книги хакеры / журнал хакер / 143_Optimized

Tavis Ormandy — эксперт из Google Security Team

TARGETS

• Microsoft .NET Framework 1.1-4.0

BRIEF

приложения, основанныена.NET, поддаютсяатаке. Результататаки

— раскрытиеключашифрования. Таккакодниитежеключииспользуютсядляаутентификациивкукисах, форм-тикетахиviewstate, то возможнакомпрометациявсегосервера. Вкачестведоказательства былапродемонстрированаатаканакриптографию.NET споследующеймодификациейкукисовсподобраннымключом, чтопривелок административномудоступукDotNetNuke. АужеспомощьюCMS — доступксерверу.

EXPLOIT

Дляраскрытиясекретногоключаприменяетсяметодперебора, ноне полный, таккакэторазвлечениезатянулосьбынанесколькодесятков лет. Сократитьпереборможноспомощьюподсказок(оракула), которыелюбезнопредоставляет.NET ввидескриптовWebResource. axd илиScriptResource.axd. Вкачествевходногопараметра«d» они принимаютзашифрованноеимяресурса. Подсказказаключаетсяв том, чтоеслизашифрованнаястроканеверная, тоскриптобэтомскажет, либопрямымтекстом, либоHTTP-кодом. Причем, знаяалгоритм шифрования, можнопонять, какигдепроизошлаошибка. Вернее, самалгоритмшифрованиядаженеинтересен, потомучтодостаточно знатьметодсвязкиблоковшифрованияидлинувыравнивания. Затем, меняяпоследнийбайт, можноподобратьправильноезначение, прикоторомсравнениевыравниванияипоследнийбайтсовпадает. Итак, выравнивание; таккакунасиспользуетсяблочноешифрование (3DES/AES), товесьтекст(имяресурса) разбиваетсянаблокипо8 или16 байт. Еслиобщаядлинанекратна8 или16 (взависимостиот конфигурации), тооставшаясячасть«дописывается».

ВЗЛОМ

Оракул дает подсказки

Разбиваетсянадваблокапо8 байт.

|01|02|03|04|05|06|07|08|09|10|11|12|13|14|15|16| +-----------------------+-----------------------+

Второйблокдополняетсядо8 байтзначением, равнымразмеру выравнивания. Приэтомшифрованиевыполняетсясосвязьюблоков. Каждыйследующийблокшифруетсявзависимостиотрезультата шифрованияпредыдущегоблока. ТакаясвязьназываетсяCBC.

IV - вектор инициализации

C(0) = IV

C(i) = E( P(i) xor C(i-1) )

С(0), нулевойблок— этозначениевектора. Затемшифруетсяпервый блок, которыйпобайтово«проксорен» свектором. Второйблокс паддингом«ксорится» спервымзашифрованнымблокомизатем шифруется. Расшифровка— обратныйпроцесс:

IV — вектор инициализации

C(0) = IV

P(i) = D( C(i) ) xor C(i-1)

P(i) = P(i) xor C(i-1) xor C(i-1)

P(i) = P(i)

Штукавтом, чтоатакующий, знаяответыоторакула, можетподобрать любоеправильнозашифрованноезначениезаприемлемоевремя(30 минут). Дляэтогоалгоритм, которыйиспользуетсядлярасшифровки, применяетсяидляшифрования. Исследователиназвалиэтотметод CBC-R. МеханизмсвязкичерезXOR позволяетзашифроватьлюбое значение, какоеугодно. ВслучаесASP .NET этимзначениемможет бытьweb.config (чтобыполучитькнемудоступ). Дляэтогоатакующему достаточновыбратьлюбойшифр-блок, подобратьдлянегооткрытый текстспомощьюпобайтовогоперебораиподсказокоракула. Когда такойблокбудетготов, онможетвыбратьтакойIV, чтобыприоперации XOR сIV получалсятакойтекст, какойхотелосьбыатакующему. После этогоможноподбиратьследующийблоксогласноCBC-связи. Подробнееоборакуле, егоподсказкахипереборечитайтут: gdssecurity. com/l/b/2010/09/14/automated-padding-oracle-attacks-with- padbuster/. Влюбомслучае, реализованыготовыетулзы, которыевсе этоделаютвавтоматизированномрежиме: POET, padBuster.pl ит.д.

SOLUTION

ФиксотMicrosoft ужеготов. Влюбомслучаенемешаетсделатьвывод обошибкахменееинформативным. Крометого, кодошибки500 такжедаетатакующемуподсказку. Насамомделеатакующийможет ориентироватьсяиповремениотклика, такчтопатч— самоеверное решение:).

03ВЫПОЛНЕНИЕ ПРОИЗВОЛЬНОГО КОДА В ADOBE SHOCKWAVE

CVE

N/A

ВЗЛОМ

; считаем указатель

Витогеадрес, покоторомупроисходитвызов, находитсяврайоне «теоретического» расположенияHeapSpray. Другимисловами, ecx+eax*8+20 будетуказыватьнаNOP-блокпередшеллкодомизкучи (HeapSpray поможетрасположитьего, гденадо). Таккакcall идетпо ссылке, товNOP-блокедолженбытьнетолькоNOP, ноиуказатель. ДляэтоговкачествеNOP-блокаиспользуетсяпоследовательность 0x0A0A0A0A. ТогдаCALL возьметэтотадресипередастпонему управление, иоператор0x0A0A будетинтерпретироватьсяужекакor "cl, dword ptr [edx]". Такимвотобразоматаканауказательприводитк выполнениюпроизвольногокода.

SOLUTION

От0day толькоодинвыход— отключитьплагиниливовсеудалить

Adobe Shockwave.

04ВЫПОЛНЕНИЕ ПРОИЗВОЛЬНОГО КОДА В ДИСПЕТЧЕРЕ СЛУЖБЫ ПЕЧАТИ

CVE

CVE-2010-2729

TARGETS

•Windows XP

•Windows 2003

•Windows 2008

•Windows 7

Второйпараметрсодержитуказательнаструктурусописанием:

typedef struct _DOC_INFO_1 { wchar_t* pDocName;

wchat_t* pOutputFile; wchar_t* pDatatype; } DOC_INFO_1

Этаструктураконтролируетсяатакующим(каквходнойпараметр), и самоеинтересноетут— pOutputFile. Этапеременнаяможетзадавать имявыходногофайла, которыйбудетсохраненнауязвимоймашине, причемрасширениеэтогофайланикакнеконтролируется, такчто можнои.exe записать. Послеэтогозаписываемданныевсозданный

.exe-файлнаудаленномсервере:

DWORD RpcWritePrinter(

[in] PRINTER_HANDLE hPrinter, [in] BYTE* pBuf,

[in] DWORD cbBuf, [out] DWORD* pcWritten

Этот вызов отправит данные серверу по открытому дескриптору печати, что приведет к записи произвольного

.exe-файла в системную директорию атакуемой машины

(%SystemRoot%\system32). Теперь вопрос в том, как запус-

тить наш .exe-файл.

Для эксплойта в составе Metasploit знаменитый хакер ЭйчДи Мур (HD Moore) придумал использовать вызов NetrJobAdd, который добавляет задачу в планировщик на запуск созданного в system32 файла. Вот такие дела. Разумеется, протестировать эксплойт можно и в домашних условиях, ведь он уже в составе Metasploit.

SOLUTION

BRIEF

ВсемизвестныйчервьStuxnet таилвсвоемчревенесколько0dayуязвимостей. Сегоднямыпоговоримободнойтакойбаге, которую червьиспользовалдлязахватасоседнихрабочихстанций, находящихсяводнойсетисзараженноймашиной. Ошибкакроетсяв службепечатиОСWindows, котораяипозволяетудаленновыполнить произвольныйкодсправамисистемы.

EXPLOIT

Таккакуязвимостькроетсявслужбепечати, тодляудаленной эксплуатацииданнойштукинеобходимо, чтобыслужбаудаленной печатибылавключена. Спомощьюудаленногодоступакэтойслужбе любойпользователь(имеющийправагостя), можетполучитьправа Системыивыполнитькод. Дляэксплуатацииуязвимостииспользуютсяспециальносформированныезапросыпечатипопротоколу RPC. УязвимостьэксплуатируетсячерезвызовRpcStartDocPrinter, которыйговоритсерверу, чтодлянегоестькое-чтонапечать:

DWORD RpcStartDocPrinter( [in] PRINTER_HANDLE hPrinter;

[in] DOC_INFO_CONTAINER* pDocInfoContainer; [out] DWORD* pJobId

);

Данная уязвимость была оперативно пропатчена Microsoft (в отличие от других 0day, используемых Stuxnet, которые еще долго были не исправлены). Так что надеюсь, ты обновился.z

STUXNET АТАКУЕТ

Всего червь использовал шесть уязвимостей, из них пять уязвимостей в ОС Windows. Одна из этих баг — старая добрая дырка, используемая червем Confliker. Остальные же — настоящие 0day. В обзоре мы уже говорили про LNK-эксплойт и ошибку в службе печати, но за кадром остались еще две уязвимости, разреверсенные в исследовательской лаборатории ESET в Москве под началом Александра Матросова (eset.com/ resources/white-papers/Stuxnet_Under_the_Microscope.pdf).

Уязвимости кроются в таск-менеджере и в win32.sys и позволяют червячку поднять права до системных. Кроме того, одна уязвимость связана с SCADA от Siemens, а именно — содержится в прошитом по умолчанию пароле для БД.

Easy Hack

Хакерские

секреты

простых

вещей

РЕШЕНИЕ:

Нескольколетназад, доExplorer’а8, былооченьмодноиспользовать техникухипспрея. Восновномэтоделалосьдлясозданияживучих сплоитов, таккаквнезависимостиотсистемымызнали, гденаходится шеллкод. Напомню, чтохипспрей— этосозданиебольшогоколичества куч, заполненныхNOP’амисшеллкодомвконце. Мысоздаемихтак много, чтозабиваемвсюпамять. Апотомупочтисо100% вероятностью можемутверждать, чтоеслипередатьуправлениепоадресу0x0d0d0d0d, например, топопадемвнашукучу, гдесначалаисполнитсяNOP-sled, а потоминашшеллкод. Самикучи, восновном, создавалисьпосредством следующегоJavaScript-кода:

//Shellcode в переменную:

var shell = unescape("какой-то_шеллкод"); //NOPы:

var bigbk=unescape("%u9090%u9090%u9090%u9090"); while(bigbk.length<0x50000) bigbk=bigbk+bigbk;

//Создаем кучи

var mem=new Array();

for(i=0; i<400;i++) {mem[i]=bigbk+shell;}

НовInternet Explorer 8 людиизМайкрософтасоздализащитуотхипспреянаJS. Этосталооднойизпричинпоявленияираспространения всяческихJIT-spray техникнаосновеFlash’а, Java, .NET-технологий, окоторыхможнобылопрочестьвпрошлыхномерахвстатьяхАлексея Синцова.

ОднаконетакдавноDave Aitel изкомпанииIMMUNITY показал, как можнообойтизащитуотхипспреявIE8. Аименно:

//Создаем кучи

var h1=new Array(); h1[0] = bigbk + shell;

for (var i = 1 ; i < 300 ; i++) {

h1[i] = h1[0].substring(0,h1[0].length )

}

Заэточестьемуихвала:).

Болееконкретныхпримеровприводитьнебуду, таккаклучшепосмотреть«вживую». Аименно— ввидеороликекстатьеизпрошлогономера пробанк-клиентызаавторствомвсетогожеАлексеяСинцова.

Большаячасть«взломов» заключаласьвсканированииподсеткика- ким-нибудьизних, нахождениюсплоитаподобнаруженнуюузявимость иэксплуатациюего. Вобщем-то, изменилосьнемногое:). РазвечтоПО стало«покрепче», анародвмассахперешелнавзломсайтов.

Кучапроектовзародилосьвтевремена, нотольконесколькодожилидо нашихдней. Правда, теперьэтовосновномвысококлассноеплатное ПО.

Хотяквзломуэтоимееткосвенноеотношение: использованиесканеров уязвимостейтипаNessus — достаточно«шумный» процесс. Ноеслиты находишьсянасветлойстороне, томожешь найтиуязвимостивподвластнойтебесеткеирадоватьсяэтому:). Хотяидлядругойстороныесть своибонусы. Можно, например, смоделироватьвражескуюподсеткуили отдельныехостыссервисамиинатравитьнанихсканер. Авыявленные уязвимостиужевручнуюпопробоватьреализоватьнажертве. Все-таки базыуязвимостейусканеровоченьприличные.

Какужебылонаписановыше, продуктывосновномплатные. Ноесть паравариантов. Кпримеру, можнопопробоватьтакойклассический вариант, какNessus (tenable.com/nessus/).

Имеетсяверсия, немногоурезаннаядля«домашнегоиспользования» (эх, араньшебылопенсорсным:)). СамNessus модульныйиимееткли- ент-сервернуюархитектуру. Основнойфункционалнесутплагины.

Ставитсясканероченьпросто:

1)Устанавливаем сервак;

2)Запускаем Nessus Server Manager и прописываем ключ, выданный на сайте после прохождения регистрации;

3)Там же прописываем пользователей;

4)Коннектимся на https://localhost:8834/.

Далеетребуетсясоздатьинастроитьпрофильдлясканирования (policies), потомужеможносканировать(scans). Итоги— вReports. Прогавосновепростая, ноимеетширокиевозможностипонастройке. И чтобынепотеряться, имеетсяхорошаядокументацияинаборвидеороликовнасайтепроизводителя.

Интереснобудетвсем, хотябыпобаловаться.

Вобщем, строимпентест-лабораторию, ставимсканериповышаемсвои скиллы:).

РЕШЕНИЕ:

Сборинформацииожертве— деловажное, сэтимврядликто-топоспо- рит. Когдацель— небольшойсайт, топроблемособыхнет. Пробежался ручкамипосайту, его«соседям» ипоего«возможностям»; просканил spider’омструктуру; нашелхостинг, даCMS’ку— иделовшляпе. Основные направлениявозможныхвектороватаки унасвруках.

Но когда «работаешь» с чем-то более крупным, дело достаточно сильно усложняется. Особенно если требуется не просто найти какую-то одну уязвимость и влезть через нее, а рассмотреть все возможные пути причинения ущерба ресурсу. Либо в ситуациях, когда основной сайт достаточно хорошо защищен, попытаться «залезть» через его «соседей». Под «соседями» здесь понимаются ресурсы, которые каким-либо образом взаимосвязаны с нашей целью, будь то бизнес-отношения, либо технические (обмен контентом, например).

Большаячастьдействийпроизводитсясминимальнойавтоматизацией. Дляпониманиявзаимоотношениймеждусайтаминуженмозг:). Ночтобы нелазитьпопросторамсайтоввпустуюинетратитьдрагоценноевремя, естьодиннаборчик, которыйможетнампомочь.

НебезызвестнаякомпанияSensepost еще6 летназадпредставила наборскриптовнаPerl’едлясбораинформацииоресурсах— BiLE-suite

Пучок разнообразных уязвимостей на одном из хостов в подсетке

У Nessus’а очень много плагинов

(sensepost.com/cms/resources/labs/tools/misc/BiLE-suite.tgz). Сейчас наборвходитивплатныйпакетBiDiBLAH.

BiLE-suite включаетвсебяразнообразныетулзы, большаячастькоторых связанасработойсDNS. Ноестьпараподнашузадачу— BiLE.pl иBiLEweigh.pl.

Суть заключается в том, что сначала первый скрипт, используя запросы в гугле в стиле «link:», находит сайты, ссылающиеся на нашу жертву. Потом, сканируя структуру нашей жертвы, находит все исходящие ссылки. А с помощью BiLE-weigh определяются весовые коэффициенты, указывающие на взаимосвязанность сайтов между собой. Причем последний скрипт дает оценку не просто по количеству ссылок между сайтами; учитывается и то, ссылаются ли они друг на друга или только «в одну сторону», и какое общее количество исходящих ссылок на конечных сайтах (чтобы снизить оценку новостным порталам).

ДляработыскриптатребуетсяHTTrack (httrack.com/page/2/en/index.html). HTTrack — этооффлайн-браузер, спомощьюкоторогоBiLE скачивает сайтыипотомужепарситих, доставаяссылки.

HTTrack естьиподWin, ипод*nix’ы. СкриптыBiLE-suite заточеныподниксы, нопоработавнапильником, можнозаставитьихработатьиподвиндой. Мнескриптыпонравились, ясебенаBackTrack4 поставил.

Итак, сначаластавимHTTrack:

#tar xvfz httrack-3.43-9C.tar.gz #./configure && make && su -c 'make install'

ВЗЛОМ

Насайтенаписано, чтоможнопоставитьwebhttrack срепозитория, но тамнетаверсия, котораятребуется. Далеепришлосьподкорректировать

BiLE-weigh.pl:

Заменяем:

`cat temp | sort -r -t ":" +1 -n > @ARGV[1].sorted`;

Íà:

`cat temp | sort -r -t ":" --key=2 > @ARGV[1].sorted`;

Возможно, такжепридетсяподкорректироватьпеременную$mc в67 строкевBiLE.pl. Например, убратьскачкуswf-файлов, которыедлянас бессмысленны, илиуказатьполныйпутьдоHTTrack дляработыподWin. ПримериспользованияBiLE посайтуbacktrack-linux.org:

perl BiLE.pl www.backtrack-linux.org BT

Гдеwww.backtrack-linux.org — названиеанализируемогоресурса; BT — названиеитоговогофайла.

Еслиточнее, тобудетBT.mine иBT.warus, нопоследнийнидлячегоне используется.

Запускаемопределениеисортировкувесовыхкоэффициентов:

perl BiLE-weigh.pl www.backtrack-linux.org BT.mine

РЕШЕНИЕ:

Издревлеоднойизосновныхцелейвзломаявлялосьполучениеадминскогодоступакхосту. Иеслиотброситьвсе, тоданныйдоступподразумеваетзнаниеадминскогопароля. Откудажеегополучить? Способов масса:). Носегоднямыпоговоримотом, каквыниматьихпрямоизОС. А точнее, оWindows-системахсихLSA- иSAM-хранилищами.

Ядумаю, всемизвестно, чтоWindows нехранитпароливоткрытомвиде. ОнихвNTLM иLM-хешаххранит. Посути, этоMD4 иDES-хешсоответс- твенно.

Какпонятно, доступкLSA- иSAM-хранилищам(естьещеместа) простымсмертнымзакрыт. Нохорошиедядивразноцветныхшапках написаликучкутулз, чтобывынутьхешикиизтогоилииногоместа. Жаль, чтодлябольшейчастиэтихтулзтребуютсявысокиепривилегии из-занеобходимостииспользованиятехникиDLL-инжекта, аименно— SeDebugPrivilege. Кромеэтогохешиможнополучитьспомощью снифферов.

Перебор занимает какое-то время. Можно попить чаю и помедитировать

Сайты, взаимосвязанные с www.backtrack-linux.org

ВитогемыполучимBT.mine.sorted. Тоестьсписоквзаимосвязанныхсайтоввпорядкеубывания, покоторыминачинаемползатьручками:).

Насамомделепроблем, связанныхсбезопасностьюуNTLM’а, какпротокола, достаточномного. Причемонинастолькоглубоки, чтонеимеют простыхрешенийвданнойреализации(точнее, реализациях) протокола. Ноперейдемкделу. Предположим, мывлезливсистемуподуправлениемОСWindows исдампилихеши, используятулзуpwdump, например, илипроснифалиNTLM-хешсchallenge’ем, используямодульsmb_sniff изMetasploit’a (см. майскийномержурнала). Чтоснимиделатьдальше? Методовнесколько, нодляпримерапробрутфорсимспомощьютакой чудо-проги, какCain&Abel (oxid.it/cain.html).

Все, чтонамтребуется— подгрузитьхешивпрогу(вкладкаCracker) и выбратьметодперебора:

1)Прямой перебор;

2)По словарю;

3)По радужным таблицам.

Далее можно начинать перебор. Если доступен LM-хеш, то лучше начать с него. Так как он, во-первых, регистронезависмый, уменьшается набор символов для перебора. А, во-вторых, состоит из двух частей по 7 символов, каждый из которых можно брутить отдельно. Причем пароль дополняется нулями, если он меньше 14 символов. Поэтому, найдя кусок из второй части, можно уже более нацелено подойти к подбору первой. Все это существенно ускоряет процесс перебора. После этого можно перебрать NTLM-хеш, определив тем самым регистр найденного пароля. C LM-хешами есть пара важных моментов:

•Начиная с Висты, LM-хеши не генерятся для пользователей;

•Если пароль длиннее 15 символов, то его нельзя восстановить из LM-õåøà;

•Большинство тулз по подбору некорректно работают с русской кодировкой cp866.

Думаю, снастройкамипереборавCain’епроблемвозникнутьнедолжно (см. рисунок):

•Выбираем тип перебора;

•Òèï õåøà;

•Словарь или алфавит для перебора.

Еслижепассполученизсниффера, тотипвыбираетсяспометкой

Challenge. Уsmb_relay сhallenge равен«1122334455667788».

Ноеслиприходитсячастосталкиватьсясперебором, особеннопобольшималфавитам, тожелательновоспользоваться«радужнымитаблицами» (rainbow tables). Посколькузапаруабзацевидеюнедонести, читай статейкуhabrahabr.ru/blogs/algorithm/82941/, атакжегуглвпомощь. Адля приближенногопонимания — сутьвтом, чтовтаблицахужепросчитаныиспециальномобразомсвернутыхешидлябольшогоколичества паролей.

Таблицыдостаточнокрупныепосвоимразмерам, генерятсядостаточнодолго, нооправдываютсявысокойскоростьюнахожденияпассовв дальнейшем.

РЕШЕНИЕ:

Япродолжупредыдущуютему,нонескольковдругомконтексте.Пассадмина

—вещь,конечно,прекрасная,ноцельнаша—все-такиадминскийдоступ. Ктомуже,еслиговоритьодоменномадмине,тодоегоправилихешейво многихслучаяхполучаетсядобратьсяпостепенно.Аначинаетсяэто,чаще всего,скомпакакой-нибудьбесправнойсекретарши.Потом—правакакого- нибудьсаппорта,админскиеит.д. Хеши—этоконечнопрекрасно,нобрутить всеподряд—делодолгое.Кнашейрадости,всевтомжепротоколеNTLM,в обеихегореализациях,естьбольшаядырка.Дляаутентификациидостаточнознатьтолькохешпользователя.Тоестьдажебрутитьничегоненадо. Досталхеш—иможешьлазитьпосеткесправамискомпрометированного юзера:).Техникатожеоченьстарая,втеориисуществующаяажс1997года. Название—PassTheHash.Пофактуоченьюзабельна.Тулздляреализации несколько.

Яопишудве. От«создателя» техники— Hernan Ochoa (oss.coresecurity.

com/pshtoolkit/doc/index.htmlиhexale.blogspot.com) имодуль, входящийв составMetasploit.

Нетакдавноpshtoolkit былпереработанитеперьназываетсяWCE: Windows Credentials Editor (www.ampliasecurity.com/research/wce_ v1.0.tgz). Необращайвниманиена«странное» расширение— вархиве обычныйехе’шник.

Итак, основныевозможностиWCE.

ДляначаламожновынутьNTLM/LM-хешиизпамяти.