Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

054_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

16.21 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 128 9 10 11 12 > Следующая >>>

hang

NOW!

BUY

w Click

В строке адрес взломщик забивает адрес атаку-

ролем для роутера у взломщика в руках. В смыс-

df-xchan

df-x chan

емой тачки, порт - 23. На роутере получает хелп

ле - в открытом тексте :).

по командам "?" (в роутерах команды разнятся,

Уязвимость была обнаружена в маршрутизато-

так что придется ориентироваться на местнос-

рах модели D-Link DSL Broadband Modem. Уста-

ти), быстро листает файлы и отправляет на свой

новка программного обеспечения по умолчанию

IP на порт 23 все подозрительные :).

устанавливает и активизирует службу SNMP

HyperTerminal спросит его, стоит ли принимать

(Simple Network Management Protocol) с общими

файлы, на что, разумеется, надо ответить "Да".

именами, оставленными по умолчанию. Если

Теперь отваливает из сети и, не спеша, наслаж-

создать Telnet-сессию и войти в систему с име-

даясь каждой секундой, скармливает файлы лю-

нем "public", то можно получить доступ с пра-

бимому Джонни (John The Ripper). Все! Теперь

вами чтения всех чувствительных данных о се-

одним рабом в сети стало больше ;). Но мерз-

ти. Если же войти с именем "private", то полу-

кий хакер помнит, что лень админов ему только

чаешь полный доступ чтения/записи ко всем

на руку, да и совковое мышление все еще рулит

параметрам маршрутизатора.

- ну не может наш человек понять, что железо

U.S.Robotics Broadband-Router 8000A. Уязвимость

тоже можно обновлять через сеть.

находится только в данной модели маршрутиза-

тора, основана она на неправильной обработке

исключительных ситуаций. Открыв Telnet-сессию

с маршрутизатором и отдав ему GET-запрос,

можно будет удаленно завершить работу маршру-

Telnet нам в помощь

тизатора и перезагрузить его.

Shiva AccessPoint routers. Тут народ отрыл при-

Как ты, наверное, знаешь, весь основной хак роу-

кольную фичу - после отсылки UDP-пакета, в ка-

теров происходит с использованием стандартней-

честве полезной нагрузки которого находится

ших прог виндов, что, несомненно, должно пора-

следующая строка: 44 49 52 4b 02 01 01 00 (тут

довать будущего хакера-ленивца :). Как я упоми-

пишешь потребный IP-адрес в HEX), адрес роуте-

нал в прошлом номере, основная тупость адми-

ра изменится НА УКАЗАННЫЙ. Правда, круто? :)

нов как была, так и остается одной: использова-

Cisco UBR900. Здесь тот же прикол, что и в D-

ние паролей по дефолту и нежелание обновлять

Link. Используя вышеуказанные сетевые имена,

ПО. Ты не поверишь, насколько часто, по роду

можно будет получить полный доступ к настройке

своей профессии, я сталкиваюсь с этими лама-

IOS. Похоже, что код для обоих роутеров писал

размами. Так что хакеру рекомендуется раздо-

один и тот же человек.

быть хороший список дефолтовых паролей для

Опять же, на практике я не раз видел, что ряд ро-

роутеров, в сети их предостаточно. Также хакера

утеров хранят пароли в открытом виде (в конфи-

может ломать что-либо делать вообще, и он хочет

гурационном файле), так что если у хакера есть

просто замочить зло-роутер, тогда в атаку идут

физический доступ к роутеру, то имеет смысл по-

эксплоиты. Вот пример одного:

шерстить его файлы на предмет пассов...

http://packetstormsecurity.org/cisco/cisconuke.c. Ïî

Роутеры от Сisco. Юзая строчку

завершении компиляции получится нюкер для ро-

http://ip_routera/level/chislo/exec/... (ãäå chislo -

утеров от Cisco :).

цифра между 16 и 99), можно получить полный

админовский доступ.

ОДИН БАГ ХОРОШО, А N! БАГОВ ЛУЧШЕ

Вот, в общем-то, и все. Это одни из самых расп-

Теперь галопом по Европам. Вот кучка багов с

ространенных ошибок. Ими хакеры и пользуются

общей концепцией эксплоитинга. Свитчи Cisco

в своих мерзких злодеяниях. Так что, если ты яв-

Catalyst 5000 Series Ethernet, Catalyst 1200,

ляешься админом какой-нибудь сетки с роутера-

Catalyst 2900, Catalyst 5500. Посылая на открытый

ми, тебе стоит призадуматься, все ли у тебя гра-

порт символ возврата каретки, хакер заставляет

мотно настроено. Поэтому впитывай полученную

его размышлять о смысле бытия :).

информацию, и вперед, добиваться

Любой роутер от Сisco, на котором включена фи-

новых высот в плане безопасности!

ча IOS HTTP. Попробовав постучать на http://<ip-

routera>/%%, получаешь нокдаун роутера.

Cayman 3220-H DSL Router. Как и в вышеописан-

ном случае, в бой пошли большой логин

и гигантский пароль. Роутеру этого бу-

Ахтунг!

дет достаточно.

Cisco 2500 Series. Банальный флуд.

Шлешь кучу UDP-пакетов с левыми об-

Хочу предупредить, что ес-

ратными адресами на порт #7.

ли ты захочешь применить

Любая циска с IOS 11.2A и с любой вер-

эти знания на практике на

сией из трэйла 12.0.х. Здесь та же песня:

какой-нибудь чужой тачке,

куча битых UDP-пакетов на порт #514 и -

ты попадаешь под УКРФ.

вуаля.

Так что за последствия

Cisco Secure Access Control Server äëÿ âèí-

применения того, что

дов. Сервис на порту #2002 подвержен

здесь написано, будешь

переполнению буфера. Комментарии из-

нести ответственность ты

лишни :).

и только ты. Все нижесле-

Роутер NB1300: FTP-сервер с WAN-ин-

дующее можно использо-

терфейсом. То ли пасс сменить гимор-

вать только в образова-

íî, òî ëè åùå ÷òî-òî, íî ôàêò - ÿ åùå íå

тельных целях и только в

встречал таких роутеров с логином и па-

своей локалке :). Внял? А

ролем, отличными от admin:password :).

теперь понеслось!

Команда "get config.reg" - и логин с па-

5 Взлом

6 Юниксоид 7 Кодинг

hang

NOW!

BUY

w Click

Взлом

-xcha

ПРОВАЙДЕР В ДОМАШНИХ УСЛОВИЯХ

Andrushock (andrushock@real.xakep.ru)

ХАКЕР\¹54\Июнь\2003

ÂÈ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ВСЕ ЧТО ТЫ ХОТЕЛ ЗНАТЬ О НАСТРОЙКЕ DIALIN-СЕРВЕРА

Еще пару лет назад никто не мог предположить, что объемы передаваемой информации настолько возрастут, модемной скорости будет не хватать, а эти чуждые прежде слова: ISDN, Frame Relay, радиолинк будут ласкать наш слух и станут родными. Вот, наверное, уже и у тебя в школе/универе/конторе обзавелись выделенным каналом. Хмм... Ты еще не придумал, как этим можно выгодно воспользоваться? Тогда давай я тебе немного помогу: два модема, халявный трафик, удаленный доступ по расписанию, пиво с друзей. Если у тебя после прочтения последних слов загорелись глаза, участилось сердцебиение, закивала голова :), то быстрее доставай пароч- ку модемов - сегодня мы замутим свой собственный одноканальный модемный пул!


		- утилита chat, используемая для установки сое-	Solaris, /etc/master.passwd â Free/Net/OpenBSD).
	<СХВАТКА ¹1: PPP VS SLIP>	- утилита chat, используемая для установки сое-	Solaris, /etc/master.passwd â Free/Net/OpenBSD).
	В настоящее время протокол двухточечного сое-	динения - набора номера абонента в автомати-
	В настоящее время протокол двухточечного сое-	ческом режиме.	Работа по протоколу CHAP происходит гораздо
	динения PPP (Point-to-Point Protocol), предназна-		интересней: сервер высылает клиенту вместе со
	ченный для передачи IP-пакетов через последо-	К недостаткам протокола PPP можно отнести не-	своим именем хоста рандомно сгенерированный
	вательную связь, пришел на смену более медлен-	надежность канала, довольно низкую скорость пе-	секретный ключ. Клиент, получив имя и ключ, на
	ному и менее эффективному протоколу SLIP	редачи данных (до 56 Кбит/сек) и существенное	их основе создает, в свою очередь, собственный
	(Serial Line Internet Protocol - межсетевой прото-	ограничение на количество компьютеров - всего	шифр и возвращает его для опознавания серверу,
	кол для последовательного канала) и CSLIP	лишь два хоста способны одновременно участво-	и только после этого происходит вход пользова-
	(Compressed SLIP - протокол SLIP с возмож-	вать в сеансе связи по этому протоколу	теля в систему. Во время сеанса, через опреде-
	ностью сжатия TCP заголовков всего до трех	(собственно, поэтому создать локальную сеть, ис-	ленные промежутки времени, сервер генерит и
байт), давно разработанных Риком Адамсом и Ва-		пользуя этот протокол, никоим образом не удаст-	посылает клиенту ключики, а затем сверяет полу-
ном Джекобсоном.		ся, несмотря на то, что PPP обеспечивает все	ченные хэши, чтобы убедиться в его (клиента)
	Протокол PPP состоит из трех элементов:	функциональные возможности Ethernet).	подлинности. Однако в системе пароли пользова-
	Протокол PPP состоит из трех элементов:		телей хранятся открытым текстом в файле
	- протокола HDLC (High-level Data Link Control -	<СХВАТКА ¹2: PAP VS CHAP>	/etc/ppp/chap-secrets.
	управление передачей данных высокого уровня),
	определяющего структуру и 16-битную контроль-	Для аутентификации пользователей по протоколу	Все же, несмотря на некоторые преимущества
	ную сумму PPP-пакетов;	PPP обычно используется один из двух типов	CHAP, подавляющее большинство провайдеров
	- протокола LCP (Link Control Protocol - протокол	опознавания - это PAP (Password Authentication	до сих пор используют протокол PAP. Как прави-
	управления каналом), занимающегося согласова-	Protocol - протокол парольного опознавания), ли-	ло, CHAP чаще применяют для аутентификации
нием опций, установлением и тестированием со-		áî CHAP (Challenge Handshake Authentication	клиентов для получения доступа в виртуальные
	единения на канальном уровне;	Protocol - протокол опознавания вызова установ-	частные сети.
	- протокола NCP (Network Control Protocol - про-	ления связи).
	токол управления сетью), необходимого для взаи-		<СХВАТКА ¹3: GETTY VS MGETTY>
	модействия с сетевыми протоколами.	При использовании первого протокола не проис-
	Для работы PPP используются следующие три	ходит ничего сверхъестественного: клиент отп-	При загрузке операционной системы одной из
	Для работы PPP используются следующие три	равляет свою учетную запись и пароль серверу,	главных функций демона init является порожде-
компонента операционной системы:		который сравнивает их c записями либо из своей	ние отдельного процесса специальной программы
	- драйвер HDLC (входит в ядро ОС), управляю-	базы данных (файл /etc/ppp/pap-secrets, пароли	getty (сокращение от двух слов "get tty" - "полу-
	щий потоком данных по каналу связи;	хранятся plaintext'ом), либо с помощью функции	чить tty"), которая устанавливает характеристики
	- демон pppd, выполняющий основные функции	crypt() с записями из теневого файла паролей	последовательных устройств, выдает на экран мо-
	PPP;	операционной системы (/etc/shadow в Linux и	нитора prompt (регистрационное приглашение) и

70 Ньюсы 1 Феррум 2 Inside 3 PC_Zone 4 Implant

General setup --->

Networking support (CONFIG_NET) [y]

Networking options --->

TCP/IP networking (CONFIG_INET) [y]

Network device support --->

Network device support (CONFIG_NETDEVICES) [y] Dummy net driver support (CONFIG_DUMMY) [y] PPP (point-to-point) support (CONFIG_PPP) [m]

PPP support for async serial ports (CONFIG_PPP_ASYNC) [m] PPP Deflate compression (CONFIG_PPP_DEFLATE) [m]

PPP BSD-Compress compression (CONFIG_PPP_BSDCOMP) [m]

Loadable module support --->

Enable loadable module support (CONFIG_MODULES) [y]

Set version information on all module symbols (CONFIG_MODVERSIONS) [y]

Kernel module loader (CONFIG_MODVERSIONS) [y]

Далее вырабатываем файл зависимостей, удаляем временные и объектные файлы, создаем сжатый образ ядра, компилируем и устанавливаем модули:

# make dep clean bzImage modules modules_install

Копируем свежеиспеченный кернел вместе с map файлом в загрузочный каталог, не забывая затем озадачить бут менеджер новым ядром:

# cp arch/i386/boot/bzImage /boot/vmlinuz-2.4.20

# cp System.map /boot/System.map-2.4.20

# rm -f /boot/System.map

# ln -s /boot/System.map-2.4.20 /boot/System.map

# vi /etc/lilo.conf

# /sbin/lilo -v

Ядерный PPP

Осталось только сопоставить в файле /etc/modules.conf загружаемые модули с именами устройств (см. Врезку 2).

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.		df-xchan					.c
		p	df-xchan							переходит в режим ожидания - пока пользователь
		p					g
								e
										не введет имя своей учетной записи и пароль.
										Затем getty, чтобы пользователь смог получить
										доступ к командному интерпретатору, запускает
										программу login, передавая ей в качестве аргу-
										мента идентификатор пользователя. Также getty
										умеет конфигурировать модулятор-демодулятор и
										ожидать входящие подключения. Параметры getty
										и типы терминалов демон init берет из системных
										конфигурационных файлов /etc/{inittab, ttytype,
										gettydefs} â Linux èëè /etc/{ttys, gettytab} â BSD.

Как видишь, getty выполняет довольно много задач, но, к сожалению, плохо поддерживает модемы. Поэтому Гертом Дорингом была создана программа mgetty - модифицированная версия getty, специально ориентированная на работу с Hayes-совместимыми модемами. К тому же mgetty поддерживает функцию голосовой почты, прекрасно справляется с получением факсов и, по сравнению с getty, легче конфигурируется. Обратной стороной медали в использовании mgetty является безопасность. Команда OpenBSD в своем дереве портов пометила mgetty как BROKEN с не нуждающимся в переводе комментарием: "insecure tempfile handling: can overwrite any file on the system". Стоит отметить, что и getty, и mgetty понимают протоколы PAP и CHAP.

Рассмотрев вышеописанные плюсы и минусы, взвесив все за и против, остановимся на следующей конфигурации: будем соединяться по протоколу двухточечного соединения PPP, применять PAP аутентификацию и использовать инсекьюрную mgetty. А в качестве операционки рулить у нас будет пингвинятко Тукс.

<ЯДЕРНЫЕ ИНГРЕДИЕНТЫ>

Прежде чем разбираться с софтом для настройки сервера dialin, нужно выяснить, скомпилировано ли ядрышко подопытной системы со всеми необходимыми опциями. Кроме того, крайне желательно для гибкости нашей конфигурации и уменьшения размеров ядра включить поддержку PPP в виде модуля. Преимущества такого подхода особенно очевидны на и без того активно swap'ующихся машинах. Модули ядра будут загружаться и выгружаться из драгоценной памятки только при необходимости, освобождая под повседневные задачи хоста максимальное количество оперативки.

Итак, забираем с http://www.kernel.org/ последнее стабильное ядро ветки 2.4, распаковываем в каталоге /usr/src полученный архив:

# bunzip2 < linux-2.4.20.tar.bz2 | tar xvf -

Переходим в созданный каталог и на- чинаем конфигурирование ядра:

#make mrproper

#make menuconfig

Добавляем в ядро возможность использования загружаемых модулей; поддержку работы сети, протокола TCP/IP, специальных устройств, сам протокол PPP и методы сжатия (см. Врезку 1).

hang

<PageP

071>

NOW!

BUY

w Click

<КОМПИЛЯЕМ С УСПЕХОМ>

df-x chan

Все, с ядром разобрались. Теперь переходим к инсталляции программного обеспечения на пользовательском уровне, а именно к установке ppp и mgetty. Для начала проверь, все ли необходимые пакеты у тебя есть:

$ rpm -qa | grep ppp

$ rpm -qa | grep mgetty

Если по какой-то причине таковые в системе отсутствуют, устанавливаем:

#rpm -Uvh ppp-2.4.1-7.i386.rpm

#rpm -Uvh mgetty-1.1.28-9.i386.rpm

А следующие хинты предназначены специально

для сорвиголов, которые решили пойти по пути наибольшего сопротивления и собрать все ручками: 1) после слива софта с ftp://cs.anu.edu.au/pub/software/ppp/ http://alpha.greenie.net/mgetty/ и распа- ковки архивов, перед процессом компи-

5 Взлом 6 Юниксоид 7 Кодинг 8 Юниты 9 Quit> 71

hang

ХАКЕР\¹54\Июнь\2003

NOW!

BUY

NOW!

BUY

Взлом

w Click

-xcha

-x cha

ПРОВАЙДЕР В ДОМАШНИХ УСЛОВИЯХ

alias ppp0 off

alias char-major-108

ppp_generic

Andrushock (andrushock@real.xakep.ru)

alias /dev/ppp

ppp_generic

alias tty-ldisc-3

ppp_async

alias ppp0

ppp_generic

alias ppp-compress-21

bsd_comp

alias ppp-compress-24

ppp_deflate

alias ppp-compress-26

ppp_deflate

ляции ppp нужно указать, что в системе применя-

ются теневые пароли плюс задать дополнитель-

Первый из них не представ-

ный аргумент для корректной работы Windoze-

ляет для нас никакого инте-

клиентов:

реса, во втором должна

вого слова "answer-chat", к примеру:

быть всего лишь одна строчка:

$ ./configure

init-chat "" AT OK ATZ OK

$ make HAS_SHADOW=1 USE_MS_DNS=1

# vi /etc/mgetty+sendfax/login.config

answer-chat "" ATA CONNECT \c \r

# make install

/AutoPPP/ -

a_ppp /usr/sbin/pppd file

При желании это можно сократить до:

2) чтобы диалапщики логинились, минуя терми-

/etc/ppp/options

нальное окно, в сырцах mgetty в правиле сборки

init-chat "" ATZ OK

Makefile к опциям компилера добавляем флажок -

Третий будет содержать все опции, которые не-

answer-chat "" ATA

DAUTO_PPP:

обходимо передать mgetty:

CFLAGS=-O2 -Wall -pipe -DAUTO_PPP

# vi /etc/mgetty+sendfax/mgetty.config

Для того чтобы mgetty подцепила и сконфигури-

ровала наш модем, в файле описания различных

Однако такого рода программы всегда лучше ста-

debug 5

режимов работы операционки нужно добавить за-

пись, содержащую идентификатор (можно указать

вить из пакетов/пакаджей/портов, так как разра-

указываем степень журналирования

любой - он используется как комментарий для

ботчики дистрибутивов занимаются не только ха-

port ttyS0

удобства), уровни исполнения, активность mgetty,

отичным тасованием бинариков по всей файло-

определяем, к какому порту подключен наш мо-

путь до бинарика mgetty и асинхронный последо-

вой системе, но и производят аудит кода, отлав-

äåì

вательный порт, к которому подключен наш высо-

ливают баги различной серьезности, тестируют

speed 57600

коскоростной модем.

тулзы на совместимость и работоспособность.

# скорость порта

# vi /etc/inittab

S0:345:respawn:/sbin/mgetty /dev/ttyS0

И заставим демона init перечитать /etc/inittab:

# init q

После этой команды должен загореться (естест-

венно, если модем внешний) светодиод TR (либо

MTR, в зависимости от модели и производителя)

- это значит, что mgetty правильно подхватил мо-

дем и мы на верном пути. Теперь, для контроль-

ного теста, попробуй позвонить на модем. Он

должен при первом же гудке снять трубу и начать

соединение. Если этого не произошло, то начи-

най разгребать /var/log/messages,

/var/log/mgetty.log.ttyS0 и выяснять причину.

Осталось совсем немного - законфигурить pppd и

добавить юзверей. Приступаем:

# vi /etc/ppp/options

// указываем, какие управляющие символы пре-

образовывать в Esc-последовательность

asyncmap 0

Для софтмодемов еще понадобятся дрова

// требуем от клиента аутентифицироваться, ис-

пользуя PAP/CHAP

data-only y

auth

// применяем аппаратный протокол установления

<ПОРТИМ СИСТЕМНЫЕ КОНФИГИ>

факсимильная поддержка не требуется

связи через /dev/ttyS0

init-chat "" ATZ OK ATS0=1 OK # строка инициали-

Для начала разберемся, что же у нас творится с

crtscts

зации модема

// не будем переходить в фоновый режим

конфигурационными файлами mgetty:

-detach

Команда ATS0=1 как раз указывает, что при вхо-

$ ls /etc/mgetty+sendfax

// создаем файл блокировки для последователь-

дящем звонке модем должен брать трубу. Альтер-

ного устройства

dialin.config login.config

mgetty.config

нативным вариантом будет использование ключе-

lock

72 Ньюсы

1 Феррум

2 Inside

3 PC_Zone

4 Implant

hang

NOW!

BUY

w Click

-xcha

-x cha

// используем теневой файл с паролями для PAP

<КЛИЕНТСКИЕ ШТУЧКИ>

На стороне клиента у нас не будет никаких ухищ-

// используем все сигналы управления модемами

modem

рений и эксклюзивов: все абсолютно так же, как

// отменяем поддержку CHAP

когда ты подключаешься к своему провайдеру.

-chap

Создаем удаленное соединение, допустимые про-

// только PAP

токолы - только TCP/IP, тип dial-up сервера - PPP

+pap

Windows 95/98/NT4/2000 Internet, IP-адрес и DNS

// стандартные твики диалапщиков

сервера назначаются сервером, программное

mtu 576

сжатие данных, номер телефона, имя и пароль.

mru 576

// заставляем локальный хост отправлять все зап-

росы от имени клиента

proxyarp

// отключаем неиспользуемые протоколы

noipv6

noipx

// IP-адрес локального хоста, выделяемый клиен-

ту IP-адрес

192.168.1.41:192.168.1.51

// маска подсети

netmask 255.255.255.0

// IP-адрес нашего DNS-сервера

192.168.1.1

С помощью механизма sysctl включаем перенап-

равление IP-пакетов между сетевыми интерфей-

Настраиваем клиента

ñàìè:

<ПОСТСКРИПТУМНЫЕ ТИПСЫ И ТРИКСЫ>

# sysctl -w net.ipv4.ip_forward=1

Представленная конфигурация очень гибка и лег-

Добавляем диалапщика в систему, вводим и

ко расширяема. Все зависит от твоих потребнос-

тей и фантазии. К примеру, ты можешь назначать

подтверждаем пароль:

как динамические, так и статические IP-адреса;

# adduser -c "dialup user" -g users -s

выдавать шеллы; предоставлять доступ к расша-

ренным ресурсам локальной сети без доступа в

/usr/sbin/pppd dialer

инет (в файле /etc/ppp/options нужно убрать пара-

# passwd dialer

метр proxyarp); создавать виртуальных диалапщи-

И прописываем его вот в таком виде в базу PAP

ков без создания учетных записей в теневом фай-

ле паролей (следует убрать опцию login из

(двойные кавычки означают, что пасс берется из

/etc/ppp/options и добавить вручную имена поль-

теневого файла паролей):

зователей и пароли в /etc/ppp/pap-secrets); раз-

# vi /etc/ppp/pap-secrets

решать модему отвечать на входящие звонки

только в строго определенное время (пример см.

dialer

во врезке 3) и многое другое.

Собственно, на этом настройка серверной части

На этом заканчиваю свой рассказ. Будут грабли -

звони, т.е. пиши, адрес наверху.

закончена, отдышавшись, перейдем к конфигури-

рованию наших будущих кормильцев, то бишь

клиентов-виндузятников :).

По крону создаем пустой текстовый файл

/etc/nologin.ttySX для того времени,

когда наш модем должен молчать. Когда же он должен

поднимать трубу, мы просто удаляем лочащий файл. В

данном примере модем будет отвечать на входящие звон-

ки с 9 вечера до 9 утра. Очень полезная фича :).

# vi /etc/crontab

0 9

* * 1-5 root

cp /dev/null /etc/nologin.ttyS0

0 21 * * 1-5 root

rm -f /etc/nologin.ttyS0

5 Взлом

6 Юниксоид 7 Кодинг

hang

NOW!

BUY

w Click

Взлом

-xcha

ПОЧТОВЫЕ ШАЛОСТИ

CuTTer (cutter@real.xakep.ru)

ХАКЕР\¹54\Июнь\2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ПоЧтовые шалости

ИСПОЛЬЗУЕМ НЕДОРАБОТКИ SMTP ПРОТОКОЛА

Наверняка у тебя не раз появлялось желание отправить приятелю какое-нибудь гадостное письмо, но так, чтобы он не догадался о твоей причастности к этим проделкам. А может, тебя просто кто-то достал, и ты хочешь отомстить, отправив бесчисленное множество мусора во вражеский ящик. И опять же, мерзкий враг не должен знать, что это твоих рук дело. Что ж, это не проблема!


	Не думай, что мы опять будем разбирать старые	POP3 и IMAP отвечают за прием входящей почты.
	Не думай, что мы опять будем разбирать старые	POP3 и IMAP отвечают за прием входящей почты.	НЕДОРАБОТКИ SMTP
	и замученные mail bomber'ы или почтовые веб-	У них есть свои различия, например, IMAP под-	SMTP протокол, в общем-то, прост. Он отвечает
анонимайзеры. Нет, нет и еще раз нет! Это уже		держивает наличие папок, куда может склады-	SMTP протокол, в общем-то, прост. Он отвечает
	давно ушло в небытие, пользуется этим разве что	ваться почта, POP3 же вываливает все в одну ку-	за пересылку писем от всяких там пользователей
	сборище тупоголовой измороси. Ты ведь не при-	чу. Каждый из них требует аутентификации по ло-	к нужному адресату. Как это происходит. Напри-
	числяешь себя к этому многоумному сословию?	гину/паролю для чеканья почты. Причем, автори-	мер, есть SMTP-сервер smtp.music.ru, он обслу-
Так что мы с тобой рассмотрим один забавный		зацию можно проводить без какой-либо шифров-	живает пользователя jungle в домене music.ru. Т.е.
	способ работы с SMTP протоколом, приводящий	ки (открытым текстом, т.е. кто-нибудь может пос-	мы имеем юзера с мыльником jungle@music.ru. И
	к неожиданным результатам. Поэтому активизи-	нифать твой трафик, а оттуда вытянуть пароль от	этот долбаный фанат Jungle и Drum'n'Bass культу-
	руй свой мозг и читай дальше.	ящика), а можно и при помощи MD5 APOP (RFC-	ры хочет, чтобы на диске Хакера выкладывали по-
		1734) èëè MD5 CRAM-HMAC (RFC-2095).	больше музыки от LTJ Bukem'а и Omni Trio. Что же
	ПРОТОКОЛЫ, КОТОРЫМИ		он делает? Берет и отправляет письмо на ava-
	МЫ ПОЛЬЗУЕМСЯ	При работе с этими двумя протоколами удивлять-	lanche@real.xakep.ru с предложением выложить на
Как обычно, перед практикой немного поговорим о		ся не приходится - все работает нормально,	компакт-диск этих музыкантов. Для пользователя
Как обычно, перед практикой немного поговорим о		просто проверяешь свой ящик, который защищен	jungle@music.ru вся эта процедура сложилась из
	занудной теории. Ведь как устроена работа почтовой	паролем. Но все становится гораздо интереснее,	открытия почтового клиента The Bat, создания
системы во всем интернете? Существует 3 базовых		когда ты окунаешься в работу SMTP протокола...	письма и последующей отправки. А вот что было
	протокола: POP3, IMAP и SMTP (на самом деле их,		на самом деле. Когда он нажал на кнопку отпра-
	конечно, больше, но остальные для нас неважны).		вить, произошли следующие события:

		1		2		3		4
74	Ньюсы	1	Феррум	2	Inside	3	PC_Zone	4	Взлом

				hang		e
			C			e	E
		X					E
	-						d
	F							t
	D							i
	D							r
P						NOW!		o
P
					BUY
				to	BUY
w Click				to					m
w Click									m
w
	w							o
	.						.c
		p					g
			df				e
			df			n		Ôàéë info.txt
				-xcha				Ôàéë info.txt
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
F									t
<PageP		075>							i
<PageP		075>							r
D									r
						NOW!			o
				to	BUY	NOW!
				to	BUY
w Click										m
w
w									o
	.							.c
		p					g
			df			n		e
				-x cha

Received: from toghe.vseh.porot.ru by astral.ru

via smtpd (for !smtp! [!smtpip!]) with ESMTP; Mon, 5 Aug 2003 23:20:57 +0400 Received: from porol.v.rot.ru by toghe.vseh.porot.ru

via smtpd (for astral.ru [10.128.2.21]) with ESMTP; Mon, 5 Aug 2003 23:20:45 +0400 Received: from scuka.loh.ubogiy.ru ([213.1.2.3]) by porol.v.rot.ru

via smtpd (for toghe.vseh.porot.ru [192.168.0.3]) with ESMTP; Mon, 5 Aug 2003 23:18:57 +0400

	zlya.golubaya.mraz.ru (217.10.10.43). При виде такого			$localport - порт, на котором будет работать
1) Клиент соединился с SMTP-сервером	приходишь к выводу - письмо шло тернистым путем.			наш SMTP-сервер. Если будешь пускать локально
smtp.music.ru. Возможно, была проведена SMTP-				со своей тачки, то можешь оставить и его (25).
аутентификация, это уже зависит от конкретных	Для реализации этого обмана нам придется выс-			Если же это *nix тачка, где у тебя отсутствуют
настроек сервера. Далее пользователь передал	тупить в роли псевдо SMTP-сервера. Этот сервер			root права, то поставь любой порт выше 1024.
письмо серверу, получил в ответ, что все ок. От-	будет принимать письмо, резать всю предыду-
соединился.	щую инфу, а потом посылать письмо дальше нас-			$host - хост настоящего SMTP-сервера. Именно
	тоящему SMTP-серверу. Причем, наш почтовик			на него будет пересылаться скорректированное
2) Теперь в работу вступил сервер smtp.music.ru.	будет работать абсолютно прозрачно, т.е. для от-			письмо. Также с ним будет происходить SMTP ау-
Из письма он получил конечный пункт назначения	сылки письма не понадобятся какие-то дополни-			тентификация, если она нужна.
- avalanche@real.xakep.ru. Вот что происходит по-	тельные извращения. Потребуется только устано-
том. SMTP-сервер делает DNS-запрос по домену	вить наш хитрый SMTP-сервер и проставить его в			$port - номер порта настоящего SMTP-сервера.
real.xakep.ru. Из него он вытягивает MX запись. В	настройках почтового клиента (SMTP настройки).			Обычно всегда равно 25.
ней содержится адрес другого SMTP-сервера, от-
вечающего за домен real.xakep.ru - smtp.game-
land.ru. Он соединяется с smtp.gameland.ru и пе-
редает ему письмо пользователя, добавив в него
служебную информацию об IP'шниках.
3) Это письмо получает SMTP-сервер smtp.game-
land.ru. Он смотрит свою таблицу маршрутизации
и видит, что avalanche@real.xakep.ru - его ящик.
Поэтому smtp.gameland.ru принимает письмо и
кладет его в базу. Теперь пользователь avalanche
может забрать новую почту по POP3 протоколу.
Как видишь, схема работы SMTP протокола прос-
та. Ты отправляешь письмо своему SMTP-серве-
ру, а дальше все заботы об отправке он берет на
себя. Сама цепочка, по которой проходит письмо,
может состоять из одного сервера, а может и из
десятка. Все зависит от настроек сервера, а
именно от таблицы маршрутизации. Например,
если ты пошлешь письмо с почтового ящика
vasya@comtv.ru на anya@comtv.ru, то цепочка
SMTP-серверов будет состоять всего из одного
сервера. Но в случае, когда письмо будет пред-
назначено для anya@mail.ru, количество SMTP-
серверов, участвующих в пересылке письма, за-
метно возрастет.	Maravan (v1.0) - респектный мыльник
ИДЕЯ ОБМАНА				$name - приветствие при соединении. Отправля-
Ты можешь возмутиться, мол, зачем мне нужна		КОДИНГ		ется в команде HELO. Можешь поменять на что-
Ты можешь возмутиться, мол, зачем мне нужна				нибудь свое.
вся эта теория? А она, поверь, нужна... Если ты	Как принято, всю эту бойду я реализовал на перле
внимательно прочитал второй пункт, то должен	:). Основная часть кода состоит из обычного реди-			$mailer - имя почтовика. Добавил для розыгры-
был заметить, что в само письмо добавляется ин-	ректа пакетов при TCP соединении. Если тебе ин-			ша "умных" людей. Например, можешь написать
формация о том, с какого IP отослано письмо, а	тересно в этом разобраться, возьми старый номер			òóäà, ÷òî ó òåáÿ "The Bat! (v2.03) Personal" èëè
также IP-адреса серверов, отвечавших за пере-	][ 05.01 и открой статью "Дело - труба! Datapipe			"Zlobodrom (v1.0)". Теперь у получателя письма в
сылку письма. По этой инфе как раз и можно вос-	roxx" или почитай на нашем сайте по адресу			заголовках будет отображаться не какой-нибудь
становить всю цепочку SMTP-серверов.	http://www.xakep.ru/magazine/xa/029/068/1.asp.			Outlook Express, а что-то более продвинутое.
Мы же, наоборот, эту цепочку будем корректиро-	В общем, я взял и переделал файл datapipe.pl.			$log - логирование. 0 - выключено, 1 - включено.
вать, а попросту говоря, возьмем да и запишем в	Добавленный код смотри во врезке на следующей			На самом деле можешь не включать, оно тебе на
нее всякий мусор. Так что конечному адресату, если	странице.			фиг не нужно.
ему вдруг захочется заглянуть в заголовки письма,
останется только ужасаться, почему же это письмо	Тебе стоит поменять в нем только следующие пе-			Осталось создать еще один файл info.txt.
идет по цепочке: gryaznhaya.shlyuha.ru (1.1.1.1),	ременные:			В нем как раз и находится цепочка левых
moya.volosotaya.grud.ru (10.0.0.10),				серверов, которая добавится в письмо:
5 Юниксоид 6 X-Стиль		7 Кодинг	8 Юниты		9 Quit>	75

hang

NOW!

BUY

w Click

Взлом

-xcha

ПОЧТОВЫЕ ШАЛОСТИ

CuTTer (cutter@real.xakep.ru)

ХАКЕР\¹54\Июнь\2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Этот файл можешь менять как угодно. Все зависит
от твоей фантазии и извращенности. Единствен-
ное, на что необходимо обратить внимание, это
две записи: !smtp! и !smtpip!. Их придется оста-
вить, чтобы не ломалась "правдивость" письма.
Иначе пользователь сразу заметит, что цепочка
рвется, причем самым наглым образом.
УСТАНОВКА
Здесь все просто. Для начала скачиваешь архив
mailjoke.zip с www.xakep.ru (смотри раздел Х-Ре-
лизы) или берешь его с нашего диска. Далее рас-
паковываешь это добро и делаешь необходимые
корректировки в описанных выше переменных.
Заливаешь файлы, причем желательно на какой-
нибудь *nix сервер. Проставляешь права 755
файлу mailjoke.pl (chmod +x mailjoke.pl). Все, наш
SMTP-сервер готов к запуску - ./mailjoke.pl. Сер-
вер заработал.
Открывай почтовик. Поставь в настройках адрес
нашего нового SMTP-сервера. Допустим, это mar-
avan.ru:1025. Теперь для проверки напиши любое		Извращенная инфа в почтовике
письмо самому себе. Отправь и чекни свою поч-		Извращенная инфа в почтовике
письмо самому себе. Отправь и чекни свою поч-
ту. Открой новое письмо. Обрати там внимание
на имя почтовика и на саму цепочку адресов
(для этого включи отображение служебной		Код, отвечающий за
информации). У тебя должно получиться что-		Код, отвечающий за
то типа этого:		переделку письма
		переделку письма
Получилось весьма забавно :). Теперь, поми-		$localport=25; # SMTP
мо шуток над своими друзьями, ты получил и		$localport=25; # SMTP
мо шуток над своими друзьями, ты получил и		$host="comtv.ru"; # SMTP server
анонимность в отправке писем. Так что сов-		$host="comtv.ru"; # SMTP server
анонимность в отправке писем. Так что сов-		$port=25; # port of SMTP server
местили приятное с полезным.		$port=25; # port of SMTP server
местили приятное с полезным.		$name="astral.ru"; # name in HELO/EHLO
		$name="astral.ru"; # name in HELO/EHLO
ЧЕГО ЖЕ НЕ ХВАТАЕТ?		$mailer="Maravan (v1.0)";
ЧЕГО ЖЕ НЕ ХВАТАЕТ?		$log=0;
		$log=0;
Естественно, наша программа несовершенна.		## Skipped some code
Она, например, всегда отправляет дурацкие		## Skipped some code
Она, например, всегда отправляет дурацкие
даты в письме. У пользователя при просмотре		## Добавление левой инфы в письмо
это вызовет как минимум недоумение, а если		## Добавление левой инфы в письмо
это вызовет как минимум недоумение, а если		if (($info{helo}==0) && ($tbuffer=~/^HELO /i)){
задуматься глубже, то станет ясно, что письмо		if (($info{helo}==0) && ($tbuffer=~/^HELO /i)){
задуматься глубже, то станет ясно, что письмо			$tbuffer="HELO $name\n";
- fake. Поэтому даты надо подставлять уже во			$tbuffer="HELO $name\n";
- fake. Поэтому даты надо подставлять уже во			$info{helo}=1;
время отправки письма, а не хранить готовы-		}	$info{helo}=1;
время отправки письма, а не хранить готовы-
ми в файле. Также стоит добавить генератор
ми в файле. Также стоит добавить генератор		if (($info{helo}==0) && ($tbuffer=~/^EHLO /i)){
различной длины цепочек. Причем, генериро-		if (($info{helo}==0) && ($tbuffer=~/^EHLO /i)){
различной длины цепочек. Причем, генериро-			$tbuffer="EHLO $name\n";
вать их с разными баннерами (т.е. менять via			$tbuffer="EHLO $name\n";
вать их с разными баннерами (т.е. менять via			$info{helo}=1;
smtpd with ESMTP на что-то другое), подстав-		}	$info{helo}=1;
smtpd with ESMTP на что-то другое), подстав-
лять живые хосты, чтобы у пользователя не
лять живые хосты, чтобы у пользователя не		## Смена X-Mailer
возникало лишних подозрений. Можно соз-		## Смена X-Mailer
возникало лишних подозрений. Можно соз-		if (($info{mailer}==0) && ($tbuffer=~/X-Mailer: .*\r?\n/i)){
дать массив значений для поля X-Mailer. Тогда
дать массив значений для поля X-Mailer. Тогда			$tbuffer=~s/X-Mailer: .*\r?\n/X-Mailer: $mailer\n/i;
получатели писем будут удивляться, что же			$tbuffer=~s/X-Mailer: .*\r?\n/X-Mailer: $mailer\n/i;
получатели писем будут удивляться, что же			$info{mailer}=1;
это за отправитель такой странный. В общем,		}	$info{mailer}=1;
это за отправитель такой странный. В общем,
идей можно позапихивать предостаточно.
идей можно позапихивать предостаточно.		## Изменение хедера письма
Главное - выделить под это свое время.		## Изменение хедера письма
Главное - выделить под это свое время.		if (($info{server}==0) && ($tbuffer=~/Date: /i)){
		if (($info{server}==0) && ($tbuffer=~/Date: /i)){
Так что дерзай! И оставайся для всех			$tbuffer=$info.$tbuffer;
Так что дерзай! И оставайся для всех			$info{server}=1;
анонимным. Ибо нечего выдавать себя :).		}	$info{server}=1;
анонимным. Ибо нечего выдавать себя :).

76 Ньюсы	1 Феррум		2 Inside	3 PC_Zone	4 Imlant

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

hang

NOW!

BUY

Взлом

w Click

-xcha

ОБЗОР ЭКСПЛОИТОВ

Докучаев Дмитрий aka Forb (forb@real.xakep.ru)

ХАКЕР\¹54\Июнь\2003

ОБЗОР

ЭКСПЛОИТОВ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

BYSIN2 EXPLOIT FOR SENDMAIL	0X333HATE EXPLOIT FOR SAMBA 2.2.X			OPENFUCKV2 EXPLOIT FOR OPENSSL
Описание:	Описание:			V0.9.6D

Совсем недавно во всех багтраках пролетело	В этом месяце вышел еще один удаленный	Описание:
долгожданное известие о выходе эксплоита для	эксплоит для Самбы. Как видно из кода, он ис-		Еще совсем недавно была актуальна уязвимость в
Sendmail <= v.8.12.8. Этот экземпляр является	пользует ошибки в переполнении буфера (как		OpenSSL, для которой моментально появился ра-
типом Proof of Concept (POC), то бишь беспо-	и все его предшественники). Судя по высказы-		бочий эксплоит под устрашающим именем
лезной вещью в руках скрипткидди. Эксплоит	ваниям разработчиков, эксплоит базируется на		OpenFuck :). Только в этом месяце вышла вторая
только показывает, что Sendmail действительно	trans2root.pl - зло-скрипте, который кладет		версия эксплоита.
уязвим и падает в кору при передаче ему	непропатченные smbd. По утверждению авто-		Такого количества таргетов я не видел нигде. Если
смертельного кода. После удаленных экзекуций	ров, в случае успеха программа предоставит	в первой версии было около 20-30 рабочих целей,
над сендмылом и последующего анализа core-	хакеру рутшелл. Но за две бессонные ночи,		то во второй их уже 138. Тут и RedHat, и
файла, можно увидеть запись:	проведенные в поисках жертвы с уязвимой		Mandrake, è Cobalt, è äàæå FreeBSD.
Program received signal SIGSEGV, Segmentation	самбой, мне не удалось порутать ни один сер-		Используя ошибку в протоколе SSL, эксплоит пе-
fault.	вер. Кто знает, может фортуна отвернулась от		реполняет буфер и запускает интерактивный шелл
0x5c5c5c5c in ?? ()	меня, либо авторы внесли защиту от дурака в		с правами nobody (в Cobalt даже с правами root!),
В эксплоит вшит один-единственный таргет:	ñâîé êîä...		предоставляя тебе возможность "добить" жертву
FreeBSD 4.7. Но, как ты понимаешь, Бздюх с неп-			локально (при помощи того же ptrace-kmod exploit,
ропатченными сендмылами в инете пруд пруди,			про него говорилось в предыдущем обзоре).
ибо FreeBSD 4.7 до сих пор остается самой на-			Авторы эксплоита позволяют добавлять свои цели.
дежной системой.			Для этого надо узнать адрес переполнения и из-
			менить константу MAX_ARCH в теле эксплоита. По
			умолчанию она равна 138.


Защита:	Защита:	Защита:
Пока это POC эксплоит. Но это только начало. Сов-	Защититься от злоумышленника тебе поможет		Большинству админов хватило первой версии, чтобы
сем скоро можно ожидать выхода нового сплоита	только апдейт. Если у тебя до сих пор стоит smbd		побороть собственную лень и обновить-таки апач и
для Sendmail, которым смогут воспользоваться и	v. <=2.2.x, немедленно обновляй свой софт, ина-		OpenSSL до более свежих версий. Но существуют лю-
скрипткиддисы. Так что настоятельно рекомендую	че потом будет поздно.		ди и с иным мнением :). Надеюсь, ты не в их числе.
всем админам обновить версию сендмыла.			Так что на всякий случай проверь, чтобы версии твое-
			го апача не было в таргетах этого чудо-эксплоита.


Ссылки:	Ссылки:	Ссылки:
Эксплоит, демонстрирующий уязвимость почто-	http://packetstormsecurity.nl/0304-		Скачать вторую версию OpenFuck можно по адресу:
вого сервера, ты можешь скачать по адресу:	exploits/0x333hate.c - рабочая версия эксплоита		http://packetstormsecurity.nl/0304-exploits/OpenFuckV2.c.
http://packetstormsecurity.nl/0304-exploits/bysin2.c.	äëÿ Smbd v.2.2.x.		Обязательно используй ключик -lcrypto для компиля-
			ции эксплоита.


Злоключение:	Злоключение:		Злоключение:
Я сомневаюсь, что все будут рыться в чужом ко-	Как я уже сказал, мне не удалось найти жертву с		Вторая версия дает лишь разнообразие целей. Но
де, чтобы довести его до боевого состояния.	непропатченной самбой. Но это не повод для от-	помни, что админы давно уже пропатчили свои
Проще подождать, пока за тебя это сделают бо-	чаяния. Инет огромен, и жертв в нем всегда мно-		системы, ибо столкнулись с толпой скрипткидди-
лее умные люди. И возможно, через месяц-дру-	го. Как говорится - кто ищет, тот всегда найдет.		сов, атакующих их сервера :). Но чем черт не шу-
гой ты увидишь byson3.c, который уже реально			тит, если в инете еще полно непропатченных IIS
порутает сервак. Но если ты нетерпелив - бери			серверов, то дырявых OpenSSL должно быть еще
gdb в руки и пусть тебе улыбнется удача! :)			больше... Поиск, поиск и еще раз поиск!


Greets:	Greets:		Greets:
В архивы эксплоит был выложен неким Bysin. Че-	Дружно снимаем шапки перед хакерской коман-		Эксплоит был выложен в public-архивы неким
ловек это или название хак-группы - одному Богу	дой 0x333. Эксплоит был выложен мембером		Spabam. Сайт автора http://spabam.tk. Для тех,
известно.	c0wboy. Если тебя интересуют другие творения		кто желает пообщаться с ним вживую, рекомен-
	этой тимы - добро пожаловать на www.0x333.org.		дую зайти на IRC-канал #hackarena сервера
			irc.brasnet.org, предварительно захватив с собой
			русско-бразильский словарь :).

Эксплоит в действии

Долгий брутфорс адреса...

138 таргетов в твоем распоряжении! =)

		1		2		3		4
78	Ньюсы	1	Феррум	2	Inside	3	PC_Zone	4	Взлом

<<< < Предыдущая 1 2 3 4 5 6 78 / 128 9 10 11 12 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202414.49 Mб20049_Optimized.pdf
#
20.04.202418.56 Mб15050_Optimized.pdf
#
20.04.202419.21 Mб17051_Optimized.pdf
#
20.04.202414.62 Mб14052_Optimized.pdf
#
20.04.202414.38 Mб18053_Optimized.pdf
#
20.04.202416.21 Mб16054_Optimized.pdf
#
20.04.202413.49 Mб17055_Optimized.pdf
#
20.04.202415.32 Mб14056_Optimized.pdf
#
20.04.202419.07 Mб16058_Optimized.pdf
#
20.04.202417.13 Mб16060_Optimized.pdf
#
20.04.202413.5 Mб15061_Optimized.pdf