенал.
Cперва давай посмотрим на устройство снаружи. Здесь	Рис. 2. Чем тише
все ясно: два разъема Ethernet, два USB, выводы под Wi-Fi	ты становишься, тем
и Bluetooth-антенны, а также разъемы для SD-карты и пита-	больше ты можешь
ния. Корпус нейтрального белого цвета, без каких-либо надпи	услышать
сей или маркировок.
Пожалуй, питание — единственное, что ограничивает мо-	Рис. 3. Netdiscover
бильность нашего плацдарма: POE, к сожалению, не поддер-	в работе
живается, внутренних источников питания нет, однако напря-
жение 5 В позволяет запитать устройство буквально от чего
угодно. С другой стороны, везде, где есть электроника, най-
дется и питание, ведь потребляемая мощность невелика — со-
гласно спецификации, всего 5 Вт.
Итак, наружный осмотр завершен, что же внутри? Сперва
нас встречает довольно примитивный веб-интерфейс для ба-
зовой конфигурации, здесь мы можем сконфигурировать
внешние интерфейсы, сбросить настройки и пароли. В интер-
фейсе присутствует большая красная кнопка «хакнуть», но ее
функционал нас не впечатлил: он состоял из нескольких до-	WARNING
вольно примитивных эксплойтов.	WARNING
Пришло время подключиться через SSH. Вводим логин-па-
роль — внутри у нас полноценная сборка Kali Linux с полным	Вся информация
набором всевозможных инструментов.	предоставлена исклю-
На следующем шаге необходимо решить еще одну про-	чительно в ознакоми-
блему — управления нашим хакерским сервером во «враже-	тельных целях. Лица,
ской» сети. Не будем же мы, в самом деле, присоединяться	использующие данную
к нему патчкордом! Но и тут инженеры из Pwnie Express по-	информацию в противо-
думали за нас: Pwn plug комплектовался USB GSM модемом	законных целях, могут
и двумя скриптами — один запускался на Pwn plug через	быть привлечены к от-
веб-интерфейс при базовой конфигурации устройства и под-	ветственности.

соединялся к нашему серверу в офисе через SSH, второй развертывался у нас и слушал входящие подключения. Завершающей частью внедрения стала защита нашего устройства

имодема от погодных условий. В первую очередь это касалось модема, который должен был торчать наружу из стальной коробки, где находилось прочее оборудование. Защиту от ветра

ивлаги мы обеспечили с помощью коробки для бутербродов

итермоусадки. Вот и все. Мы готовы. Пора в бой.

НЕКОЧЕГАРЫМЫ,НЕПЛОТНИКИ...

Напевая этот мотив, я полез физически устанавливать наше устройство в сеть. Узел сети, который мы выбрали для внедрения, находился в открытом доступе, но подобраться к нему оказалось не так просто. В то же время никакой защиты у него не было, для нас даже были кем-то заботливо подготовлены свободная розетка и Ethernet-разъем в свитче. В итоге спустя очень долгих полчаса на холоде наружу торчал только GSMмодем, обернутый в термоусадку. Дорога в офис была полна предвкушения предстоящего пентеста.

Оказавшись снова в тепле, проверяем подключение. Для этого выполняем следующие манипуляции: заходим на наш офисный сервер, к которому должен подключаться Pwn plug через SSH, и запускаем листенер для организации

туннеля. После чего, если все сконфигурировано корректно, мы сможем подключиться к устройству через локальный интерфейс ssh pwnie@localhost -p 3337.

Готово. Доступ есть.

РАЗВЕДКА

Оказавшись внутри, первым делом необходимо осмотреться. Запускаем netdiscover, чтобы понять, какие в данном сегменте IP-адреса, где находится шлюз, и получить другие базовые сведения.

hang

NOW!

BUY

Взлом

w Click

to 74

-xcha

Теперь, когда структура сегмента стала ясна, присваиваем	Рис. 4. Схема внедре-
себе IP-адрес (сеть 192.168.0.1/24), и в дело идет Nmap. Со-	ния в сеть
бираем информации по максимуму: nmap -sS -sV -vv -sC -p
0-65535 -O -Pn -oA "scan" 192.168.0.1/24. Как оказалось,	Рис. 5. Препарируем
в нашем сегменте присутствует только три узла: маршрутиза-	JAR-файл
тор, некий компьютер под управлением Windows Embedded
и переходник с Ethernet на COM. После непродолжительного	Рис. 6. Изучаем сеть
изучения Windows Embedded стало понятно, что ничего инте-	с захваченного сервера
ресного там нет, поэтому основное внимание переключилось
на маршрутизатор.
Для того чтобы понять структуру сети за маршрутизатором,
было решено использовать Wireshark, а точнее его консольную
версию — tShark. Запускаем снифер, нас интересует только
адрес маршрутизатора tshark -R "ip.addr == 192.168.0.1"
-r /tmp/capture.cap. Собрав достаточное количество паке-
тов, дамп трафика можно проанализировать (очень удобно
использовать для этого графический интерфейс Wireshark)
и узнать из него, какой трафик приходит в нашу подсеть. По-
сле того как адреса некоторых серверов за маршрутизатором
были получены, осталось только прописать маршруты на на-
шем Pwn plug и вырваться на оперативный простор — в ос-
новную сеть. Схема нашего внедрения в сеть на данном этапе
представлена на рис. 4.
Отдельное спасибо стоит сказать производителям «за-
кладки» за то, что Pwn plug имеет некоторую защиту от дура-
ка. К примеру, когда мы прописали маршрутизатор нашего
сегмента сети в качестве шлюза по умолчанию, у нас пропала
связь с Pwn plug, так как, очевидно, весь трафик стал идти че-
рез шлюз, а не через наш 4G-модем и внешний канал связи

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 11 /190/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

оборвался. Я уже морально подготовился вновь лезть наверх и перенастраивать наше устройство вручную, однако менее чем через полчаса настройки самостоятельно вернулись к предыдущим, связь возобновилась и мы смогли продолжить тестирование.

НАПРОСТОРАХСЕТИ

Итак, мы в основном сегменте сети, самое время осмотреться. В ход идет все тот же Nmap. Забегая вперед, замечу, что на данный момент вся наша активность еще никем не обнаружена. Для максимального приближения к боевым условиям администраторы не были уведомлены о нашем проекте. Незамеченными мы будем оставаться еще долго, несмотря на то, что все инструменты использовались в агрессивном режиме.

Из результатов сканирования Nmap мы получили список довольно интересных сервисов. Наиболее многообещающим был скачанный с одного из серверов файл JNLP. Это файл Java Network Launching Protocol, который загружал и устанавливал клиент для одного из сервисов, расположенных во внутренней сети. После проброса соответствующих портов и настройки NAT-трансляции (мы использовали так называемый «перегруженный» NAT, или NAPT, — форму динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты, в итоге получился своего рода VPN через SSH). Из командной строки это выглядело следующим образом:

ssh -L 8080:192.168.1.111:80 pwnie@localhost:3337

После такого подключения порт 192.168.1.111:80 внутренней сети оказывался доступен локально на нашем сервере на порту 8080. Благодаря этому нехитрому приему нам удалось развернуть Java-клиент на нашей машине в офисе.

Немного изучив полученные JAR-файлы декомпилятором JAD, мы получили несколько паролей для пользователей с довольно высокими привилегиями на одном из серверов внутренней сети. Надо сказать, что скачанные JAR-файлы даже не были обфусцированы, так как, очевидно, предполагалось, что они не могут попасть в руки злоумышленников.

ГЛУБОКОЕВТОРЖЕНИЕ

После того как один из серверов во внутренней сети был захвачен, наш Pwn plug стал каналом, через который мы начали превращать скомпрометированный сервер в полноценный боевой плацдарм. Мы прописали маршруты в настройках сервера и средствами канала Pwn plug в интернет скачали с репозиториев все нужные нам инструменты, такие как Ettercap, tshark, hydra и другие. Теперь Pwn plug стал C&C (command and control) сервером для нашего внутреннего ботнета. Пока в нем был всего один компьютер, но это было только начало.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY						Троянский пони
w Click				to	ХАКЕР 11 /190/ 2014						Троянский пони
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

РАЗВИТИЕАТАКИ

На данном этапе полная компрометация сети стала вопросом времени. Благодаря отравлению ARP-кеша и атакам «человек посередине» к нам попали новые учетные данные для доступа к серверам. Чем больше серверов переходили под наш контроль, тем интенсивнее мы могли вмешиваться в работу сети, компрометируя новые узлы и даже смежные подсети. Атаки перебора по словарю с помощью гидры также дали результаты.

MEANWHILEIN...

Так какова была реакция администраторов сети? О том, что чтото пошло не так, они стали подозревать спустя примерно неделю с момента нашего вторжения в сеть. Однако к тому времени, как они предприняли ответные действия, значительная часть сети уже была под нашим контролем, так что организованное противодействие было сильно затруднено. В итоге все ответные действия свелись к смене паролей на захваченных нами машинах, что не дало ощутимого результата, так как общее количество скомпрометированных серверов на тот момент уже приблизилось к десятку. Судя по всему, администраторам не удалось отследить, откуда именно велось управление нашей атакой, поэтому наш C&C-сервер оставался активным до окончания проекта.

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ

PWN PLUG R2

Для любителей скучных списков дальше будет краткая спецификация устройства Pwn plug R2.

Процессор: 1,2 ГГц Armada-370 CPU RAM: 1 Гб DDR3

SSD: 32 Гб microSDHC (Class 10)

Wi-Fi: 802.11b/g/n, поддержка packet injection & monitor mode, возможность подключения внешней антенны

Onboard I/O: 2 × Gigabit Ethernet, 2 × USB 3.0, serial console, microSD slot Bluetooth с поддержкой packet injection & monitor mode

Питание: 5 Вт, 15 Вт пиковое Размеры: 5,2" × 3,7" × 0,8" (132 × 94 × 20 мм)

Характеристики GSM: совместим с SIM-картами AT&T, T-mobile, Vodafone, Orange и GSM-операторами более 160 стран

Диапазоны: HSDPA/UMTS (850/1700/1900/2100 МГц), GSM/ GPRS/EDGE (850/900/1800/1900 МГц)

ЧТОВИТОГЕ?

В результате проекта сеть заказчика была полностью скомпрометирована. Был получен доступ к самой разной информации, включая критически важную: к базам данных, служебным документам, электронной почте. Помимо этого, мы получили данные, позволявшие скомпрометировать сети аффилированных организаций. Естественно, этим мы пользоваться не стали, так как действовали исключительно в рамках закона, с ведома и в интересах клиента, но возможность была задокументирована.

Проект показал, что угрозы физического внедрения все еще более чем актуальны, особенно для сетей с большой протяженностью, и степень угрозы от такого внедрения в действительности сложно переоценить. Можно сделать вывод, что эффективность современных средств внедрения чрезвычайно высока и системы обнаружения вторжений необходимы даже для изолированных сетей, чтобы вовремя найти и локализовать атаку.

И как самое простое — амбарный замок как средство защиты все еще актуален даже во времена IPv6. Оставайтесь защищенными!

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			75
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ФОКУС

ГРУППА

уча

активное

принимать

журнала?

Хакер

Хочешь

любимого

будет

в жизни

то,

возможность!фокус

стие

на

каким

упускайучастник

.ru!

Влиять

Не

как

.xakep

завтра?

group

Регистрируйсяна

группы

Хакера

					у тебя		появится
					у тебя
После				этоговозможность:
После					свое	мнение
уникальная					свое		статьях;
уникальная							статьях;
•	высказать							темы		.
об		опубликованныхновые								.
об								на	косяки
•	предложить							на
•			журнала;
для				внимание
•	обратить

	ТОРМОЗИ!		СООБЩЕСТВА!
НЕ	ТОРМОЗИ!		][!
НЕ		ЧАСТЬЮ	][!
СТАНЬ		ЧАСТЬЮ
СТАНЬ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 76						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 11 /190/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Buslik@shutterstock.com

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 11 /190/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Один пароль, чтобы объединить их всех

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			77
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

КАК ЦЕПОЧКА ЛОУРИСКОВЫХ УЯЗВИМОСТЕЙ ПОЗВОЛЯЕТ СКОМПРОМЕТИРОВАТЬ КРИТИЧЕСКИЕ СИСТЕМЫ

Мне иногда начинает казаться, что профессиональная деятельность очень сильно переносится в жизнь и это сказывается на общении с людьми. Мои знакомые часто удивляются, когда я задаю абсолютно банальные вопросы, ответы на которые очевидны. Это происходит потому, что во время работы мне постоянно приходится проверять абсолютно классические техники, пароли, методы, и, как ни странно, они до сих пор работают.

стория, которую я хочу рассказать, основана на ре-		Так как Pwn перемещает нас из внешней сети во внутрен-
альном проекте в моей рабочей практике с исполь-		нюю к клиенту, то естественно предполагать, что в первую
зованием замечательной аппаратной закладки Pwn		очередь интересно посмотреть клиент для локальной сети.
Plug R2. Я затрону такие классические вещи, как ли-		Плюс ко всему я часто сталкивался с тем, что заказчики стави-
Истинг директории, отсутствие обфускации кода, присутствие		ли ограничение по IP-адресам для внешних клиентов, поэто-
тестовых классов в продакшен-среде, слабая политика паро-		му то, что мы находимся во внутренней сети, нам было только
лей, и еще пару вещей. Некоторые из этих уязвимостей могут	Георгий Лагода,	на руку.
быть классифицированы в категории низкого и среднего риска	Монитор безопасности	ВХОДИМВКРОЛИЧЬЮНОРУ
для системы, но в сумме они позволили мне захватить не один	g.lagoda@securitymonitor.ru	ВХОДИМВКРОЛИЧЬЮНОРУ
сервер в рамках аудита информационной безопасности в си-		Скачав оба клиента, я быстро установил, что это JNLP-
стеме клиента.		файлы. JNLP расшифровывается как Java Network Launching
		Protocol, а сами файлы описывают запуск приложений Java

ИСХОДНЫЕДАННЫЕ

Изначально мне был доступен SSH на настроен-
ном Pwn и несколько ограниченный сетевой сег-	1
мент. После проведения некоторых изысканий
исходные данные были расширены до несколь-
ких сетей класса C. Итого мы имеем неплохую
площадку для внутреннего сканирования. На-
верняка у каждого из вас существуют свои по-
следовательности how to crack internal perimeter,		WARNING
поэтому сразу скажу, что я привожу последова-
тельность своих действий, благодаря которой
я смог получить результат, имея уже определен-		Вся информация предо-
ные исходные данные.		ставлена исключительно
ПЕРВЫЕИЗЫСКАНИЯ		в ознакомительных
		целях. Лица, использую-
Первым делом я запустил Nmap для скана од-		щие данную информацию
ной из найденных подсетей. Меня в первую		в противозаконных целях,
очередь интересовали открытые веб-порты, так		могут быть привлечены
как остальные сервисы можно будет пустить		к ответственности.
в фоновом режиме на полуавтоматические
сканы, брутфорсы и так далее, вплоть до того,
что оставить все на ночь и утром посмотреть ре-
зультаты. Запускаем быстрый скан на подсеть
и проверяем 1000 стандартных портов:		Рис. 1. Фильтруем порты в Zenmap
nmap -sS -T5 -v -v -oA 10.0.0.0-24		Рис. 2. Структура JNLP-файла

-Pn 10.0.0.0/24

Так как данный скан будет содержать не толь-			2
ко веб-порты, необходимо отфильтровать наши
результаты. В Zenmap вводим фильтр op:80 или
op:443 для быстрой проверки (рис. 1).

FOLLOWTHEWHITERABBIT

Проходим по найденным хостам и отсеиваем среди них те, что нам неинтересны. На одном из хостов я нашел достаточно необычный лэндинг. Его необычность заключалась в том, что поверх обоев сайта была натянута форма с несколькими ссылками на скачивание:

1. Cкачать версию Java 1.x.

2. Cкачать клиент для локальной сети.

3. Cкачать клиент для внешней сети.

В дальнейших опытах я установил, что предложение скачать и установить определенную версию Java имело очень глубокий смысл. Об этом чуть дальше.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 78						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 11 /190/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Web Start. В конечном итоге после за-

клиента с окном авторизации по факту

пуска такого файла среда JRE должна

ничего не давал. Но, возвращаясь не-

загрузить

JAR-архивы

приложения

много назад, скажу, что между первыми

на компьютер, определить имя главно-

неудачными попытками запустить кли-

го класса приложения, после чего, соб-

ент и выработкой правильного решения

ственно, и запустить само приложение

меня посетила мысль: а что, если по-

(см. рис. 2).

смотреть, что внутри папки codebase,

На рисунке выделены основные эле-

вдруг там включен листинг директо-

менты структуры файла:

рии и я смогу удобно скачать все JAR-

1. Codebase отвечает за то, откуда JRE

файлы себе на машину, чтобы проана-

будет загружать JAR-архивы.

лизировать их и, может, найти что-то

J2se задает параметры для запуска

ценное?

Java-приложения, включая версию,

Переходя

по URL,

хранящемуся

размер кучи и прочее.

в codebase у JNLP-файла, я нашел,

Property

задают

дополнительные

что действительно был включен листинг

свойства для приложения, их может

директории. Файлов

было достаточно

быть разное количество в зависимо-

много, и нужно было с чего-то начинать.

сти от самого приложения.

Мой выбор пал на несколько файлов, на-

Jar задает название JAR-архива, ко-

звания которых указывали на то, что они

торый

будет загружаться, причем

осуществляют

работу с

терминалом,

в href будет находиться относитель-

либо SSH.

ный URL для codebase, main говорит

Далее началась

полная классика

о том, является ли класс главным,

жанра. В одном из архивов нахожу те-

download говорит о необходимости

стовый класс с определенно тестовым

загрузки.

названием test, где сразу срываю джек-

пот (рис. 6).

Так как доступ во внутреннюю сеть

Как видно из рисунка, разработчики

через

Pwn

достаточно

витиеватый,

пытаются соединиться с сервером, ис-

то для успешного скачивания всего нам

пользуя логин и пароль, который, кстати,

было

необходимо изменить значение

передают через HTTP (!!!) в URL, и если

codebase

на

127.0.0.1

указать порт,

так у них не получилось авторизоваться,

через который мы туннелировали себя до данного URL. Так-	Рис. 3. Загрузка JNLP-	то лезем на сервер через другой скрипт, куда пихаем UUID,
же необходимо было изменить все property и создать SSH-	приложения	но если и так не получилось, то просто говорим, что жизнь
туннели до useServerAddr.		не удалась.
Как всегда, на словах и схемах все просто, на деле 150	Рис. 4. Верифицируем	Проверяем, работают ли ссылки, и получаем положитель-
отладок. Дело в том, что когда JRE, используя данный файл,	и запускаем прило-	ный результат. Как и было обещано — классика жанра, легкие
через туннель соединилась с сервером codebase, то, по всей	жение	уязвимости, компрометация сервера.
видимости, началось использование адресов, записанных		Но и это оказалось не все. Пробуем подключиться к хосту,
application.jnlp, который находился на самом сервере. Есте-	Рис. 5. Окно авто-	где мы нашли все это добро, по SSH.
ственно, что локально мой компьютер их просто не видел	ризации скачанного	Комбинация логина и пароля из нашего тестового класса
и загрузка через туннель была невозможна. Данная пробле-	приложения	не сработала, но в другом JAR-архиве я нашел еще одно имя
ма решается достаточно просто: берем оригинальные URL		пользователя и пару адресов.
из codebase и property и делаем статическую nat-трансляцию	Рис. 6. Самый безопас-	Далее последовала логика: у нас было несколько IP-
через iptables:	ный класс на свете	адресов, пара имен пользователей, один пароль и не очень

			6

#iptables -t nat -A PREROUTING -s 192.168.1.1 -p tcp --dport 1111 -j DNAT --to-destination 2.2.2.2:1111

Скажу честно, решения для Windows я так и не придумал, поэтому переключился на виртуалку, где все и провернул.

Теперь немного о том, почему версия Java имела сакральный смысл. Как известно, BackTrack и Kali имеют свою версию JRE и вообще тонкий душевный характер. Произведя всю настройку, я начал загружать приложение в нативной для ОС среде и напоролся на не очень дружелюбный интерфейс и некоторые ошибки при валидации самого приложения (рис. 3).

После того как я установил на BackTrack рекомендуемую версию Java, проблема разрешилась, и я смог скачать и запустить то, что было необходимо (рис. 4). И вот наконец я получил долгожданное окно авторизации (рис. 5).

ОДИНПАРОЛЬ,ЧТОБЫОБЪЕДИНИТЬИХВСЕХ

Решение с nat-трансляцией и установкой правильной версии JRE на BackTrack пришло не сразу, да и просто запуск

много комбинаторных вариантов, чтобы все это попробовать. В конечном итоге оказалось, что второе имя пользователя, которое я нашел в другом архиве, и пароль подходили ко всем вышеперечисленным адресам.

ЗАКЛЮЧЕНИЕ

На примере реального проекта я показал, как связка из разных мелких и на первый взгляд незначительных уязвимостей может привести к компрометации большого количества сервисов у ваших клиентов в процессе выполнении аудита безопасности.

В конечном итоге собранной информации нам с командой хватило, чтобы захватить дополнительный ряд серверов, производя дальнейшие исследования периметра сети со стороны уже скомпрометированных серверов все с тем же паролем, получить доступ в базы данных, а также полный рут. Кстати, если говорить о базах данных — пригодилась отличная классика чтения bash_history файлов. Думаю, ее нет смысла описывать подробно, ведь все упирается в твою внимательность или удачу :). Желаю всем успешных аудитов и не менее интересных хакстори.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 79ХАКЕР 11 /190/ 2014
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

IPv6 под прицелом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			79
ХАКЕР 11 /190/ 2014
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Александр Дмитренко, PentestIT sinister@pentestit.ru

LingHK@shutterstock.com

IPV6ПОД ПРИЦЕЛОМ

СКРЫТЫЕ УГРОЗЫ НОВОЙ ВЕРСИИ ПРОТОКОЛА IP

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Лица, использующие данную информацию в противозаконных целях, могут быть привлечены к ответственности.

Казалось бы, зачем сейчас вообще вспоминать про IPv6? Ведь несмотря на то, что последние блоки IPv4-адресов были розданы региональным регистраторам, интернет работает без каких-либо изменений. Дело в том, что IPv6 впервые появился в 1995 году, а полностью его заголовок описали в RFC в 1998 году. Почему это важно? Да по той причине, что разрабатывался он без учета угроз, с той же доверительной схемой,

что и IPv4. И в процессе разработки стояли задачи сделать более быстрый протокол и с большим количеством адресов, а не более безопасный и защищенный.

<<< < Предыдущая 1 2 3 4 5 6 78 / 158 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202423.69 Mб12185_Optimized.pdf
#
20.04.202425.1 Mб12186_Optimized.pdf
#
19.04.202429.32 Mб13187_Optimized.pdf
#
20.04.202419.96 Mб12188_Optimized.pdf
#
20.04.202432.08 Mб12189_Optimized.pdf
#
20.04.202430.24 Mб12190_Optimized.pdf
#
20.04.202427.6 Mб12191_Optimized.pdf
#
19.04.202425.3 Mб12192_Optimized.pdf
#
19.04.202433.24 Mб12193_Optimized.pdf
#
19.04.202455.88 Mб12194_compressed.pdf
#
20.04.202417.37 Mб12195_Optimized.pdf