книги хакеры / журнал хакер / 097_Optimized

query = GetPrinterData() value = «blah _ blah\x00» query['handle'] = handle query['value'] = B2()

query['value']['max'] = len(value) query['value']['actual'] = len(value) query['value']['str'] = value. encode('utf _ 16 _ le') query['offered'] = memory _ size

Поиск по сайту Microsoft дает всего лишь одну ссылку на OpenPrinterEx, вскользь упоминаемую при описании структуры PRINTPROVIDOR в DDK и реализуемую драй­ вером принтера: http://msdn2.microsoft.com/ en-us/library/aa506552.aspx. Чуть-чуть более подробное описание содержится в техничес­ кой документации на Самбу (смотри раздел

«Samba Printing Internals», http://samba.org/ samba/docs/man/Samba-Developers-Guide/ devprinting.html). После его прочтения становится ясно, что exploit вызывает OpenPrinterEx через механизм удаленного вызова процедур — Remote Procedure Call (RPC) — без обращения к WINSPOOL.DRV.

Собственно говоря, и в самой WINSPOOL. DRV функция OpenPrinter реализована через

RPC.

Фрагмент WINSPOOL.DRV, реализующий функцию OpenPrinter через механизм RPC sub _ 777D47B9 proc near

arg _ 0 = dword ptr 4

lea eax, [esp+arg _ 0]

push eax

push offset dword _ 777D1AD8 push offset off _ 777D1A28 call NdrClientCall2

add esp, 0Ch retn 14h

endp

При создании exploit'а на эти тонкости можно не обращать внимания, достаточно лишь взять любой сырец, печатающий на принтере через NetBIOS (в смысле, удаленно), и сразу же после OpenPrinter/OpenPrinterEx воткнуть вызов GetPriterData с некорректным значе­ нием nSize. Какая, в конце концов, разница, какие механизмы задействует Windows и ка­ кие функции при этом реально вызываются! Главное, что незалатанный спулер печати падает. А это — хорошо! Ну, кому то, может быть, и хорошо, а тому, кто падает, как то не очень. Особенно, если падать приходится много раз на дню при печати многостранич­ ного документа. Но как только мы захотим заштопать систему своими руками, абстра­ гироваться от анатомических подробностей внутренней реализации Windows уже никак не получится.

На первый взгляд, проблема решается легкой правкой WINSPOOL.DRV: ставим в начало функции GetPrinterData переходник на свободное место, достаточно просторное для размещения нескольких машинных команд, проверяющих корректность аргумента nSize. Естественно, придется скорректировать кон­ трольную сумму файла WINSPOOL.DRV при

помощи утилиты EDITBIN.EXE, входящей в состав SDK, и усмирить SFC путем копиро­ вания исправленной версии WINSPOOL.

DRV в WINNT\System32\dllcache (естест­ венно, делать это надо при выключенном SFC, или загрузившись с другой системы). Вот только эффект от проделанной операции будет, мягко говоря, ну­ левой. А все потому, что WINSPOOL.DRV используется только локально, а при печати по NetBIOS все вызовы идут через RPC, и перехватывать следует NdrClientCall2 из RPCRT4.DLL. Ее описание отсутствует в SDK, но, к счастью, IDA Pro знает ее прототип:

CLIENT _ CALL _ RETURN _ imp _

NdrClientCall2(PMIDL _ STUB _ DESC pStubDescriptor, PFORMAT _ STRING pFormat, …)

Здесь pFormat — указатель на строку аргументов, описывающих вызываемый метод и его параметры. В частности, метод GetPrinterData проходит под кодовым обоз­ начаем 1Ah и передается в шестом, считая от нуля, байте форматной строки (которая, на самом деле, никакая не строка, поскольку содержит внутри себя нули и прочие непечат­ ные символы). Параметр nSize передается через стек следующим образом:

Вызов GetPrinterData через механизм RPC push [ebp+pcbNeeded]

push [ebp+nSize] push [ebp+pData]

Таким образом, в момент вызова функции NdrClientCall2 указатель на параметры лежит в стеке по смещению [ESP-0Ch], а по смещению +14h от его начала находит­

ся nSize, который мы и должны проверить на корректность. Но прежде необходимо проанализировать указатель на форматную строку, находящуюся в стеке по смеще­ нию [ESP-08h], убедившись, что шестой байт равен 1Ah, то есть вызывается метод GetPrinterData, а не что то иное. Написать ассемблерный код труда не составит, и каждый сможет это сделать сам. Главное

— не забывать о проверках на нулевые указатели, чтобы, исправляя одну ошибку, не создавать на ее месте десяток новых. Также проверочный код нельзя размещать в секции данных — хоть там полно свободного места, но на машинах с аппаратной поддержкой DEP это работать не будет и тут же возникнет исключение. ПосколькумеханизмRPC—это, фактически,фундамент,накоторомбазиру­ етсяWindowsNT,правитьRPCRT4.DLLстоит с огромной осторожностью, поскольку, если он окажется поврежденным, загрузить систему не удастся. С другой стороны, при правке файла на диске мы всегда сможем сделать откат, воткнув винчестер с повреж­ денной NT в компьютер вторым или вос­ пользовавшись консолью восстановления (находится на дистрибутивном CD) и скопи­ ровав оригинальный RPCRT4.DLL поверх исправленного.

Вкачествеальтернативноговариантаможно воспользоватьсяправкойRPCRT4.DLL в памяти по методике, описанной в статье «Метафизика wmf-файлов». Для этого прописываем в следующей ветке реес­ тра HKLM\Software\Microsoft\Windows

NT\CurrentVersion\Windows\AppInit_DLLs

специально созданную для этих целей динамическую библиотеку, которая будет отображаться на адресное пространство каждого процессора. Внутри DllEntry мы выполняем загрузку RPCRT4.DLL через LoadLibrary, правим ее, и все! Если прило­ жение не использует RPCRT4.DLL

(что маловероятно), мы просто теряем немного памяти. Если же приложение подгружает RPCRT4.DLL, через таблицу импорта или через LoadLibrary (что намного более вероятно), оно просто от­ сылается к уже загруженной (и исправлен­ ной) копии RPCRT4.DLL, и хакер не имеет никаких шансов атаковать систему! Естественно, по сравнению с правкой на диске, время загрузки файлов и потреб­ ность системы в памяти ощутимо возрас­ тут, а риск угробить систему останется все тот же. Если динамическая библи­ отека, осуществляющая правку, будет реализована с ошибками, система упадет прежде, чем загрузится пользовательский интерфейс, и для исправления ситуации придется прибегнуть к помощи все той же консоли восстановления, удаляя нашу динамическую библиотеку. Впрочем, это уже детали.

Главное, что изготовление заплаток своим силами вполне возможно, и пока другие ждут помощи от Microsoft, правильные хакеры защищаются самостоятельно (за­ латанный RPCRT4.DLL из за лицензионных ограничений к статье не прилагается :)).z

sklyaroff@mail.ru www.sklyaroff.ru

P Q: Яначинающий,поэтомуизвинитезаглупыевопросы.

1.ЕслизапуститьнасервереBackDoor(Shell),каккнему коннектиться? 2.Послеконнекта,какяпонял,яполучу доступкжесткому дискуудаленногокомпьютера?

3.Какможноиспользоватьоткрытыйпортвкачестве прокси сервера?

P A: Отвечаю на твои вопросы по порядку.

1. Все зависит от типа бэкдора, потому что существуют TCP-бэкдоры, UDP-бэкдоры, wakeup-бэкдоры, бэкдоры connect back, бэкдоры с шифрованием трафика и пр.

С каждым из них соединение устанавливается по разному. Но я так понимаю, ты ведешь речь о самом простом и рас­ пространенном Bind Shell TCP-бэкдоре без шифрования трафика, который открывает TCP-порт на захваченной ма­ шине и ждет подключения. С таким бэкдором соединение устанавливается посредством обычной программы telnet, которая стандартно устанавливается во всех версиях Windows и Unix. Как пользоваться telnet, читай в help или в мануалах в инете.

2. Да, после удачного коннекта ты получишь доступ к жесткому диску удаленного компьютера. Если удаленная машина является Windows-машиной, то тебе следует знать консольные Windows-команды, если Linux-машиной, то консольные Linux-команды.

3.Правильнее говорить не «открытый порт в качестве прок­ си сервера», а «взломанная машина в качестве прокси сер­ вера». Для этого тебе необходимо на взломанной машине установить программу — прокси сервер. Для этих целей хорошо подходит программа 3proxy (http://security.nnov.ru/ soft/3proxy) от русского хакера ЗАРАЗА. Эта программа является многоплатформенной, то есть может работать под Windows и Unix. Подробное описание программы и коммен­ тарии по ее установке смотри на сайте автора.

P Q: ЧтотакоеProtectedStorageвWindows?

P A: Protected Storage (в переводе с английского — «защищен­ ное хранилище») — это системный механизм, предна­ значенный для хранения секретных данных, таких как закрытые ключи, для предотвращения несанкционирован­ ного доступа служб, процессов или пользователей. Также там обычно хранятся локальные пароли и веб-информация (автозаполнение). Обычно в Protected Storage можно найти пароли и логины к электронным ящикам, форумам, чатам, web-магазинам и прочим web службам. По умолчанию в

Windows 2000/XP/2003 служба Protected Storage включена в автоматическом режиме (процесс lsass.exe). Физичес­ ки данные Protected Storage расположены в следующей

ветке реестра (запускай regedit): HKEY_CURRENT_USER\ Software\Microsoft\Protected Storage System Provider. Чтобы просмотреть этот раздел, может понадобиться установить для него полный доступ (раздел Permissions меню правой кнопки мыши).

Существуют специализированные программы для чтения данных из защищенного хранилища, например Protected Storage PassView (www.nirsoft.net/utils/pspv.html) и Protected Storage Explorer (www.forensicideas.com/psexplorer2.htm).

P Q: Хочунаучитьсякрякатьпрограммы,пробовалзапус-

катьSoftICEиничегонепонял.Счегоначать?

P A: Самое первое и главное — изучи ассемблер. Не обязательно быть профессиональным программистом на ассемблере, но знать основные команды, регистры, способы адреса­ ции и выполнения основных операций (арифметические, циклы, ветвления, вызов подпрограмм и пр.) просто необ­ ходимо. Советую тебе начать с рассылки Олега Калашни­ кова «Ассемблер? Это просто! Учимся программировать» (www.kalashnikoff.ru). Можно приобрести его же книгу, написанную по материалам рассылки с одноименным на­ званием. В дополнение советую приобрести еще несколь­ ко книжек по ассемблеру таких авторов, как Юров, Зубков, Магда, Пирогов, Рудаков. Кроме ассемблера, на пользу может пойти изучение языков высокого уровня: Си, С++, Visual Basic, Delphi и др. Без этого профессиональным крякером не стать, но на начальном этапе можно обойтись

ибез знания языков высокого уровня. Непременно следует ознакомиться с основными инструментами крякера, ищи в инете мануал «SoftICE Руководство пользователя» (в ори­ гинале «Using SoftICE»), а также мануалы от Ильфака Гу­ ильфанова (Ilfak Guilfanov), создателя дизассемблера IDA (есть на русском языке). Дополнительно можешь посмот­ реть статьи на www.cracklab.ru и книги «Образ мышления

— дизассемблер IDA», «Фундаментальные основы хакерс­ тва. Искусство дизассемблирования» Криса Касперски

и«Отладчик SoftICE» Айрапетяна. После этого начинай пробовать ломать программы на примерах из тех же статей с www.cracklab.ru, а также из книги «Техника и философия хакерских атак» Криса Касперски (эта книга имеет два издания, которые существенно отличаются). Без вся­ кой ложной скромности рекомендую тебе свою книгу «Головоломки для хакера», в шестой главе которой ты сможешь найти множество созданных мной CrackMe и либо попробовать самостоятельно поломать их, либо посмотреть в ответах, как это делается. Эта глава оптимально подходит для начинающих, позволяя поз­

накомиться со многими крякерскими инструментами на конкретных любопытных примерах.

P Q: ХочунаучитьсяписатьруткитыподWindows,нону-

женDDK,гдееговзять?

P A: DDK (Driver Development Kit — «Комплект разработчика драй­ веров») изначально распространялся Microsoft бесплатно, затем какое то время она требовала за него (а точнее, за доставку на CD) денежку. Сейчас последняя на момент на­ писания этих строк версия Windows Server 2003 DDK вновь распространяется бесплатно (ISO-образ весит 236 Mб). Она поддерживает платформы Windows Server 2003, Windows XP SP1 и Windows 2000. Если тебе сложно выкачать такой объем, то советую воспользоваться сервисом «Файлы почтой» (http://filepost.ru).

P Q: Какпринудительновызвать«синийэкрансмерти»

(BSOD—BlueScreenOfDeath)вWindowsXP?

P A: Для этой задачи хорошо подходит комплект утилит от Свена Шрайбера, автора известной книги «Недокументиро­ ванные возможности Windows 2000». Исходники к этой книге можно скачать с сайта издательства «Питер» или по следующему адресу: http://irazin.ru/Downloads/BookSamples/ Schreiber.zip. В них ты найдешь драйвер w2k_kill.sys, кото­ рый, собственно, и вызывает «синий экран». Для его запуска нужно использовать динамический загрузчик w2k_load.exe, также созданный Шрайбером, то есть в командной строке выполнить команду «w2k_load.exe w2k_kill.sys», после чего

Windows XP успешно повиснет с BSOD.

Существуют утилиты, которые просто имитируют BSOD, например BlueScreen от Марка Руссиновича. Раньше у Руссиновича был свой сайт www.sysinternals.com, но сейчас он полностью переехал на сайт Microsoft, поэтому утилита расположена по следующему адресу: www.microsoft.com/ technet/sysinternals/Miscellaneous/BlueScreen.mspx.

P Q: Давносуществуютавтоматическиеконструкторы

вирусов,аестьлипрограммыдляавтоматическогоконс- труированияэксплойтовилишелл-кодов?

P A: Разумеется, например, известный онлайновый сервис

«Metasploit Framework Web Interface», который расположен по адресу http://metasploit.com. Выбираешь в меню тип экс­ плойта (Bind Shell, Reverse Shell, Add User и пр.), платформу,

операционную систему, программу для эксплуатирования. Задаешь параметры эксплойта: максимальный размер в байтах, номер порта, тип кодирования и пр. Нажимаешь кнопку «Generate», и эксплойт, или шелл-код, готов! Также на сайте ты найдешь все для профессиональной разработ­ ки эксплойтов: статьи, специальные утилиты, базу данных опкодов и многое другое.

P Q: Яузналпрокакой тоновыйметодвзломахэшейпод

названиемRainbow,немогбытыобъяснить,вчемсуть этогометода?

P A: Напомню, что хэши получаются в результате работы одно­ направленных хэш-функций. Популярными алгоритмами хэширования являются CRC, DES, MD5, SHA, Blowfish.

Как правило, хэширование используется для сокрытия паролей хранящихся в базах данных систем аутентифика­ ции. Так как хэш-функции являются однонаправленными, не существует обратных функций, которые могли бы вос­ становить пароли из хэшей. Системы аутентификации же работают следующим образом: введенный пользователем пароль хэшируется известным алгоритмом и сравнивает­ ся с хэшами, хранящимися в базе данных; если соответс­ твие обнаруживается, то был введен правильный пароль. Поэтому основным методом взлома хэшей всегда был банальный перебор. Программа-брутфорсер на каждой итерации хэшировала известным алгоритмом буквенноцифровую последовательность и сравнивала полученный хэш с имеющимся, и если соответствие обнаруживалось, то это означало, что данная буквенно-цифровая последо­ вательность и являлась паролем. При этом стоит отметить, что одному хэшу, вполне вероятно, может соответствовать множество различных буквенно-цифровых последова­ тельностей. Поэтому правильнее говорить, что взлом хэша — это поиск коллизии, а не исходного пароля. Как ты понимаешь, перебор может занять количество времени, сравнимое с жизнью Вселенной. Поэтому умные люди решили создать сортированные таблицы хэшей и соот­ ветствующих им паролей, в результате чего получилась система, которая с помощью быстрого бинарного поиска по таблице может получать обратное преобразование хэша в пароль для любого существующего алгоритма хэ­ ширования. Но так как таблицы всех возможных паролей занимают на дисках слишком много места, был исполь­ зован оригинальный формат таблиц: хэши собираются в цепочки по несколько тысяч комбинаций. Каждая следу­ ющая комбинация получается из предыдущей очередным применением той же функции хэширования. В таблицы записывается только начало и конец каждой такой цепоч­ ки. Для того чтобы найти пароль по такой таблице, нужно применить к заданному хэшу точно так же функцию хэши­ рования несколько тысяч раз (в зависимости от использу­ емой длины цепочек), и на очередной итерации получим хэш, который является концом одной из цепочек в наших таблицах. После этого эта цепочка заново прогоняется от начального до нужного нам хеша и находится комбинация, предшествующая нашему хэшу, — это и есть искомый пароль.

Такие таблицы назвали Rainbow Tables («Радужные таблицы»), отсюда и название метода. С одной стороны, они имеют объем в тысячи раз меньше обычных таблиц, содержащих все возможные пароли, с другой — позволя­ ют найти за несколько минут обратное преобразование любого алгоритма хэширования, если искомый пароль был просчитан заранее в этих таблицах.

Существует несколько независимых проектов, кото­ рые хранят и постоянно пополняют таблицы хэшей и на которых можно быстро в онлайне осуществить преобра­ зование «хэш <-> пароль» или скачать необходимые для этого программы. Вот адреса самых известных проектов:

http://rainbowcrack.com, www.antsight.com/zsl/rainbowcrack, http://passcrack.spb.ru. z